Deepfake rouba 25 milhões de dólares a multinacional de Hong Kong

Um funcionário de uma multinacional de Hong Kong juntou-se a uma videochamada em que aparecia o seu diretor financeiro, mas tudo parecia no entanto um pouco estranho.
5 de Fevereiro, 2024

O funcionário começou por desconfiar. Mas os seus nervos foram acalmados quando outros colegas que ele reconheceu apareceram para participar na chamada, segundo a polícia de Hong Kong.

O falso diretor financeiro fez pedidos cada vez mais urgentes para efetuar transferências de dinheiro, e a vítima cumpriu as instruções dadas durante a chamada – acabando por efetuar 15 transferências para cinco contas bancárias locais.

Os vídeos gerados por IA foram alegadamente criados a partir de conferências online genuínas anteriores. Para dar mais profundidade e credibilidade ao esquema, os criminosos utilizaram o WhatsApp, o correio eletrónico e videoconferências individuais com membros da equipa de Hong Kong.

Segundo o superintendente da polícia de Hong Kong, Baron Chan declarou à imprensa, “Os cibercriminosos descarregaram vídeos públicos da empresa e com a ajuda da inteligência artificial para adicionarem vozes falsas a utilizar na videoconferência”

O que mais aconteceu exatamente na fatídica chamada é discutível. Alguns relatórios sugerem que apenas um participante na chamada era real, enquanto outros sugerem que vários participantes eram humanos.

Todos concordam que apareceram humanos gerados por IA e que, infelizmente, o profissional financeiro anónimo foi enganado. Essa realidade só foi descoberta pela vítima depois de ter contactado a sede da empresa.

Segundo o The Standard, este incidente foi o primeiro golpe de videoconferência deepfake em Hong Kong.

A Índia dá 36 horas às plataformas de redes sociais para removerem os deepfakes. O aumento das ameaças de deepfake significa que as medidas de segurança biométrica existentes não serão suficientes.

Embora a fraude do CFO com deepfakes possa ser a primeira a utilizar a videoconferência em Hong Kong, não é a única a utilizar esta tecnologia. Segundo a CNN, a polícia de Hong Kong revelou numa conferência de imprensa na sexta-feira que tinha efectuado seis detenções relacionadas com outros esquemas de deepfake e que os deepfakes de IA tinham sido utilizados pelo menos 20 vezes para enganar o software de reconhecimento facial.

O problema dos deepfake é global. Na semana passada, senadores norte-americanos apresentaram um projeto de lei bipartidário que permitiria às vítimas retratadas em deepfakes pornográficos não consentidos gerados por IA processar judicialmente os criadores dos vídeos.

Esta medida surgiu depois de imagens sexualmente explícitas de Taylor Swift geradas por IA terem proliferado nas plataformas das redes sociais – incluindo no X/Twitter, onde acumularam dezenas de milhões de visualizações antes de o site detido por Musk ter bloqueado as pesquisas pela ícone pop.

O ministro indiano das TI, Rajeev Chandrasekhar, terá avisado no final de janeiro que as plataformas de redes sociais seriam responsabilizadas pelos deepfakes publicados pelos seus utilizadores. Este fenómeno é um dos mais perigosos que está alicerçado ao desenvolvimento tecnológico, que deve ter por parte das organizações máxima atenção. Não chega implementar sistemas de segurança ultra sofisticados, é necessário que todas as organizações estejam cientes dos perigos que correm. No passado, todos nos riamos das histórias do “conto do vigário”, mas o deepfake está para apanhar incautos, deslumbrados, informados e superegos, ou simples distraídos. É necessário que as organizações implementem medidas de segurança, e sistemas Zero Trust. Mesmo assim, não estaremos salvaguardados. É necessário formar, consciencializar, testar, e criar constantes simulacros. Para além disso, importa apostar nos CSO, sem eles será difícil não ser atacado. E a sorte é a única alternativa com que não se deve contar.

Opinião