Apresentam-se como candidatos a uma vaga, mas são vídeos falsos que se assemelham à realidade. Objetivo? Ser contratado e aceder a informação confidencial sobre a companhia e os seus clientes
O Centro de Denúncias de Delitos Informáticos do FBI emitiu um comunicado no qual dá conta de uma onda de denúncias por uso de deepfakes. Neste casos, o objetivo foi, contudo, bastante diferente do habitual: utilizam estes conteúdos visuais ou áudios falsos para se candidatarem a postos de trabalho remoto. Objetivo? Obter informação confidencial sobre a companhia e os seus clientes. Questionado pelo ECO Pessoas, o Centro Nacional de Cibersegurança (CNCS) diz que não ter registo de denúncias semelhantes em Portugal, mas alerta para uma “preocupação emergente”.
“Estes ataques dizem respeito a conteúdos visuais ou áudios falsos, que se assemelham à realidade ao ponto de se tornar difícil a distinção entre um vídeo/áudio verdadeiro e um falso. Para isso, são utilizados software, que combinam técnicas de machine learning, que manipulam ou criam conteúdos utilizando o rosto e/ou voz de um indivíduo”, começa por explicar fonte oficial do CNCS.
“O Centro Nacional de Cibersegurança não recebeu qualquer notificação relativa a deepfakes, o que não significa que não existam situações destas em Ciberespaço de Interesse Nacional”, alerta. E continua: “É uma preocupação emergente, que pode levar a situações como desinformação (por exemplo, manipulando a voz de um político), fraude financeira (levando a incidentes de engenharia social, como por exemplo manipulando a voz de um CEO para ordenar transferências bancárias), entre outros.”
Nos casos registados nos EUA, os transgressores utilizaram imagens, vídeos e áudios criados com recurso à inteligência artificial, combinados com dados pessoais roubados, para se apresentarem como candidatos viáveis para um posto de trabalho, especialmente no próprio setor tecnológico. Depois da entrevista, e uma vez contratados, as empresas abrem-lhes as portas para a obtenção de informação confidencial sobre a companhia e os seus clientes.
“Os postos de trabalho à distância ou de trabalho a partir de casa identificados nestes relatórios incluem as áreas de information technology e programação de computadores, database e funções relacionadas com software. Em alguns casos, a função inclui o acesso a dados financeiros, bases de dados corporativas e informação confidencial”, pode ler-se no comunicado emitido pelo FBI.
“As queixas relatam o uso de falsificações de voz, ou potenciais falsificações de voz, durante as entrevistas de trabalho virtuais. Nestas entrevistas, as ações e o movimento dos lábios da pessoa entrevistada, vista na câmara, não estavam completamente coordenadas com o áudio. Por vezes, ações como tossir ou espirrar não estão alinhadas com o que é apresentado visualmente”, detalha o Departamento Federal de Investigação dos Estados Unidos.
“O tema deepfake transformou-se, em pouco tempo, numa arma poderosíssima para os produtores de desinformação”, começa por dizer António Loureiro, CEO da Conquest One. “Em Portugal ainda não se transformou numa grande preocupação, talvez porque ainda não tenham existido casos de grande dimensão, que tenham causado danos ou sido divulgados. Mas não é um tema que esteja a passar ao lado, de alguns setores, como o do recrutamento, onde operamos”, continua.
O perigo não está apenas no facto de se poderem candidatar a oportunidades de emprego, participarem em entrevistas e reuniões com o rosto e a voz de outra pessoa, dificultarem o trabalho do recrutador ou boicotarem a força de trabalho de uma empresa. Envolve também a possibilidade de roubo de informações confidenciais – pessoais e das empresas – e de outros problemas mais graves ao nível da cibersegurança", António Loureiro, CEO da Conquest One.
“O perigo não está apenas no facto de se poderem candidatar a oportunidades de emprego, participarem em entrevistas e reuniões com o rosto e a voz de outra pessoa, dificultarem o trabalho do recrutador ou boicotarem a força de trabalho de uma empresa. Envolve também a possibilidade de roubo de informações confidenciais – pessoais e das empresas – e de outros problemas mais graves ao nível da cibersegurança”, alerta o gestor da multinacional de recrutamento de profissionais de tecnologias da informação.
Para já, também na Conquest One não há registo de incidentes deste cariz. “Mas estamos atentos a alguns casos que estão a surgir”, garante. “Os potenciais danos que esta ferramenta pode causar são enormes, e aos poucos existirão inevitavelmente cada vez mais casos em distintos setores. A tendência é para o deepfake evoluir cada vez mais, e não terminar. Não nos parece que seja uma moda. Portanto, cabe às empresas estarem sempre atentas a estes tópicos e assumirem uma postura preventiva face ao potencial perigo, nunca reativa.”
Formar as pessoas. Ter tecnologia que identifique o que o olho humano não vê
A equipa de recrutadores da Conquest One já foi, por isso, preparada para lidar com este novo desafio e preocupação nos processos de seleção. “Os nossos tech recruiters passaram a estar ainda mais atentos a todos os conteúdos que recebem dos talentos que são entrevistados. Analisam detalhadamente as imagens do entrevistado, validam fontes e informação para comprovarem a autenticidade de todos os dados e fazem um trabalho pós-entrevista para confirmarem novamente tudo”, explica o CEO.
A Conquest One considera ter uma política de segurança, privacidade e transparência muito forte no que toca aos dados dos clientes. “Já anteriormente toda a informação recolhida dos entrevistados era analisada, mas com a ameaça do deepfake surgiu um novo layer de dificuldade ao qual temos de estar atentos.”
Alexandre Miguel Aniceto, fundador e CEO da Emvenci, concorda que formar os recursos humanos, assim como todas as pessoas envolvidas em processos de recrutamento, sobre este tipo de ataque, e as suas consequências, é absolutamente fundamental. “Podem, e devem, ser criados procedimentos num processo de entrevista remota que ajudem a identificar os sinais associados a um deepfake”, recomenda.
A qualidade destas tentativas é variável, o que influencia a rapidez e a facilidade com que nos apercebemos que estamos perante um deepfake. Um maior grau de sofisticação pode tornar a identificação muito difícil. De acordo com um inquérito elaborado pela BanklessTimes.com, 43% das pessoas acreditam ser incapazes de detetar um deepfake.
À medida que os deepfakes são melhorados, o olho humano será cada vez menos eficaz e, por isso, é necessário ser substituído por software de cibersegurança com essa capacidade de análise", Alexandre Miguel Aniceto, Fundador e CEO da Emvenci.
Movimentos bruscos, iluminação instável, mudanças no tom da pele, modo de piscar os olhos estranho (ou nenhum piscar), lábios mal sincronizados com a fala e elementos digitais na imagem são alguns dos sinais a que os recrutadores devem estar atentos durante a entrevista, aconselha Miguel Aniceto.
“Mas um deepfake não precisa de ser obrigatoriamente com imagem/vídeo. Em 2019, um CEO de uma empresa britânica perdeu aproximadamente 220.000 euros com um áudio deepfake“, recorda. “À medida que os deepfakes são melhorados, o olho humano será cada vez menos eficaz e, por isso, é necessário ser substituído por software de cibersegurança com essa capacidade de análise”, acrescenta ainda o líder da Emvenci.
Ataques mais comuns
Ainda assim, Miguel Ancieto admite que o tema é “demasiado novo” e que, talvez por isso, não é ainda “uma preocupação atual” da maioria das empresas. “As empresas na nossa área ainda estão a lutar contra temas que deveriam ser banais, como os ataques de phishing, entre outros.”
“É fundamental que as empresas criem uma cultura de cibersegurança, para que exista cada vez mais, da parte do colaborador, a perceção de que as nossas atitudes no dia a dia influenciam, e muito, a capacidade das organizações se protegerem contra os ataques aos sistemas de informação. E, para isso, é preciso formação, sensibilização, em cibersegurança. Os vetores de ataques são muitos, e as questões levantadas pelos deepfakes são apenas mais uma. O colaborador é a última linha de defesa em muitas situações”, defende.
Desde o início de 2022 até 30 de setembro, os incidentes mais comuns reportados por empresas ao CNCS são referentes a “situações de phishing, seguido de distribuição de malware, utilização ilegítima de nome de terceiros e engenharia social“, avança fonte oficial da instituição.
Neste sentido, as práticas recomendadas pelo CNCS diferem conforme a natureza e maturidade em cibersegurança da empresa. Contudo, o Centro aconselha a “criação de palavras-passe robustas e ativação do multifator de autentificação (MFA)”; a “formação e sensibilização em cibersegurança para os colaboradores”; e a “garantia de que o software está atualizado, de forma a evitar vulnerabilidades passíveis de ser exploradas e que possam ter como consequência, por exemplo, uma intrusão no sistema da empresa”.
