A inteligência artificial (IA) está trazendo grandes benefícios para muitas empresas. Essa ferramenta ajuda a automatizar tarefas repetitivas, aumentando a eficiência e reduzindo custos. Também está revolucionando o atendimento ao cliente e a programação, além de fornecer ideias valiosas para melhorar a tomada de decisões nos negócios. Em outubro de 2023, a Gartner estimou que 55% das organizações estavam em fase de teste ou implementação da IA generativa (GenAI). Esse número certamente é ainda maior hoje.

No entanto, grupos criminosos também estão inovando com essa tecnologia, o que representa um grande risco para líderes de TI e negócios. Para enfrentar essa crescente ameaça de fraude, é essencial adotar uma abordagem em camadas, focada em pessoas, processos e tecnologia.

Quais são as ameaças mais recentes relacionadas à IA e deepfakes?

Os cibercriminosos estão explorando o poder da IA e dos deepfakes de diversas maneiras, incluindo:

  • Funcionários falsos: Centenas de empresas reportaram que foram infiltradas por norte-coreanos que se passam por freelancers de TI em regime remoto. Eles utilizam ferramentas de IA para criar currículos e documentos falsificados, incluindo imagens manipuladas por IA, a fim de passar em verificações de antecedentes. O objetivo final é tanto gerar dinheiro para o regime norte-coreano quanto realizar espionagem, roubo de dados e até ataques de ransomware.
  • Um novo tipo de golpe BEC: Clipes de áudio e vídeo gerados por deepfake estão sendo usados para potencializar fraudes do tipo Business Email Compromise (BEC), onde funcionários do setor financeiro são enganados para transferir dinheiro corporativo para contas controladas por criminosos. Em um caso recente, um funcionário foi persuadido a transferir US$ 25 milhões para fraudadores que utilizaram deepfakes para se passar pelo CFO da empresa e outros funcionários em uma videochamada. Esse tipo de golpe não é novo: já em 2019, um executivo de uma empresa de energia do Reino Unido foi enganado a transferir £ 200.000 após falar com uma versão deepfake de seu chefe por telefone.
  • Burlar a autenticação: Deepfakes também estão sendo usados para ajudar criminosos a se passarem por clientes legítimos, criar identidades falsas e contornar verificações de autenticação para abertura de contas e acessos. Um malware sofisticado, chamado GoldPickaxe, foi projetado para coletar dados de reconhecimento facial e criar vídeos deepfake para fraudes. Segundo um relatório, 13,5% das novas contas digitais abertas globalmente no último ano foram consideradas suspeitas de fraude.
  • Golpes com deepfake: Cibercriminosos utilizam deepfakes para se passar por CEOs e outras figuras de alto perfil em redes sociais, promovendo golpes de investimento e outros tipos de fraude. O mais recente Threat Report da ESET também destaca como criminosos estão usando deepfakes e postagens falsas com identidade visual de empresas para atrair vítimas em um novo esquema de fraude chamado Nomani.
  • Quebra de senhas: Algoritmos de IA podem ser programados para quebrar senhas de clientes e funcionários, permitindo roubo de dados, ataques de ransomware e fraudes de identidade em larga escala. O PassGAN, por exemplo, consegue supostamente quebrar senhas em menos de meio minuto.
  • Falsificação de documentos: Documentos gerados ou alterados por IA são uma forma de burlar verificações do tipo Know Your Customer (KYC) em bancos e outras empresas, além de facilitar fraudes em seguros. Segundo um levantamento, 94% dos analistas de sinistros suspeitam que pelo menos 5% dos pedidos de indenização estejam sendo manipulados com IA, especialmente nos casos de menor valor.
  • Phishing e reconhecimento de alvos: O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) alertou que a IA generativa e outros tipos de IA estão impulsionando o crescimento da atividade criminosa. Em 2024, a instituição afirmou que essa tecnologia "quase certamente aumentará o volume e o impacto dos ataques cibernéticos nos próximos dois anos", tornando os ataques de engenharia social e reconhecimento de alvos ainda mais eficazes. Isso pode levar a mais ataques de ransomware, roubo de dados e campanhas de phishing em larga escala contra consumidores.

Qual é o impacto das ameaças relacionadas à IA?

As fraudes impulsionadas por IA resultam, em última instância, em danos financeiros e à reputação das empresas, com impactos variados. Um relatório estima que 38% da receita perdida devido a fraudes no último ano foi causada por golpes habilitados por IA. Considere como:

  • A burla ao KYC (Know Your Customer) permite que fraudadores obtenham crédito indevido e esgotem os fundos de contas legítimas de clientes.
  • Funcionários falsos podem roubar propriedade intelectual sensível e informações reguladas de clientes, causando impactos financeiros, problemas de conformidade e danos à reputação da empresa.
  • Golpes BEC podem gerar perdas financeiras significativas de uma só vez. Apenas em 2023, esse tipo de fraude rendeu aos cibercriminosos mais de US$ 2,9 bilhões.
  • Golpes de falsificação de identidade colocam em risco a fidelidade dos clientes. Um terço dos consumidores afirma que deixaria de comprar de uma marca que ama após apenas uma experiência ruim.

Combatendo fraudes impulsionadas por IA

Lidar com o aumento das fraudes habilitadas por IA exige uma resposta em várias camadas, focada em pessoas, processos e tecnologia. Isso deve incluir:

  • Avaliações frequentes de riscos de fraude.
  • Atualização das políticas antifraude para torná-las relevantes no contexto da IA.
  • Treinamento e programas abrangentes de conscientização para funcionários (como identificar phishing e deepfakes).
  • Educação e campanhas de conscientização voltadas aos clientes.
  • Ativação da autenticação multifator (MFA) para todas as contas corporativas e de clientes sensíveis.
  • Melhoria na verificação de antecedentes de funcionários, incluindo a análise de currículos para identificar inconsistências na trajetória profissional.
  • Garantia de que todos os funcionários sejam entrevistados por vídeo antes da contratação.
  • Maior colaboração entre as equipes de RH e cibersegurança.

A tecnologia de IA também pode ser uma aliada nessa luta, por exemplo:

  • Ferramentas de IA para detectar deepfakes, como em processos de KYC (Know Your Customer).
  • Algoritmos de machine learning para identificar padrões de comportamento suspeito em funcionários e clientes.
  • Uso de GenAI para gerar dados sintéticos e desenvolver, testar e treinar novos modelos de detecção de fraude.

À medida que a batalha entre IA maliciosa e IA defensiva entra em uma nova fase, as organizações devem atualizar suas políticas de segurança cibernética e antifraude para acompanhar a evolução das ameaças. Dado o que está em jogo, a falta de ação pode comprometer a fidelidade dos clientes, o valor da marca e até mesmo iniciativas de transformação digital.

A IA tem o potencial de mudar o jogo para os criminosos, mas também pode ser uma aliada poderosa para as equipes de segurança e gerenciamento de riscos.