O que são as prisões digitais, a mais nova ferramenta deepfake usada pelos cibercriminosos? | Notícias de ciência e tecnologia #ÚltimasNotícias

Um barão têxtil indiano revelou que foi enganado em 70 milhões de rúpias (833 mil dólares) por golpistas online que se passaram por investigadores federais e até mesmo pelo presidente do Supremo Tribunal.

Os fraudadores se passando por funcionários do Central Bureau of Investigation (CBI) da Índia ligaram para SP Oswal, presidente e diretor administrativo da fabricante têxtil Vardhman, em 28 de agosto e o acusaram de lavagem de dinheiro.

Nos dois dias seguintes, Oswal esteve sob vigilância digital, pois recebeu ordens de manter o Skype aberto em seu telefone 24 horas por dia, 7 dias por semana, durante o qual foi interrogado e ameaçado de prisão. Os fraudadores também conduziram uma audiência virtual falsa com uma representação digital do Chefe de Justiça da Índia, DY Chandrachud, como juiz.

Oswal pagou o valor após a sentença judicial via Skype, sem perceber que era a última vítima de um golpe online usando um novo modus operandi, chamado de “prisão digital”.

Então, o que é uma prisão digital e quais medidas são necessárias para impedi-la?

O que exatamente é uma prisão digital?

A prisão digital é uma nova forma de fraude online, na qual os golpistas convencem as vítimas de que estão sob uma prisão “digital” ou “virtual” e a vítima é coagida a permanecer conectada com o golpista através de um software de videoconferência. Os fraudadores então manipulam seus alvos para manter contato contínuo por vídeo, mantendo-os efetivamente reféns das demandas fraudulentas dos golpistas.

Semelhante ao phishing, uma prisão digital é um tipo de ataque cibernético que envolve enganar indivíduos para que revelem informações confidenciais que podem envolver roubo de identidade, perda financeira ou roubo de dados para fins maliciosos. As técnicas tornaram-se mais sofisticadas com o advento do áudio e vídeo gerados por IA.

Phishing é um ataque cibernético no qual um invasor se faz passar por uma organização ou pessoa legítima para enganar o indivíduo ou organização e fazê-lo divulgar informações confidenciais.

O golpista causará uma perda extrema, seja financeira ou alguma outra consequência legal, convencendo a vítima de que está “aqui para ajudar”. Muitas vítimas são acalentadas ou coagidas a baixar a guarda e seguir as instruções do golpista.

O que faz com que muitos desses golpes pareçam legítimos é o uso de software de videoconferência. A maioria dos golpes não tem rosto, e as interações acontecem por meio de um simples telefonema. Com o software de videoconferência, um indivíduo que usa tecnologia sofisticada de vídeo deepfake pode parecer uma pessoa completamente diferente – e muitas vezes real – participando da videochamada.

Além disso, com um trecho de áudio, talvez de um juiz ou policial de alto nível, um mecanismo de IA de áudio pode replicar a voz de uma pessoa, que pode então ser usada pelo golpista.

“’Este é apenas um novo spear-phishing, é como eu diria, porque é altamente direcionado e mostra uma consciência muito maior das circunstâncias da vítima do que o antigo phishing, onde algum príncipe de algum lugar diz que precisava enviar dinheiro para os EUA e, de alguma forma, você é a única maneira de ele fazer isso”, disse VS Subrahmanian, professor de ciência da computação na Northwestern University, à Al Jazeera.

“Portanto, os golpes de phishing ficaram muito mais sofisticados e, na verdade, existem palavras para isso. Vishing é phishing de vídeo, phishing é pescar por SMS.”

O que sabemos sobre a história de SP Oswal? Outras prisões digitais aconteceram?

De acordo com uma entrevista ao novo canal NDTV, Oswal recebeu uma ligação de um indivíduo anônimo alegando que havia irregularidades financeiras em uma de suas contas bancárias, enquanto alegava que sua conta estava vinculada a um caso contra Naresh Goyal, o ex-presidente da Jet Airways que foi preso em setembro de 2023 pela lavagem de 5,3 bilhões de rúpias (US$ 64 milhões).

Os fraudadores conseguiram convencer Oswal a pagar US$ 833 mil para uma conta bancária específica após emitir mandados de prisão falsos e documentos falsos da Suprema Corte estipulando o suposto valor devido.

Oswal apresentou queixa à polícia local após o incidente. Com a ajuda de autoridades do crime cibernético, Oswal conseguiu recuperar US$ 630.000 dos US$ 833.000. Segundo a polícia local, esta é a maior recuperação na Índia para um caso desta natureza.

Embora Oswal seja a última vítima de um golpe de phishing digital, as prisões digitais têm aumentado nos últimos anos na Índia. A proliferação de muitas destas detenções digitais ganhou força por volta de 2020, depois de muitos serviços terem sido transferidos para a Internet devido aos confinamentos durante a pandemia da COVID-19.

No mês passado, um funcionário que trabalha para o Centro de Tecnologia Avançada Raja Ramanna (RRCAT) do Departamento de Energia Atômica foi fraudado em 7,1 milhões de rúpias (aproximadamente US$ 86.000) após uma prisão digital.

Num outro incidente no mês passado, um alto funcionário da National Buildings Construction Corporation foi enganado em 5,5 milhões de rúpias (aproximadamente 66 mil dólares) através de videochamada WhatsApp, depois de ser acusado de tráfico de passaportes falsos, cartões multibanco ilegais e drogas ilegais.

Por que estão aumentando os golpes sofisticados de vídeos de IA deepfake?

Embora a tecnologia deepfake exista desde 2015, o uso de deepfakes para esquemas fraudulentos tornou-se mais frequente e sofisticado devido à aceleração do aprendizado de máquina e de diversas ferramentas de IA.

Essas novas tecnologias deepfake permitem que um fraudador incorpore qualquer pessoa no mundo em um vídeo ou foto, até mesmo adicionando áudio usando um fluxo multimídia de IA deepfake, e depois se faça passar por indivíduo em uma chamada de videoconferência como Zoom, Skype ou Teams. A menos que o anfitrião da chamada tenha software anti-deepfake, o deepfake pode ser difícil de detectar.

De acordo com um artigo do Wall Street Journal (WSJ) publicado em março de 2019, os fraudadores usaram IA de voz falsa para fraudar o CEO de uma empresa de energia com sede no Reino Unido em 220.000 euros (US$ 243.000).

Alguns softwares deepfake precisam apenas de 10 segundos a um minuto de áudio de uma pessoa falando para replicar vários padrões de fala, emoções e sotaque do assunto. O software de voz de IA leva em conta até mesmo pausas naturais, inflexão de certas letras e tom de voz, tornando a réplica virtualmente indistinguível do áudio que realmente vem da pessoa real.

De acordo com um artigo do New York Times, no mês passado uma pessoa se fez passar pelo antigo ministro dos Negócios Estrangeiros ucraniano, Dmytro Kuleba, numa videoconferência com o senador Benjamin L Cardin, presidente da Comissão de Relações Exteriores.

Embora não tenha havido fraude monetária, isto levanta o perigo de que intervenientes fraudulentos possam manipular líderes políticos importantes para influenciar determinados resultados de eleições políticas ou iniciativas de política externa de alto risco.

Embora os incidentes de prisões digitais tenham acontecido em diferentes países ao redor do mundo, de acordo com Subrahmanian, professor da Northwestern University, esses golpes tendem a ser generalizados na Índia devido à falta de conscientização sobre deepfakes.

Além disso, Subrahmanian disse que uma parte significativa da população da Índia opera exclusivamente em seus telefones celulares. “Eles pensam no telefone como algo em que devem confiar, que fornece boas informações. Então, quando recebem uma ligação como essa, eles não necessariamente desconfiam logo de cara.”

Ele acrescentou que o setor de telecomunicações da Índia não levou a sério a segurança cibernética.

Como isso pode ser interrompido?

A maior parte do software deepfake é criada usando um tipo de modelo de inteligência artificial (IA) chamado redes adversárias generativas (GANs). Esses GANs geralmente deixam um “artefato” único no deepfake.

O sistema de detecção de deepfake pode detectar esses artefatos e ser detectado. Tais artefatos incorporados no áudio podem ser reconhecidos por um sistema de detecção de deepfake.

À medida que a tecnologia deepfake se torna mais sofisticada, os sistemas de detecção terão que acompanhar essas inovações.

No entanto, Subrahmanian sugeriu que confiar apenas em software de detecção de deepfake não é suficiente. Será necessária uma consciencialização sobre estas tecnologias deepfake e, possivelmente, uma iniciativa global, semelhante à lei de privacidade do Regulamento Geral de Proteção de Dados (RGPD) promulgada pela União Europeia.

“Uma é usar acordos existentes que já existem. Então, para dar um exemplo, a Interpol pode emitir mandados para pessoas que cometem fraudes transnacionais, independentemente de essas fraudes serem baseadas em fraude financeira através de IA generativa ou qualquer outra coisa”.

As organizações responsáveis ​​pela aplicação das leis internacionais e dos acordos de cooperação precisam de uma melhor formação e de ferramentas mais eficazes, disse ele.