Roubo de identidade na era da IA

Estou seguro? Esta é a nova pergunta fundamental que deve fazer a si próprio sempre que receber um pedido estranho por email, chamada de voz ou mesmo videochamada.

BBVA PivotcibersegurancaRoubo de identidade na era da IA

Bem-vindo à era da Inteligência Artificial (IA) e dos deepfakes, uma era que desafia o que vemos e ouvimos e tira partido da forma como tendemos a tomar decisões rápidas.

A IA está a revolucionar rapidamente os ciberataques, fazendo com que as máquinas se assemelham às redes neuronais humanas. Aprende com as interações com os utilizadores, gerando redes de conhecimento capazes de distorcer a realidade, chegando mesmo a suplantar a identidade humana, um dos maiores riscos que enfrentamos.

De acordo com Adrian Flecha, técnico de cibersegurança do INCIBE-CERT, “o roubo de identidade é qualquer tentativa deliberada de se fazer passar por outra pessoa ou entidade, utilizando informações pessoais, profissionais ou empresariais, com o objetivo de enganar, manipular ou realizar ações fraudulentas que resultem em benefícios económicos ou sociais ou no acesso indevido a dados sensíveis”.

Mas o que são deepfakes? Os deepfakes são imagens, vídeos e áudios falsos extremamente convincentes gerados por IA utilizando algoritmos de aprendizagem profunda e coleções de imagens, gravações de áudio e vídeo da pessoa que pretendem imitar. Podem fazer-nos sentir incapazes de distinguir entre conteúdos reais e falsos, mesmo que pareçam totalmente realistas.

Tal como acontece com outros ataques de engenharia social, nos deepfakes com intenção fraudulenta, os cibercriminosos utilizam todos os princípios de persuasão possíveis para o atrair para a sua armadilha, sobretudo o princípio da urgência e da autoridade. Pressionam-nos a agir rapidamente, sem nos darem tempo para pensar com calma.

De acordo com um estudo da Signicat, os deepfakes representam 6,5% de todas as tentativas de fraude, o que representa um aumento de 2137% nos últimos três anos.

Os cibercriminosos podem fazer-se passar por nós através de dois tipos de fraude de identidade: a fraude de identidade tradicional, em que roubam toda a identidade extraindo dados biométricos e utilizando a IA para assumir fraudulentamente contas, inscrever-se em serviços, enganar familiares e amigos, etc.; ou a fraude de identidade sintética, em que roubam informações pessoais reais e as combinam com informações fictícias geradas por IA, criando uma identidade falsa que lhes permite construir gradualmente um historial e estabelecer credibilidade, tornando difícil serem facilmente detetados.

Quando os autores de fraudes tentam enganá-lo com deepfake phishing, deve:

  1. Desconfiar de pedidos invulgares. Se o pedido for invulgar, se a pessoa que o faz nunca nos tiver contactado antes ou se algo parecer suspeito, devemos certificar-nos de que a fonte é de confiança. Devemos adquirir o hábito de parar e pensar duas vezes, em vez de confiar automaticamente no que vemos ou lemos.

  2. Examinar cuidadosamente o conteúdo. Procure ativamente os pormenores que não se enquadram ou que parecem suspeitos – não se limite ao que parece verdadeiro à primeira vista. Analise sempre o contexto e procure pormenores específicos consoante o tipo de conteúdo.

    1. Nas imagens, analise cuidadosamente os pormenores, a iluminação e as sombras.

    2. No áudio, preste atenção à linguagem utilizada, ao tom, ao ritmo e aos ruídos de fundo.

    3. Nos vídeos, para além de analisar o áudio, observe a linguagem não verbal, a forma do corpo e do rosto, especialmente os movimentos faciais; a boca e os olhos serão fundamentais para determinar se o áudio corresponde ao movimento e se há um pestanejar natural.

  3. Confiar na tecnologia. A IA cria uma dualidade interessante: revolucionou tanto a cibercriminalidade como a cibersegurança. De facto, no domínio da cibersegurança, a IA pode ajudar a identificar ameaças que, de outra forma, escapariam ao olho humano.

Mas como é que nos podemos proteger contra a usurpação de identidade?

  1. Tornando-o fácil e seguro: A ativação da autenticação em dois passos é uma forma simples de acrescentar uma barreira de proteção muito forte, sempre que possível.

  2. Autenticar a identidade da pessoa, do sítio Web ou da empresa a quem fornecemos as nossas informações.

  3. Controlar as suas informações: Pense cuidadosamente sobre os dados pessoais que partilha em linha. Quanto menos informações fornecer, menos material terá para tentar fazer-se passar por si.

  4. Evite o excesso de confiança (“não me vai acontecer a mim”): Manter-se a par das ameaças ajuda-o a estar consciente dos riscos reais, mesmo que ainda não lhe tenha acontecido nada.

Estas práticas permitir-nos-ão estar preparados e saber como agir para enfrentar esta nova era em que a IA está em constante evolução. Adquirir o hábito de hesitar um pouco e verificar as coisas antes de atuar é a nossa melhor defesa neste ambiente em constante mudança.