0
0
Especialistas em segurança estão em alerta para a próxima evolução da engenharia social em ambientes de negócios: entrevistas de emprego deepfake. A última tendência oferece um vislumbre do futuro arsenal de criminosos que usam pessoas convincentes e falsificadas contra usuários de negócios para roubar dados e cometer fraudes.
A preocupação vem após uma nova assessoria esta semana do Centro de Reclamação de Crimes na Internet (IC3) do FBI, que alertou sobre o aumento da atividade de fraudadores que tentam enganar o processo de entrevista on-line para cargos de trabalho remoto. O aviso disse que os criminosos estão usando uma combinação de vídeos falsos e dados pessoais roubados para se deturpar e ganhar emprego em uma variedade de posições de trabalho a partir de casa que incluem tecnologia da informação, programação de computadores, manutenção de banco de dados e funções de trabalho relacionadas a software.
Autoridades federais de aplicação da lei disseram no aviso que receberam uma série de reclamações de empresas.
“N essas entrevistas, as ações e o movimento dos lábios da pessoa vista entrevistada na câmera não se coordenam completamente com o áudio da pessoa falando”, disse o conselho. “Às vezes, ações como tosse, espirros ou outras ações auditivas não estão alinhadas com o que é apresentado visualmente.”
As denúncias também observaram que os criminosos estavam usando informações de identificação pessoal (PII) roubadas em conjunto com esses vídeos falsos para se passar melhor pelos candidatos, com verificações de antecedentes posteriores desenhando discrepâncias entre o indivíduo entrevistado e a identidade apresentada no aplicativo.
Motivos Potenciais de Ataques Deepfake
Embora o conselho não tenha especificado os motivos para esses ataques, ele observou que as posições solicitadas por esses fraudadores eram aquelas com algum nível de acesso corporativo a dados ou sistemas confidenciais.
Assim, os especialistas em segurança acreditam que um dos objetivos mais óbvios para percorrer uma entrevista remota é colocar um criminoso em posição de se infiltrar em uma organização para qualquer coisa, desde espionagem corporativa até roubo comum.
“Notavelmente, algumas posições relatadas incluem acesso a PII do cliente, dados financeiros, bancos de dados corporativos de TI e/ou informações proprietárias”, disse o consultor.
“Um fraudador que pega um trabalho remoto dá vários passos gigantescos para roubar as jóias da coroa de dados da organização ou bloqueá-las por ransomware”, diz Gil Dabah, cofundador e CEO da Piiano. “Agora eles são uma ameaça privilegiada e muito mais difíceis de detectar.”
Além disso, a personificação de curto prazo também pode ser uma maneira de os candidatos com um “perfil pessoal contaminado” passarem pelas verificações de segurança, diz DJ Sampath, cofundador e CEO da Armorblox.
“Esses perfis falsos são configurados para contornar os freios e contrapesos para passar pela política de recrutamento da empresa”, diz ele.
Existe o potencial de que, além de obter acesso para roubar informações, atores estrangeiros possam estar tentando entrar em empresas dos EUA para financiar outras empresas de hackers.
“Este aviso de segurança do FBI é um dos muitos que foram relatados por agências federais nos últimos meses. Recentemente, o Tesouro, o Departamento de Estado e o FBI dos EUA divulgaram um aviso oficial indicando que as empresas devem ter cuidado com os trabalhadores de TI norte-coreanos que fingem ser contratados freelancers para se infiltrarem nas empresas e coletar receita para seu país”, explica Stuart Wells, CTO da Jumio. “Organizações que, sem saber, pagam aos hackers norte-coreanos potencialmente enfrentam consequências legais e violam as sanções do governo.”
O que isso significa para os CISOs
Muitos dos avisos falsos profundos dos últimos anos têm sido principalmente sobre questões políticas ou sociais. No entanto, esta última evolução no uso de mídia sintética por criminosos aponta para a crescente relevância da detecção de deepfake em ambientes de negócios.
“Acho que essa é uma preocupação válida”, diz o Dr. Amit Roy-Chowdhury, professor de engenharia elétrica e de computação na Universidade da Califórnia em Riverside. “Fazer um vídeo deepfake durante uma reunião é desafiador e relativamente fácil de detectar. No entanto, as pequenas empresas podem não ter a tecnologia para poder fazer essa detecção e, portanto, podem ser enganadas pelos vídeos profundos. Deepfakes, especialmente imagens, podem ser muito convincentes e, se emparelhados com dados pessoais, podem ser usados para criar fraudes no local de trabalho.”
Sampath adverte que uma das partes mais desconcertantes deste ataque é o uso de PII roubadas para ajudar na representação.
“À medida que a prevalência da DarkNet com credenciais comprometidas continua a crescer, devemos esperar que essas ameaças maliciosas continuem em escala”, diz ele. “Os CISOs precisam ir além para atualizar sua postura de segurança quando se trata de verificações de antecedentes no recrutamento. Muitas vezes, esses processos são terceirizados, e um procedimento mais rigoroso é necessário para mitigar esses riscos.”
Preocupações futuras com Deepfake
Antes disso, os exemplos mais públicos de uso criminoso de deepfakes em ambientes corporativos foram como uma ferramenta para apoiar ataques de compromisso de e-mail comercial (BEC). Por exemplo, em 2019, um atacante usou software deepfake para se passar pela voz do CEO de uma empresa alemã para convencer outro executivo da empresa a enviar urgentemente uma transferência bancária de US$ 243.000 em apoio a uma emergência de negócios inventado. Mais dramaticamente, no outono passado, um criminoso usou áudio falso e e-mails falsificados para convencer um funcionário de uma empresa dos Emirados Árabes Unidos a transferir US$ 35 milhões para uma conta de propriedade dos bandidos, enganando a vítima a pensar que era em apoio à aquisição de uma empresa.
De acordo com Matthew Canham, CEO da Beyond Layer 7 e membro do corpo docente da Universidade George Mason, os atacantes vão usar cada vez mais a tecnologia deepfake como uma ferramenta criativa em seus arsenais para ajudar a tornar suas tentativas de engenharia social mais eficazes.
“A mídia sintética como deepfakes vai levar a engenharia social a outro nível”, diz Canham, que no ano passado na Black Hat apresentou pesquisas sobre contramedidas para combater a tecnologia deepfake.
A boa notícia é que pesquisadores como Canham e Roy-Chowdhury estão avançando na criação de detecção e contramedidas para falsificações profundas. Em maio, a equipe de Roy-Chowdhury desenvolveu uma estrutura para detectar expressões faciais manipuladas em vídeos deepfaked com níveis de precisão sem precedentes.
Ele acredita que novos métodos de detecção como este podem ser colocados em uso com relativa rapidez pela comunidade de segurança cibernética.
“Acho que eles podem ser operacionalizados a curto prazo – um ou dois anos – com colaboração com o desenvolvimento profissional de software que pode levar a pesquisa para a fase de produto de software”, diz ele.
FONTE: DARK READING