hacker usando moleton com capuz em frente a uma tela de projeção com código binário e ícone de caveira de ossos projetados sobre seu corpo e rosto
Freepik/standret

A LastPass, empresa de gerenciamento de senhas, revelou recentemente que um de seus funcionários foi alvo de uma tentativa de phishing sofisticada utilizando tecnologia deepfake. O ataque tentou se passar pelo CEO da companhia, Karim Toubba, por meio de ligações, mensagens de texto e um mensagens de voz com áudio simulando a voz do executivo.

O phishing é fraude online que usa disfarces para enganar a vítima. Criminosos imitam empresas e bancos enviando e-mails, mensagens ou ligações. Seu objetivo é roubar dados sigilosos como senhas e contas bancárias. De acordo com um estudo recente da empresa de segurança McAfee [PDF completo aqui, em Inglês], 25% das pessoas entrevistadas já vivenciaram ou conhecem alguém que tenha sido vítima de golpes utilizando imitação de voz.

Felizmente, neste caso, a tentativa de fraude não teve êxito. O funcionário desconfiou da comunicação por se tratar de um canal incomum para contatos da empresa: o WhatsApp.

“Nosso funcionário recebeu ligações, mensagens e pelo menos uma mensagem de voz com áudio deepfake imitando a voz do CEO através do WhatsApp”, explicou Mike Kosak, analista de inteligência da LastPass. “Como a comunicação ocorreu fora dos canais usuais da empresa e devido à suspeita de características comuns a tentativas de engenharia social, o funcionário ignorou corretamente as mensagens e reportou o incidente à nossa equipe interna de segurança. Isso permitiu que tomássemos medidas para mitigar a ameaça e alertar outras empresas, tanto interna quanto externamente”, completou

Kosak reforçou que o ataque falhou e não causou nenhum impacto para a LastPass. No entanto, a companhia optou por compartilhar os detalhes do incidente para evidenciar o uso de deepfakes gerados por inteligência artificial em golpes de fraude por imitação de executivos. É provável que o áudio deepfake utilizado tenha sido criado a partir de gravações públicas do CEO da LastPass disponíveis online, possivelmente do YouTube.

Veja também:

Este incidente ocorre após dois vazamentos de segurança divulgados pela LastPass em agosto e novembro de 2022. Atualmente, a plataforma de gerenciamento de senhas afirma ser utilizada por milhões de usuários e mais de 100.000 empresas globalmente.

Aumento de ataques com deepfakes

O alerta da LastPass reforça um comunicado divulgado na semana passada pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS). O órgão advertiu sobre cibercriminosos utilizando engenharia social, onde a vítima é enganada a passar informações sigilosas ou permitir acesso restrito por vontade própria, e ferramentas de clonagem de voz por IA para enganar equipes de help desk de TI de empresas do setor de saúde.

O uso de deepfakes de áudio dificulta a verificação remota da identidade do interlocutor, tornando ataques que imitam executivos e funcionários ainda mais complexos de serem detectados.

Embora o HHS tenha compartilhado recomendações específicas para ataques contra equipes de help desk na área da saúde, as seguintes medidas também se aplicam a tentativas de fraude por imitação de CEO:

  • Exigir ligações de retorno para verificar solicitações de redefinição de senha e novos dispositivos de MFA (Multi-Factor Authentication).
  • Monitorar alterações suspeitas em transferências eletrônicas automatizadas (ACH).
  • Revalidar todos os usuários com acesso a sites de pagamento.
  • Considerar solicitações presenciais para questões sensíveis.
  • Exigir a verificação de supervisores para aprovação de solicitações.
  • Treinar equipes de help desk para identificar e reportar técnicas de engenharia social e verificar a identidade dos solicitantes.

Em março de 2021, o FBI emitiu um alerta para o setor privado, alertando que deepfakes – incluindo áudio, texto, imagens ou vídeos gerados ou manipulados por IA – estavam se tornando cada vez mais sofisticados e provavelmente seriam amplamente utilizados por hackers em “operações cibernéticas e de influência estrangeira”.

Além disso, a Europol advertiu em abril de 2022 que deepfakes podem em breve se tornar uma ferramenta rotineiramente usada por grupos de cibercriminosos em fraudes por imitação de CEOs, adulteração de evidências e criação de pornografia não consensual.