É o pior pesadelo de qualquer pai ou mãe. Você recebe uma ligação de um número desconhecido e, do outro lado da linha, ouve seu filho pedindo socorro. Em seguida, o suposto "sequestrador" entra na linha exigindo o pagamento de um resgate ou você nunca mais verá seu filho ou filha. Infelizmente, esse não é um cenário de um filme de Hollywood.
Na verdade, a situação mencionada acima se trata de um exemplo aterrorizante do que os golpistas podem fazer para extorquir dinheiro de suas vítimas, utilizando novas tecnologias para fins criminosos. A situação mencionada também mostra a qualidade da tecnologia de clonagem de voz por Inteligência Artificial (IA), que agora é convincente o suficiente para enganar até mesmo familiares próximos. Felizmente, quanto mais as pessoas souberem sobre esses golpes, menor será a probabilidade dos cibercriminosos ganharam dinheiro através desse tipo de fraude.
Como funciona o sequestro virtual
Há vários estágios principais em um golpe típico de sequestro virtual. Em termos gerais, ocorre o seguinte:
- Os golpistas pesquisam vítimas em potencial para ligar e tentar extorquir dinheiro delas. Essa etapa também pode ser otimizada com o uso de ferramentas de IA (vamos falar mais sobre isso adiante).
- Os golpistas identificam uma vítima de "sequestro", provavelmente o filho da pessoa que identificaram no estágio 1. Eles podem fazer isso vasculhando as redes sociais ou outras informações públicas da vítima.
- Em seguida, o criminoso cria um cenário imaginário, certificando-se de torná-lo o mais angustiante possível para a pessoa para a qual estão prestes a ligar. Quanto mais assustado a vítima estiver, menor será a probabilidade de tomar decisões racionais. Como qualquer boa tentativa de engenharia social, os golpistas querem apressar a tomada de decisão da vítima por esse motivo.
- Os criminosos podem, então, realizar mais algumas pesquisas de código aberto para calcular qual seria o melhor momento para ligar para você. Eles podem vasculhar as redes sociais ou outras fontes para descobrir isso. A ideia é entrar em contato com você em um momento em que seu familiar ou amigo esteja em outro lugar, de preferência de férias, como ocorreu com a filha de Jennifer DeStefano.
- Em seguida, os golpistas criam os deepfakes de áudio e fazem a chamada. Usando um software facilmente disponível, os golpistas criam um áudio com a "voz" da vítima e o usam para tentar convencê-la de que sequestraram um parente ou amigo. Eles podem usar outras informações obtidas nas redes sociais para tornar o golpe mais convincente, por exemplo, mencionando detalhes sobre o suposto "sequestrado" que um estranho talvez não soubesse.
Se você cair no golpe, os criminosos provavelmente pedirão que seja pago um resgate de forma não rastreável, como através de uma criptomoeda.
Superfaturamento de sequestros virtuais
Há variações sobre esse tema. O mais preocupante é a possibilidade do ChatGPT e outras ferramentas de IA turbinarem o sequestro virtual, fazendo com que seja mais fácil para os golpistas encontrarem as vítimas ideais. Há anos, anunciantes e profissionais de marketing vêm usando técnicas de "modelagem de propensão" para enviar as mensagens certas para as pessoas certas no momento certo.
A IA Generativa pode ajudar os golpistas a fazerem o mesmo, procurando os indivíduos com maior probabilidade de pagar se expostos a um esquema de sequestro virtual. Eles também podem procurar pessoas dentro de uma área geográfica específica, com perfis públicos de rede social e com um histórico socioeconômico específico.
Uma segunda opção seria usar um ataque de troca de SIM contra o "sequestrado" para sequestrar seu número de telefone antes do golpe. Isso acrescentaria uma legitimidade desconcertante à chamada telefônica. Embora DeStefano tenha conseguido verificar que sua filha estava bem e em segurança e, portanto, desligar o telefone dos extorsionários, isso seria muito mais difícil de fazer se o parente da vítima não puder ser contatado.
O que o futuro reserva para a clonagem de voz
Infelizmente, a tecnologia de clonagem de voz já é preocupantemente convincente, como prova a situação mencionada no início desta publicação. E ela está cada vez mais acessível aos golpistas. Um relatório de inteligência de maio alertou sobre ferramentas legítimas de conversão de texto em fala que podem ser usadas de forma abusiva, além de um interesse crescente no submundo do cibercrime pela clonagem de voz como serviço (VCaaS). Se essa última opção decolar, ela poderá democratizar a capacidade de lançar esses ataques em toda a economia do cibercrime, especialmente se for usada em combinação com ferramentas de AI Generativa.
Na verdade, além da desinformação, a tecnologia deepfake também está sendo usada para comprometer e-mails comerciais (conforme testado por nosso próprio Jake Moore) e sextorsão.
Como se manter seguro
A boa notícia é que um pouco de conhecimento pode ajudar muito a diminuir a ameaça das deepfakes em geral e do sequestro virtual em particular. Há coisas que você pode fazer hoje para minimizar as chances de ser selecionado como vítima e de cair em uma chamada criminosa, caso ocorra.
Confira algumas dicas:
- Não compartilhe informações pessoais em excesso nas redes sociais. Isso é absolutamente fundamental. Evite publicar detalhes como endereços e números de telefone. Se possível, nem mesmo compartilhe fotos ou gravações de vídeo/áudio da sua família e, muito menos, detalhes sobre os planos de férias de familiares e amigos;
- Mantenha seus perfis de rede social privados para minimizar as chances de criminosos encontrarem você na Internet;
- Fique atento a mensagens de phishing que podem ser criadas para te induzir a fornecer informações pessoais confidenciais ou logins de contas de redes sociais;
- Peça que seus filhos e familiares próximos baixem rastreadores de geolocalização, como o Find My iPhone;
- Se você receber uma ligação, mantenha os "sequestradores" falando. Ao mesmo tempo, tente ligar para o suposto sequestrado de outra linha ou peça a alguém próximo que faça isso;
- Fique calmo, não compartilhe informações pessoais e, se possível, faça com que ele responda a uma pergunta que somente o sequestrado saberia e peça para falar com a pessoa supostamente sequestrada;
- Notifique a polícia local o mais rápido possível.
O sequestro virtual é apenas o começo. Mas mantenha-se atualizado sobre os golpes mais recentes e você terá uma boa chance de impedir ataques antes que eles causem sérios problemas emocionais.