A inteligência artificial (IA) está revolucionando nosso mundo de maneiras previsíveis e surpreendentes. Para os consumidores, essa tecnologia proporciona conteúdos digitais mais personalizados, diagnósticos médicos mais precisos, tradução de idiomas em tempo real para auxiliar em viagens e assistentes de IA generativa para aumentar a produtividade no trabalho. No entanto, a IA também está sendo utilizada para tornar os cibercriminosos mais eficientes, especialmente no roubo de identidade - o tipo de fraude mais comum na atualidade.

Mais de um terço dos líderes de risco e inovação bancária no Reino Unido, Espanha e EUA consideram a ascensão das fraudes geradas por IA e deepfakes seu maior desafio atual, tornando esse o principal problema apontado. Mas como essas fraudes impulsionadas por IA funcionam e o que você pode fazer para se proteger?

Como funciona a fraude de identidade impulsionada por IA?

A fraude de identidade ocorre quando suas informações pessoais identificáveis (PII) são usadas para cometer crimes, como contrair dívidas em seu nome ou acessar contas bancárias. Estimativas indicam que fraudes impulsionadas por IA já representam 43% de todas as tentativas registradas no setor financeiro e de pagamentos, com uma taxa de sucesso de quase 29%. Mas como a IA está potencializando as ações dos cibercriminosos?

Podemos destacar várias táticas diferentes:

  • Assumir contas usando deepfakes (ATOs) e criação de contas: Golpistas estão utilizando áudios e vídeos gerados por deepfake, com semelhanças de usuários legítimos, para contornar as verificações KYC (Know Your Customer) utilizadas por empresas de serviços financeiros para garantir que os clientes são quem dizem ser. Uma imagem ou vídeo seu é retirado da web e inserido em uma ferramenta de deepfake ou IA generativa. Em seguida, é colocado no fluxo de dados entre o usuário e o prestador de serviços em ataques de injeção, projetados para enganar os sistemas de autenticação. Um relatório afirma que os deepfakes agora representam um quarto (24%) das tentativas fraudulentas de passar nas verificações biométricas baseadas em movimento e 5% nas verificações de selfies estáticas.
  • Falsificações de documentos: Antigamente, golpistas usavam falsificações de documentos físicos, como páginas de passaportes falsificados, para abrir novas contas em nome de vítimas desatentas. No entanto, hoje em dia, é mais provável que eles façam isso digitalmente. De acordo com este relatório, as falsificações digitais representam mais de 57% de todas as fraudes documentais – um aumento anual de 244%. Golpistas geralmente acessam modelos de documentos on-line ou baixam imagens de documentos roubadas em vazamentos de dados e, em seguida, alteram os detalhes no Photoshop. Ferramentas de IA generativa estão ajudando-os a fazer isso de maneira rápida e em larga escala.
  • Fraude sintética: Neste caso, golpistas criam novas identidades combinando PII (informações pessoais identificáveis) reais (roubadas) e inventadas para formar uma identidade completamente nova (sintética), ou criam uma nova identidade usando apenas dados falsos. Essa identidade é então usada para abrir novas contas em bancos e empresas de cartões de crédito, por exemplo. Falsificações de documentos e deepfakes podem ser combinados com essas identidades para aumentar as chances de sucesso dos fraudadores. De acordo com um relatório, 76% dos profissionais de fraude e risco nos EUA acreditam que suas organizações possuem clientes sintéticos. Eles estimam que esse tipo de fraude aumentou 17% anualmente.
  • Deepfakes que enganam amigos e familiares: Às vezes, vídeos ou áudios falsos são usados em golpes que enganam até mesmo familiares e amigos. Uma tática é o sequestro virtual, onde familiares recebem uma ligação de um criminoso afirmando ter sequestrado alguém próximo. Eles reproduzem um áudio deepfake da sua voz como prova e depois exigem um resgate. A GenAI também pode ser usada nesses esforços para ajudar os golpistas a identificar uma provável vítima.
  • Preenchimento de credenciais (para ATO): O preenchimento de credenciais é uma técnica comum em ataques cibernéticos, onde logins roubados são usados em tentativas automatizadas para acessar outras contas em que a vítima pode ter utilizado o mesmo nome de usuário e senha. Ferramentas baseadas em IA podem agilizar esse processo, gerando rapidamente listas de credenciais a partir de diversas fontes de dados, o que permite escalar os ataques de forma eficaz. Além disso, essas ferramentas podem imitar com precisão o comportamento humano durante o login, dificultando a identificação pelos sistemas de defesa e aumentando as chances de sucesso dos cibercriminosos.

Qual é o impacto da fraude baseada em IA?

A fraude está longe de ser um crime sem vítimas. Na verdade, a fraude alimentada por IA pode:

  • Causar grande sofrimento emocional para a pessoa fraudada. Um relatório afirma que 16% das vítimas contemplaram o suicídio como resultado de um roubo de identidade;
  • Tornar os golpes mais propensos a ter sucesso, impactando os lucros, o que obriga as empresas a aumentarem seus preços para todos;
  • Impactar a economia nacional. Menores lucros significam menores receitas fiscais, o que, por sua vez, significa menos dinheiro para gastar com serviços públicos;
  • Minar a confiança pública no estado de direito e até mesmo na democracia;
  • Minar a confiança nos negócios, potencialmente levando a menores níveis de investimento no país.

Como manter sua identidade segura contra fraudes impulsionadas por IA

Para combater o uso ofensivo de IA, as organizações estão cada vez mais recorrendo a ferramentas de IA defensiva para identificar os sinais de fraude. Mas o que você pode fazer? Talvez a estratégia mais eficaz seja minimizar as oportunidades para que os criminosos obtenham suas informações pessoais (PII) e principalmente dados de áudio/vídeo. Ou seja:

  • Não compartilhe muitas informações nas redes sociais e restrinja as configurações de privacidade;
  • Esteja atento ao phishing: verifique os domínios dos remetentes, procure por erros de digitação e gramaticais e nunca clique em links ou abra anexos em e-mails não solicitados;
  • Ative a autenticação multifatorial (MFA) em todas as contas on-line;
  • Use sempre senhas fortes e únicas, armazenadas em um gerenciador de senhas;
  • Mantenha o software atualizado em todos os laptops e dispositivos móveis;
  • Fique de olho nas contas bancárias e de cartões, verificando regularmente atividades suspeitas e bloqueando contas imediatamente caso algo não pareça certo;
  • Instale um software de segurança com várias camadas de proteção de um fornecedor confiável em todos os dispositivos.

Também considere se manter informado sobre as últimas táticas de fraude alimentadas por IA e educar amigos e familiares sobre deepfakes e fraudes com IA.

Os ataques de fraude impulsionados por IA continuarão crescendo à medida que a tecnologia se torna mais barata e eficaz. Conforme essa nova corrida armamentista cibernética se desenrola entre os defensores das redes corporativas e seus adversários, são os consumidores que ficarão no meio. Certifique-se de que você não será o próximo.