São Deepfakes Os Novos Chamadas de Spam? Aqui está Como Se Proteger Contra Eles

Se você visse um deepfake do CEO da sua empresa, seria capaz de dizer que não é real? Este é um desafio preocupante que organizações em todo o mundo estão lidando com frequência. Na verdade, recentemente, um gigante da publicidade foi o alvo de um deepfake do seu CEO. Uma imagem pública do executivo foi usada para configurar uma reunião no Microsoft Teams, na qual um clone de voz do executivo – extraído de um vídeo do YouTube – foi implantado. Embora este ataque específico tenha sido malsucedido, ele pinta um quadro maior das táticas emergentes que os cibercriminosos estão usando com informações publicamente disponíveis – e isso é apenas a ponta do iceberg.

A tecnologia se tornou tão sofisticada que apenas cerca de metade dos líderes de TI hoje têm alta confiança em sua capacidade de detectar um deepfake do seu CEO. Piorando as coisas, os cibercriminosos não estão apenas se passando por CEOs, mas por toda a equipe de liderança, com CFOs se tornando alvos populares, também. Deepfakes estão se tornando cada vez mais fáceis de criar. Na verdade, uma rápida pesquisa no Google por “como criar um deepfake” produz vários artigos e tutoriais do YouTube sobre exatamente como criar um. Os custos estão se tornando negligenciáveis, significando que deepfakes são essencialmente os novos chamadas de spam.

Chamadas de spam são muito comuns hoje em dia. Na verdade, a Comissão Federal de Comunicações (FCC) afirma que os consumidores dos EUA recebem aproximadamente 4 bilhões de robocalls por mês, e os avanços na tecnologia os tornam extremamente baratos e altamente lucrativos, mesmo com uma taxa de sucesso baixa. Deepfakes estão seguindo o mesmo caminho. Cibercriminosos utilizarão a tecnologia de deepfake para enganar funcionários desprevenidos ainda mais do que estão hoje, e deepfakes eventualmente se tornarão uma ocorrência diária para o consumidor médio. Vamos explorar estratégias que líderes podem implementar para proteger melhor sua organização, funcionários e clientes contra essas ameaças.

Estabeleça Diretrizes Fortes

Primeiro, os líderes precisam estabelecer diretrizes fortes dentro de sua organização. Essas diretrizes precisam vir do topo, começando com o CEO, e serem comunicadas com frequência. Por exemplo, o CEO precisa explicar firmemente a toda a empresa que nunca fará um pedido estranho ou aleatório a um funcionário, como comprar vários cartões de presente de $100 – uma tática de phishing frequente. Esses ataques são frequentemente bem-sucedidos porque vêm de um lugar de liderança e não são questionados. No entanto, à medida que os deepfakes de CEO se tornam mais comuns, estamos nos tornando mais conscientes de que eles não são reais. Como resultado, eu anticipo que eles trabalharão seu caminho para baixo da organização, para incluir VPs, Diretores, gerentes de linha de frente e até pares.

Apenas pense: ter um parceiro ou seu gerente imediato pedir um pedido é bastante comum. Por que você deveria ter um motivo para questioná-lo? As diretrizes também podem estar relacionadas ao uso dessas ferramentas de deepfake dentro de sua organização, incluindo a proibição do uso delas em tecnologia de propriedade da empresa. Definir essas diretrizes e guardiões é apenas o primeiro passo.

Confirme Pedidos Por Múltiplos Canais

Em segundo lugar, quando pedidos precisam ser feitos, deve haver uma estratégia em vigor para confirmá-los por meio de vários modos de comunicação. Um exemplo poderia ser se um pedido vier do CEO, esse pedido será compartilhado por e-mail e também incluirá um follow-up por meio de uma plataforma de mensagens instantâneas usada no local de trabalho. Se não houver follow-up, o funcionário deve ignorar o pedido ou confirmá-lo proativamente por meio do Slack, então notificar as equipes de segurança internas de acordo com sua política de segurança. Da mesma forma, talvez um pedido seja feito por meio de uma reunião do Teams, semelhante à tática usada para o deepfake da empresa de publicidade. Esse pedido então precisa ter uma confirmação por e-mail e/ou uma confirmação por Slack. Melhor ainda, confirmado por meio de uma ligação rápida se caminhar até a sua mesa física não for uma opção. Esses processos devem ser comunicados com frequência e para toda a organização para mantê-los em mente. Então, quando uma tentativa for conhecida, estabeleça um processo para compartilhar o exemplo amplamente em toda a organização para criar reconhecimento de padrão dos tipos de ameaças que todos devem estar cientes.

Realize Treinamentos Frequentes

Terceiro, as organizações devem implementar treinamentos frequentes em toda a empresa para manter os deepfakes e outros tipos de ataques de fraude de identidade no topo da mente dos funcionários. Esses são úteis por várias razões. Um funcionário pode não saber o que é um deepfake ou saber que vozes e vídeos podem ser falsificados. Além disso, os funcionários podem recorrer à mentalidade “fora de vista, fora de mente” – se os deepfakes não estiverem no topo da mente, eles podem facilmente se tornar vítimas de um ataque. A pesquisa mostra que os funcionários que receberam treinamento de conscientização sobre cibersegurança demonstraram uma capacidade significativamente melhorada de reconhecer ameaças cibernéticas potenciais.

Deepfakes não estão indo embora, e estão se tornando cada vez mais frequentes e difíceis de detectar. No entanto, estabelecendo diretrizes, verificando pedidos por meio de várias rotas e implementando treinamentos consistentes em toda a organização, podemos estar melhor preparados e proteger contra essas ameaças. Em um mundo digital cada vez mais crescente, nossa diligência para confiar menos e verificar mais será essencial para manter a segurança e a integridade de nossa identidade digital.