Vishing: Criminosos "imitam" voz de CEO e aplicam fraude milionária

Nos últimos anos, a propagação das chamadas “fake news” fez a gente desconfiar de muita coisa que lemos. Já o uso da “deep fake”, ferramenta capaz de trocar o rosto das pessoas em vídeos, serve de alerta para não acreditarmos em tudo que vemos. Pois prepare-se para também redobrar a atenção com o que você ouve.

No fim de agosto, o tradicional jornal norte-americano “The Wall Street Journal” revelou o que foi classificado como o “primeiro caso de fraude de voz baseada no uso de inteligência artificial”. O golpe já ganhou até nome – “vishing”, que mescla as palavras em inglês “voice” e “phishing”, e especialistas apostam que esta ação vai se difundir no mundo do crime.

Como funcionou o vishing?

De acordo com a reportagem, os fraudadores usaram um software de geração de voz que inclusive está disponível comercialmente para “imitar” a voz do CEO alemão de uma empresa de energia. Em seguida, os criminosos realizaram um telefonema para o CEO da subsidiária do grupo no Reino Unido solicitando uma transferência urgente para um fornecedor húngaro, com o prazo de uma hora.

O valor da transferência? Duzentas mil libras, o equivalente a aproximadamente R$ 1 milhão na cotação atual. Como o funcionário inglês não notou qualquer anormalidade na conversa (e o programa de inteligência artificial foi capaz até de imitar o sotaque alemão do CEO), a transação foi efetivada.

Minutos depois, o criminoso que se passava pelo CEO ligou novamente e afirmou ao subordinado que o valor seria reembolsado imediatamente. Tudo ok aqui também. No entanto, não demorou para o telefone tocar novamente, agora com o “falso chefe alemão” solicitando outra transferência urgente.

Perdão o trocadilho, mas ali o funcionário inglês se ligou. Ao perceber que o primeiro valor ainda não tinha sido devolvido, ele “desobedeceu ao chefe” (que, na verdade, era o falso robô imitando o diretor alemão) e não fez este segundo depósito. Sorte dele e da empresa.

Este caso aconteceu no mês de março e foi revelado ao “Wall Street Journal” pela Euler Hermes Group, a seguradora da companhia de energia que sofreu o golpe – e que arcou com os custos do prejuízo. A investigação mostrou que as 200 mil libras que o funcionário inglês transferiu para a Hungria foram depois repassadas ao México e a outros locais.

A polícia não identificou os criminosos. Ah, e se você está que curioso para saber o nome da empresa que sofreu o golpe, nós também estamos – ele não foi divulgado.

“O futuro da desconfiança generalizada”

Este golpe até então inédito de “vishing” contra empresas repercutiu bastante na Europa e foi usado como exemplo de como a inteligência artificial já é uma arma poderosa para golpistas. No ano passado, a Pindrop, que cria software e protocolos de segurança para call centers, divulgou um aumento de 350% na chamada fraude de voz entre 2013 e 2017. Os alvos são principalmente cooperativas de crédito, bancos, seguradoras, corretoras e emissores de cartões.

O site SC Magazine, que aborda o tema da segurança cibernética, ouviu alguns especialistas sobre esta ameaça. Para Jake Moore, diretor da empresa “Eset”, “crimes utilizando machine learning aumentarão em um futuro próximo”, sendo que a fraude utilizando voz demanda menos trabalho ao golpista do que os “deep fake vídeos” que citamos no início do texto.

Já para Matt Aldridge, líder de segurança na “Webroot”, “um futuro de desconfiança generalizada está chegando”. Segundo ele, “podemos pensar que estamos numa chamada com um colega próximo ou um ente querido, mas a outra parte é na verdade um criminoso” e, portanto, “precisamos começar a nos prepararmos para isso agora e entender como podemos garantir que nossas comunicações sejam reais e seguras”.

E como garantir que isso aconteça?

Ainda que o golpe seja novo, os especialistas enfatizam a importância de conscientizar as pessoas – e principalmente treinar os funcionários, no ambiente corporativo – para alertar sobre o risco real dessas imitações de voz. A fraude no Reino Unido, aliás, poderia ser evitada se o gerente inglês simplesmente ligasse de volta para o chefe alemão (mas de um número que estivesse em sua agenda, e não simplesmente apertando a tecla de ligar de volta no telefone).

Outra maneira para brecar este novo tipo de fraude é investir em técnicas de verificação antes que qualquer dinheiro seja transferido, como a autenticação de dois fatores, já tão usada em setores como o bancário no Brasil.

Pois é, turma. A inteligência artificial está revolucionando a forma como lidamos com o mundo, mas seu uso pelo lado mau da força nos faz lembrar de um ditado bem velhinho e que insiste em se manter atual: melhor prevenir do que remediar.