Impostores artificiais: nova fraude de clonagem de voz por IA

Só precisa de três segundos de áudio. Os cibercriminosos utilizaram ferramentas de clonagem de voz por IA recentemente forjadas e criaram uma nova espécie de esquema fraudulento. Com uma pequena amostra de áudio, podem clonar a voz de quase qualquer pessoa e enviar mensagens de voz falsas. O objetivo, na maior parte das vezes, é enganar as pessoas para roubar-lhes centenas, se não milhares de dólares.

O aumento das fraudes de clonagem de voz por IA

O nosso recente estudo global revelou que, de entre 7000 pessoas inqueridas, uma em cada quatro afirmou ter sido vítima de um esquema de clonagem de voz por IA ou conhecer alguém que o tivesse sido. Além disso, a nossa equipa de investigação do McAfee Labs descobriu a facilidade com que os cibercriminosos conseguem aplicar estas fraudes.

Com uma pequena amostra da voz de uma pessoa e um guião elaborado por um cibercriminoso, estas mensagens de clonagem de voz parecem convincentes, mas 70% das pessoas no nosso inquérito mundial disseram não estar confiantes de que conseguiriam distinguir entre uma voz clonada e a verdadeira.

Os cibercriminosos criam o tipo de mensagens que pode esperar. Cheias de urgência e de angústia. Utilizarão a ferramenta de clonagem para se fazer passar por um amigo ou familiar da vítima com uma mensagem de voz que diz que tiveram um acidente de viação, foram assaltados ou ferida.

De qualquer forma, a mensagem falsa frequentemente diz que precisam de dinheiro imediatamente. Em suma, a abordagem tem-se revelado bastante eficaz até à data. Uma em cada dez pessoas inqueridas no nosso estudo afirmou ter recebido uma mensagem de um clone de voz com IA, e 77% dessas vítimas afirmaram ter perdido dinheiro como resultado.

O custo das fraudes de clonagem de voz por IA

Das pessoas que declararam ter perdido dinheiro, 36% disseram que perderam entre 500 e 3.000 dólares, enquanto 7% tiveram roubadas quantias entre 5.000 e 15.000 dólares. É claro que um clone precisa de um original. Os cibercriminosos não têm dificuldade em obter ficheiros de voz originais para criar os seus clones.

O nosso estudo revelou que 53% dos adultos afirmaram partilhar os seus dados de voz online ou em notas gravadas pelo menos uma vez por semana e 49% fazem-no até dez vezes por semana. Toda esta atividade gera gravações de voz que podem ser alvo de pirataria, roubo ou partilha (acidental ou maliciosamente intencional).

Considere que as pessoas publicam vídeos de si próprias no YouTube, partilham reels nas redes sociais e talvez até participem em podcasts. Mesmo acedendo a fontes relativamente públicas, os cibercriminosos podem armazenar os seus arsenais com material de origem poderoso.

Quase metade (45%) dos inqueridos afirmou que responderia a um correio de voz ou a uma mensagem de voz de um amigo ou de um ente querido que necessitasse de dinheiro, em especial se pensassem que o pedido tinha sido feito pelo seu parceiro ou cônjuge (40%), mãe (24%) ou filho (20%).

Além disso, referiram que provavelmente responderiam a uma destas mensagens se o remetente dissesse:

• Tive um acidente de viação (48%).
• Fui roubado (47%).
• Perdi o telemóvel ou a carteira (43%).
• Precisava de ajuda enquanto estavam no estrangeiro (41%).

Estas mensagens são o exemplo mais recente de fraudes de “spear phishing” direccionado, que visam pessoas específicas com informações específicas que parecem suficientemente credíveis para que possa agir com base nelas. Os cibercriminosos obtêm frequentemente estes dados a partir de perfis públicos de redes sociais e de outros locais online onde as pessoas publicam informações sobre si próprias, as suas famílias, as suas viagens, etc., e depois tentam ganhar dinheiro com isso.

Os métodos de pagamento variam, mas os cibercriminosos pedem frequentemente formas que são difíceis de rastrear ou recuperar, como cartões de oferta, transferências bancárias, cartões de débito recarregáveis e até criptomoedas. Como sempre, os pedidos deste tipo de pagamentos são um grande sinal de alerta. Pode muito bem ser uma fraude.

Ferramentas de clonagem de voz por IA: disponíveis para os cibercriminosos

Em conjunto com este inquérito, os investigadores do McAfee Labs passaram duas semanas a investigar a acessibilidade, a facilidade de utilização e a eficácia das ferramentas de clonagem de voz por IA.

De imediato, encontraram mais de uma dezena de ferramentas disponíveis gratuitamente na Internet. Estas ferramentas requerem apenas um nível básico de experiência e conhecimentos para serem utilizadas.

Num caso, apenas três segundos de áudio foram suficientes para produzir um clone com uma correspondência de voz de 85% com o original (com base na análise comparativa e na avaliação dos investigadores de segurança da McAfee). Um esforço adicional pode aumentar ainda mais a precisão.

Ao treinar os modelos de dados, os investigadores da McAfee conseguiram uma correspondência de voz de 95% com base apenas num pequeno número de ficheiros de áudio. Os investigadores da McAfee também descobriram que podiam facilmente replicar sotaques de todo o mundo, quer fossem dos EUA, do Reino Unido, da Índia ou da Austrália.

No entanto, as vozes mais distintas foram mais difíceis de copiar, como as pessoas que falam com um ritmo, uma cadência ou um estilo invulgar. Pense no ator Christopher Walken. Essas vozes requerem mais esforço para serem clonadas com precisão, pelo menos no estado atual da tecnologia de IA e pondo de lado as imitações cómicas.

A equipa de investigação afirmou que esta é mais uma forma de a IA ter reduzido a barreira à entrada dos cibercriminosos. Quer o utilize para criar malware, escrever mensagens enganadoras em fraudes de romance ou, agora, em ataques de spear phishing com tecnologia de clonagem de voz, nunca foi tão fácil cometer cibercrimes com aspeto e som sofisticados.

Da mesma forma, o estudo também concluiu que o aumento de deepfakes e de outras desinformações criadas com ferramentas de IA tornou as pessoas mais cépticas em relação ao que vêem online. Atualmente, 32% dos adultos afirmam que a sua confiança nas redes sociais é menor do que alguma vez foi. 

Proteja-se de fraudes de clonagem de voz por IA 

1. Estabeleça uma palavra de código verbal com os seus filhos, familiares ou amigos íntimos de confiança. Certifique-se de que só os que lhe são mais próximos conheçam essa palavra. (Os bancos e as empresas de alarmes criam frequentemente contas com uma palavra de código da mesma forma para garantir a sua identidade quando fala com eles). Certifique-se de que todos a conhecem e a utilizam nas mensagens quando pedem ajuda.
2. Questione sempre a fonte. Para além das ferramentas de clonagem de voz, os cibercriminosos têm outras ferramentas que podem falsificar números de telefone para que pareçam legítimos. Mesmo que seja uma mensagem de correio de voz ou de texto de um número que reconhece, pare e pense. Parece-lhe realmente a pessoa que pensa que é? Desligue e telefone diretamente à pessoa ou tente verificar a informação antes de responder.
3. Pense antes de clicar e partilhar. Quem faz parte dos seus contactos de redes sociais? Até que ponto os conhece e confia neles? Quanto mais amplas forem as suas ligações, maior é o risco a que se pode expor ao partilhar conteúdos sobre si. Tenha cuidado com os seus amigos e conhecidos online e defina os seus perfis apenas para “amigos e familiares”, para que este conteúdo não esteja disponível para o grande público.
4. Proteja a sua identidade. Os serviços de monitorização de identidade podem notificá-lo se as suas informações pessoais forem parar à dark web e fornecer orientações para medidas de proteção. Isto pode ajudar a eliminar outras formas de um vigarista tentar fazer-se passar por si.
5. Limpe o seu nome dos sítios de corretores de dados. Como é que o vigarista conseguiu o seu número de telefone? É provável que tenha retirado essa informação de um site de corretores de dados. Os corretores de dados compram, recolhem e vendem informações pessoais detalhadas, que compilam a partir de várias fontes públicas e privadas, como registos locais, estatais e federais, para além de terceiros. Nosso serviço de limpeza de dados pessoais (disponível em determinados mercados) analisa alguns dos sites de corretores de dados mais arriscados e mostra-lhe quais estão a vender as suas informações pessoais.

Veja a história completa

Um clip de áudio de três segundos pode dar origem a muita coisa. Com o aparecimento das ferramentas de clonagem de voz baseadas em IA, os cibercriminosos criaram uma nova forma de fraude. Com uma precisão indiscutivelmente espantosa, estas ferramentas podem permitir que os cibercriminosos façam quase tudo. Tudo o que precisa é de um pequeno clip de áudio para dar início ao processo de clonagem.

No entanto, tal como acontece com todas as fraudes, há formas de se proteger. Um sentido apurado do que parece certo e errado, juntamente com alguns passos de segurança simples, pode ajudá-lo a si e aos seus entes queridos a não cair nestas fraudes de clonagem de voz por IA. Para uma análise mais pormenorizada dos dados do inquérito, juntamente com uma discriminação por país, descarregue uma cópia do nosso relatório aqui.

Metodologia do inquérito

O inquérito foi realizado entre 27 de janeiro e 1 de fevereiro de 2023 pela empresa de estudos de mercado MSI-ACI, tendo as pessoas com idade igual ou superior a 18 anos sido convidadas a preencher um questionário online. No total, 7.000 pessoas responderam ao inquérito em nove países, incluindo os Estados Unidos, o Reino Unido, a França, a Alemanha, a Austrália, a Índia, o Japão, o Brasil e o México.