Alerta

Criminosos usam inteligência artificial para aplicar cinco novos golpes; veja como se proteger

Criminosos usam inteligência artificial para aplicar cinco novos golpes; veja como se proteger

Após a popularização do ChatGPT e da inteligência artificial, 2023 ficou registrado como o ano de maior circulação de conteúdos falsos para aplicação de golpes na história. Foram quase 5 milhões de casos, contra 4,7 milhões em 2022.

O dado foi divulgado pelo Anti-Phishing Working Group (grupo de trabalho anti-phishing), uma coalizão internacional para combater golpes de engenharia social na internet, que usam como isca alguma mensagem ou imagem chamativa -por isso, a referência ao verbo pescar em inglês.

Pesquisadores de cibersegurança ouvidos pela reportagem afirmam que, além do ganho em escala, a inteligência artificial permite que os golpistas espalhem mensagens mais convincentes e com menos erros ortográficos.

No lado obscuro da internet, conhecido como “deep web”, circula até uma versão do ChatGPT sem filtros e especializada em dar assistência a estelionatários: o FraudGPT.

Porta-vozes da Polícia Civil, contudo, ainda dizem ter dificuldades para identificar o uso da tecnologia no estelionato digital e não trabalham com esse recorte.

Ainda em 2023, o anuário brasileiro de segurança pública identificou uma alta de 326,2% nos casos de fraude eletrônica entre 2018 e 2022. Dados de estados que divulgam estatísticas sobre esse crime, como Rio de Janeiro e Pernambuco, indicam que a tendência de crescimento se manteve em 2023.

A reportagem reuniu exemplos dos esquemas com IA, que vão de sites falsos para fingir arrecadar doações para o Rio Grande do Sul a fakes em aplicativos de relacionamento. Veja como se proteger.
*
SITES FALSOS

Em uma busca no Google por sites que arrecadavam recursos para ajudar os desalojados no Rio Grande do Sul, a reportagem encontrou

o site falso “doacoes-rs.vercel.app”, hoje fora do ar. A Vercel mencionada no fim do endereço web é uma plataforma para geração simples de sites a partir de inteligência artificial.

A página que indicava doar para uma chave Pix em nome de uma pessoa física era aberta pela frase de efeito: “ajude-nos a reconstruir vidas”. O site estava repleto de vídeos e imagens da tragédia no Sul, mas não continha referências aos responsáveis por promover a ajuda. Faltavam rostos, nomes, telefone e endereço.

A chave Pix estava no nome de um microempresário individual gaúcho, mas essa informação não era confiável, uma vez que os estelionatários costumam usar dados vazados na internet para abrir contas e aplicar golpes. O link estava patrocinado no Google.

Para evitar o prejuízo, o internauta precisa se atentar aos detalhes, como o trecho “vercel.app”, incomum em um endereço de internet.
Outra dica é evitar os links publicitários do Google, que costumam ser a melhor resposta para a busca, e, por isso, pagam para furar a fila. Os links patrocinados também podem estar em redes sociais.

FAKES DO TINDER

O conhecido golpe do Tinder, que usa perfis falsos para atrair vítimas para sequestros relâmpagos, também ganhou uma variante com IA.

Parte das contas falsas deixou de usar fotos furtadas de terceiros para utilizar imagens geradas por inteligência artificial. A artimanha dificulta reconhecer quando as imagens na verdade são de uma celebridade ou de outra pessoa conhecida.

Uma dica para reconhecer imagens de pessoas geradas por IA é olhar as mãos, que costumam ter defeitos. Outro é procurar detalhes problemáticos como sombras que não fazem sentido ou a falta de marcas de expressão no rosto.

A plataforma Social Catfish, especializada em reconhecer golpes que partem da paquera, recomenda que as pessoas façam buscas reversas para ver se há mais imagens da suposta pessoa na internet. Também é possível buscar por nome, telefone, email ou endereço.

Hoje, os três maiores apps de relacionamento (Tinder, Bumble e Grindr) usam moderação humana e inteligência artificial para identificar os fakes de IA. Tinder e Bumble também oferecem a opção de autenticar o próprio perfil, enviando uma foto tirada na hora, dentro do aplicativo.

Portanto, é mais recomendável manter contato com perfis verificados.

CLONES VIRTUAIS GOLPISTAS

O servidor público goiano Elias Alves diz ter acreditado em uma falsa promoção de um restaurante que frequenta. Teve as contas no WhatsApp e no Instagram invadidas e, além disso, teve a identidade roubada.

No dia 6 de maio, criminosos copiaram, a partir de uma foto enviada por Alves, a imagem dele em um vídeo fraudulento que usava uma proposta de investimento como isca.

Após perceber que havia perdido acesso às redes sociais, Alves conseguiu prevenir amigos e parentes do golpe e evitar prejuízos. Como não houve perdas materiais, o servidor público não registrou boletim de ocorrência junto à Polícia Civil, como é recomendado.

Esse golpe, noticiado pela Folha de S.Paulo em outubro, atrai as vítimas com promessas de investimento de alto retorno financeiro ou venda de móveis a preços impraticáveis e certificam a oferta com a credibilidade da pessoa, cujo perfil fora roubado.

Também circulam nas redes sociais vídeos de famosos como Neymar, Anitta e Drauzio Varella.

Os conteúdos são produzidos em softwares que usam IA para recriar a voz de pessoas, trocar o rosto em vídeos e sincronizar movimentos labiais.

Essa tecnologia ficou conhecida nos últimos anos como deepfake e está mais acessível a cada dia com a popularização de IAs generativas, como o ChatGPT. Hoje, bastam cinco minutos de áudio para copiar uma voz com qualidade aceitável.

Nesses esquemas, a principal tática é a chamada engenharia social -os criminosos recorrem à lábia para receber transferências de seus alvos de forma espontânea. Isso também diminui a chance de o banco bloquear a transação por comportamentos anômalos, como ocorre em outros golpes.

O único jeito de se prevenir do risco de ser clonado na internet é restringir a circulação de imagens e áudios de si, de acordo com o fundador da empresa de cibersegurança Tempest, Lincoln Mattos. Uma opção é tornar a conta privada e limitar a visualização de posts a amigos. A outra é evitar publicar.

LIGAÇÃO FALSA

A mesma tecnologia de deepfakes também é usada em ligações falsas, com vozes clonadas.

A polícia de Hong Kong, por exemplo, investiga um caso em que uma empresa multinacional perdeu 200 milhões de dólares de Hong Kong (R$ 126,5 milhões), depois que estelionatários enganaram seus funcionários com uma chamada de vídeo em grupo falsa criada a partir de IA, de acordo com o South China Morning Post.

Os fraudadores fabricaram representações do diretor financeiro da empresa e de outras pessoas na chamada usando imagens públicas e convenceram a vítima a fazer um total de 15 transferências para cinco contas bancárias em Hong Kong, informou o jornal neste domingo (4), citando a polícia da cidade.

As autoridades não identificaram a empresa nem os funcionários.
Devido ao maior risco de roubo de identidade com IA, os próprios bancos têm trocado a segurança baseada em biometria por análise comportamental.

Hábitos pessoais dos clientes, como horários comuns de transações bancárias e até a maneira de segurar o celular, se tornaram a principal ferramenta de bancos para evitar fraudes em meio ao avanço da inteligência artificial generativa, que pode fraudar sistemas de biometria.

MENSAGENS E EMAILS FALSOS EM MASSA

De acordo com o relatórios do Grupo de Trabalho Anti-Phishing, as redes sociais e as plataformas de email foram o principal local de circulação de mensagens golpistas em texto no ano passado.

As redes sociais concentraram 43% dos golpes, e as plataformas de email, 15%.

As ferramentas de inteligência artificial permitem que os criminosos automatizem a produção de conteúdo e evitem erros gramaticais, que podem gerar estranheza ao leitor.

Quando a isca funciona por si, os criminosos não precisam atrair as vítimas para um site falso, de acordo com Fabio Assolini, diretor da equipe de pesquisa da Kaspersky para América Latina.

A empresa, por exemplo, identificou textos fraudulentos nas redes sociais com objetivo de desviar doações via Pix. Os criminosos citavam entidades legítimas, mas adicionavam chaves de pessoas e empresas laranjas.

Para evitar prejuízos, é sempre importante checar o destinatário da transferência. Embora o Pix seja rastreável pelo sistema do Banco Central, os criminosos, em geral, fracionam as quantias e as movimentam por várias contas para dificultar a busca pelo dinheiro.
Checar se o CNPJ da empresa confere também evita perdas.