Cinco incidentes verificados que provam que nenhum escritório de esquina está a salvo da imitação de IA.
Estudo de caso 1: A catástrofe do $25M da Arup
Empresa: Arup (empresa global de engenharia responsável pela Sydney Opera House)
Perda: $25,6 milhões
Método: Videoconferência para várias pessoas com o CFO e a equipe da deepfaked
Data: Início de 2024
Os especialistas em segurança consideram esse um dos mais sofisticados ataques corporativos de deepfake já ocorridos. Em Hong Kong, um funcionário da Arup participou do que parecia ser uma videochamada de rotina com o diretor financeiro da empresa no Reino Unido e outros colegas. A reunião parecia legítima; os participantes pareciam e soavam exatamente como os executivos reais.
Durante a ligação, o funcionário foi instruído a executar 15 transações separadas, totalizando HK$200 milhões, em cinco contas bancárias diferentes.
Nunca mais se preocupe com fraudes de IA. TruthScan Pode lhe ajudar:
- Detectar IA gerada imagens, texto, voz e vídeo.
- Evitar grande fraude impulsionada por IA.
- Proteja seus mais sensível ativos da empresa.
Somente depois de verificar com a sede da empresa, o funcionário percebeu que todas as pessoas naquela chamada de vídeo eram uma deepfake gerada por IA.
Não se tratava de um simples clone de voz ou de uma imagem estática. Os fraudadores haviam criado um vídeo interativo e em tempo real de vários executivos ao mesmo tempo, criando um nível de complexidade que marcou uma nova evolução no crime cibernético corporativo.
"Como muitas outras empresas em todo o mundo, nossas operações estão sujeitas a ataques regulares, incluindo fraude de faturas, golpes de phishing, falsificação de voz do WhatsApp e deepfakes. O que temos visto é que o número e a sofisticação desses ataques têm aumentado muito nos últimos meses." Rob Greig, CIO da Arup
Estudo de caso 2: A pergunta de $40 milhões da Ferrari
Empresa: Ferrari
Alvo: CEO Benedetto Vigna
Tentativa de perda: Não divulgado (rumores sugerem milhões)
Método: Voz de IA deepfake com sotaque do sul da Itália
Data: Julho de 2024
Resultado: Prevenido
Os executivos da Ferrari receberam mensagens via WhatsApp que pareciam vir de seu CEO, Benedetto Vigna, juntamente com sua foto de perfil e a marca da empresa. As mensagens falavam sobre uma grande aquisição futura e pediam o compartilhamento imediato de informações financeiras confidenciais. Em uma chamada de acompanhamento, o deepfake copiou até mesmo o sotaque do sul da Itália de Vigna.
Felizmente, um executivo começou a desconfiar e fez uma pergunta simples: "Qual era o título do livro que você me recomendou na semana passada?" Quando a IA não conseguiu responder, o esquema caiu por terra.
Às vezes, a tecnologia mais sofisticada pode ser derrotada pelos protocolos humanos mais simples. O caso da Ferrari demonstra a qualidade dos deepfakes modernos e o poder dos métodos de verificação pessoal.
Estudo de caso 3: A armadilha do Microsoft Teams da WPP
Empresa: WPP (o maior grupo de publicidade do mundo)
Alvo: CEO Mark Read
Método: Conta do WhatsApp + reunião do Teams com clone de voz e filmagem do YouTube
Data: Maio de 2024
Resultado: Prevenido
Os criminosos cibernéticos criaram uma conta falsa no WhatsApp usando fotos publicamente disponíveis do CEO da WPP, Mark Read. Em seguida, eles usaram esse material para agendar uma reunião do Microsoft Teams com outro executivo sênior, usando a conta, solicitando acesso a financiamento imediato e informações pessoais para um "novo negócio".
Durante a chamada de vídeo, os fraudadores usaram uma combinação de tecnologia de clonagem de voz e imagens gravadas do YouTube para se passar por Read.
Resposta do CEO Mark Read: "Felizmente, os invasores não tiveram sucesso. Todos nós precisamos estar atentos às técnicas que vão além dos e-mails para tirar proveito de reuniões virtuais, IA e deepfakes."
O caso da WPP mostra como os executivos com grande presença na mídia são ainda mais vulneráveis. A grande quantidade de fotos e vídeos públicos deles fornece aos criminosos o material perfeito para criar deepfakes.
Estudo de caso 4: o esquema de "holograma de IA" da Binance
Empresa: Binance (a maior plataforma de criptomoeda do mundo)
Alvo: Patrick Hillmann, diretor de comunicações
Método: "Holograma" de videoconferência usando imagens de entrevistas na TV
Data: 2022 (caso principal inicial)
Resultado: Vários projetos de criptografia enganados
Hackers sofisticados criaram o que Hillmann chamou de "holograma de IA", usando clipes de suas aparições na TV e nos noticiários. O deepfake era tão convincente que conseguiu enganar vários representantes de criptografia durante as chamadas do Zoom.
Os criminosos usaram essa tecnologia para se passar por Hillmann em reuniões de projetos que buscavam listagens na Binance. Esses são um dos endossos mais valiosos no setor de criptografia.
De acordo com Hillmann, "...além dos 15 quilos que ganhei durante a COVID estarem visivelmente ausentes, essa falsificação profunda foi refinada o suficiente para enganar vários membros altamente inteligentes da comunidade de criptografia."
O caso da Binance marcou um alerta precoce de que os criminosos estavam indo além de simples clones de voz para sofisticadas imitações de vídeo visando processos comerciais específicos.
Estudo de caso 5: O alerta interno do LastPass
Empresa: LastPass (segurança cibernética/gerenciamento de senhas)
Objetivo: CEO da empresa
Método: Chamadas do WhatsApp, mensagens de texto e personificação de correio de voz
Data: Início de 2024
Resultado: Prevenido
Os golpistas de deepfake atacaram o LastPass pelo WhatsApp (ligando, enviando mensagens de texto e deixando mensagens de voz) enquanto se faziam passar pelo CEO da empresa.
O funcionário que foi alvo percebeu vários sinais de alerta:
- As comunicações ocorreram fora do horário comercial normal;
- A solicitação tinha uma urgência incomum (uma tática comum de golpes);
- O canal e a abordagem se desviaram dos protocolos de comunicação padrão da empresa.
Se os profissionais de segurança cibernética podem ser alvos bem-sucedidos, todas as organizações devem assumir que estão vulneráveis.
O padrão por trás dos casos
A análise desses incidentes verificados revela uma metodologia criminosa consistente:
O perfil de vulnerabilidade do executivo
Pesquisas mostram que determinadas características executivas aumentam o risco de direcionamento de deepfake:
- Presença significativa na mídia (entrevistas na TV, podcasts, conferências)
- Vídeos de palestras públicas disponíveis on-line
- Autoridade de autorização financeira
- Operações comerciais internacionais
- Cargos de destaque no setor
Hotspots geográficos:
- Hong Kong (centro financeiro, complexidade regulatória)
- América do Norte (alta adoção digital, grande economia)
- Europa (a conformidade com o GDPR cria desafios de verificação)
O fator humano
Mesmo com toda a sofisticação tecnológica, muitos ataques ainda dependem da psicologia humana básica:
- Viés de autoridade (ordens de superiores percebidos)
- Pressão de urgência (restrições artificiais de tempo)
- Recursos de confidencialidade (acesso especial, informações privilegiadas)
- Prova social (vários "colegas" presentes)
Os executivos que sobreviveram a esses ataques compartilham características comuns: ceticismo saudável, protocolos de verificação e comunicação com a equipe sobre possíveis ameaças.
Como prova o exemplo da Ferrari, às vezes uma simples pergunta pode derrotar uma tecnologia de milhões de dólares.
Referências
CNN (4 de fevereiro de 2024) - "Funcionário do setor financeiro paga $25 milhões depois de uma chamada de vídeo com um 'diretor financeiro' deepfake"
Fortune (17 de maio de 2024) - "Um 'CFO' deepfake enganou a empresa de design britânica por trás da Sydney Opera House em uma fraude de $25 milhões"
O Guardião - Citação de Rob Greig sobre os ataques da Arup
MIT Sloan Management Review (27 de janeiro de 2025) - "Como a Ferrari freou um CEO Deepfake"
The Guardian (maio de 2024) - Mark Read, CEO da WPP, tentativa de deepfake
Blog da Incode (20 de dezembro de 2024) - "Os 5 principais casos de fraude de IA Deepfake de 2024 expostos"
Blog da Binance - "Os golpistas criaram um holograma de IA de mim para enganar projetos desavisados", por Patrick Hillmann
Euronews (24 de agosto de 2022) - "Executivo da Binance diz que golpistas criaram um 'holograma' deepfake dele"
Eftsure EUA - "7 exemplos de ataques Deepfake: Golpes Deepfake de CEOs" - Caso LastPass