TruthScan RESEARCH

Casos reais de Deepfake de executivos: Quando os diretores executivos se tornam alvos

Início / Blogue / Casos reais de deepfake de executivos: Quando os diretores executivos se tornam alvos
Christian Perry
Casos reais de Deepfake de executivos: Quando os diretores executivos se tornam alvos

Cinco incidentes verificados que provam que nenhum escritório está a salvo da imitação de IA.

Estudo de caso 1: A catástrofe do $25M da Arup

Empresa: Arup (Empresa de engenharia global responsável pela Sydney Opera House)
Perda: $25,6 milhões de euros
Método: Videoconferência para várias pessoas com o diretor financeiro e o pessoal da deepfaked
Data: Início de 2024

Os especialistas em segurança consideram que este é um dos mais sofisticados ataques de deepfake empresarial alguma vez registados. Em Hong Kong, um funcionário da Arup juntou-se ao que parecia ser uma videochamada de rotina com o diretor financeiro da empresa sediada no Reino Unido e outros colegas. A reunião parecia legítima; os participantes pareciam e soavam exatamente como os executivos reais.

Durante a chamada, o empregado recebeu instruções para efetuar 15 transacções separadas, num total de HK$200 milhões, em cinco contas bancárias diferentes. 

Deteção de IA Deteção de IA

Nunca mais se preocupe com fraudes de IA. TruthScan Pode ajudar-vos:

  • Detetar a IA gerada imagens, texto, voz e vídeo.
  • Evitar grandes fraudes impulsionadas pela IA.
  • Proteja os seus mais sensível activos da empresa.
Experimenta GRATUITAMENTE

Só depois de verificar com a sede da empresa é que o funcionário se apercebeu de que todas as pessoas nessa videochamada tinham sido um deepfake gerado por IA.

Não se tratava de um simples clone de voz ou de uma imagem estática. Os burlões criaram um vídeo interativo em tempo real de vários executivos ao mesmo tempo, criando um nível de complexidade que marcou uma nova evolução no cibercrime empresarial.

"Tal como muitas outras empresas em todo o mundo, as nossas operações estão sujeitas a ataques regulares, incluindo fraude de facturas, esquemas de phishing, falsificação de voz no WhatsApp e deepfakes. O que temos verificado é que o número e a sofisticação destes ataques têm vindo a aumentar acentuadamente nos últimos meses." Rob Greig, CIO da Arup

Estudo de caso 2: A pergunta de $40 milhões da Ferrari

Empresa: Ferrari
Objetivo: Diretor Executivo Benedetto Vigna
Tentativa de perda: Não revelado (os rumores sugerem milhões)
Método: Voz de IA deepfake com sotaque do Sul de Itália
Data: julho de 2024
Resultado: Prevenido

Os executivos da Ferrari receberam mensagens via WhatsApp que pareciam vir do seu Diretor Executivo, Benedetto Vigna, juntamente com a sua fotografia de perfil e a marca da empresa. As mensagens falavam de uma grande aquisição futura e pediam a partilha imediata de informações financeiras confidenciais. Numa chamada de seguimento, o deepfake até copiou o sotaque do sul de Itália de Vigna. 

Felizmente, um executivo começou a desconfiar e fez uma pergunta simples: "Qual era o título do livro que me recomendou na semana passada?" Quando a IA não conseguiu responder, o esquema caiu por terra.

Por vezes, a tecnologia mais sofisticada pode ser derrotada pelos protocolos humanos mais simples. O caso da Ferrari demonstra tanto a qualidade dos deepfakes modernos como o poder dos métodos de verificação pessoal.

Estudo de caso 3: A armadilha do Microsoft Teams da WPP

Empresa: WPP (O maior grupo de publicidade do mundo)
Objetivo: Diretor Executivo Mark Read
Método: Conta WhatsApp + reunião do Teams com clone de voz e imagens do YouTube
Data: maio de 2024
Resultado: Prevenido

Os cibercriminosos criaram uma conta falsa no WhatsApp utilizando fotografias publicamente disponíveis do CEO da WPP, Mark Read. Em seguida, utilizaram este material para agendar uma reunião do Microsoft Teams com outro executivo sénior, utilizando a conta, pedindo acesso a financiamento imediato e informações pessoais para um "novo negócio".

Durante a videochamada, os autores da fraude utilizaram uma combinação de tecnologia de clonagem de voz e imagens gravadas do YouTube para se fazerem passar por Read. 

Resposta do Diretor Executivo Mark Read: "Felizmente, os atacantes não foram bem sucedidos. Todos temos de estar atentos às técnicas que vão para além do correio eletrónico e que tiram partido das reuniões virtuais, da IA e dos deepfakes."

O caso WPP mostra como os executivos com uma grande presença nos media são ainda mais vulneráveis. A grande quantidade de fotos e vídeos públicos sobre eles dá aos criminosos o material perfeito para criar deepfakes.

Estudo de caso 4: O esquema do "holograma de IA" da Binance

Empresa: Binance (A maior plataforma de criptomoeda do mundo)
Objetivo: Patrick Hillmann, Diretor de Comunicação
Método: "Holograma" de videoconferência utilizando imagens de entrevistas televisivas
Data: 2022 (caso grave inicial)
Resultado: Vários projectos de criptografia enganados

Hackers sofisticados construíram o que Hillmann chamou de "holograma de IA", usando clipes de suas aparições na TV e nos noticiários. O deepfake era tão convincente que conseguiu enganar vários representantes de criptomoedas durante as chamadas do Zoom.

Os criminosos utilizaram esta tecnologia para se fazerem passar por Hillmann em reuniões de projectos que procuravam obter listagens da Binance. Estes são um dos endossos mais valiosos na indústria de criptografia. 

De acordo com Hillmann,   "... além dos 15 quilos que ganhei durante a COVID estarem visivelmente ausentes, esta falsificação profunda foi refinada o suficiente para enganar vários membros altamente inteligentes da comunidade criptográfica."

O caso da Binance constituiu um alerta precoce de que os criminosos estavam a passar de simples clones de voz para sofisticadas imitações de vídeo que visavam processos comerciais específicos.

Estudo de caso 5: A chamada de atenção interna do LastPass

Empresa: LastPass (Cibersegurança/Gestão de palavras-passe)
Objetivo: Diretor Executivo da empresa
Método: Chamadas WhatsApp, mensagens de texto e imitação de voicemail
Data: Início de 2024 

Resultado: Prevenido

Os burlões Deepfake visaram o LastPass através do WhatsApp (telefonando, enviando mensagens de texto e deixando mensagens de voz), fazendo-se passar pelo CEO da empresa.

O empregado visado apercebeu-se de vários sinais de alerta:

  • As comunicações ocorreram fora do horário normal de expediente;
  • O pedido tinha uma urgência invulgar (uma tática comum de burla);
  • O canal e a abordagem desviavam-se dos protocolos de comunicação habituais da empresa.

Se os profissionais de cibersegurança podem ser visados com sucesso, todas as organizações devem assumir que são vulneráveis.

O padrão por detrás dos casos

A análise destes incidentes verificados revela uma metodologia criminosa coerente:

Casos reais de Deepfake de executivos: Quando os diretores executivos se tornam alvos

O Perfil de Vulnerabilidade do Executivo

A investigação mostra que certas caraterísticas dos executivos aumentam o risco de segmentação por deepfake:

  • Presença significativa nos meios de comunicação social (entrevistas televisivas, podcasts, conferências)
  • Vídeos de discursos públicos disponíveis em linha
  • Autoridade de autorização financeira
  • Operações comerciais transfronteiriças
  • Cargos de relevo no sector

Hotspots geográficos:

  • Hong Kong (centro financeiro, complexidade regulamentar)
  • América do Norte (elevada adoção digital, grande economia)
  • Europa (a conformidade com o RGPD cria desafios de verificação)

O fator humano

Mesmo com toda a sofisticação tecnológica, muitos ataques continuam a basear-se na psicologia humana básica:

  • Preconceito de autoridade (ordens de superiores hierárquicos)
  • Pressão de urgência (restrições artificiais de tempo)
  • Recursos de confidencialidade (acesso especial, informação privilegiada)
  • Prova social (presença de vários "colegas")

Os executivos que sobreviveram a estes ataques partilham caraterísticas comuns: ceticismo saudável, protocolos de verificação e comunicação em equipa sobre potenciais ameaças.

Como prova o exemplo da Ferrari, por vezes uma simples pergunta pode derrotar uma tecnologia de milhões de dólares.

Referências

CNN (4 de fevereiro de 2024) - "Trabalhador do sector financeiro paga $25 milhões após videochamada com 'diretor financeiro' deepfake"

Fortune (17 de maio de 2024) - "Um 'CFO' deepfake enganou a empresa de design britânica por detrás da Ópera de Sydney numa fraude de $25 milhões"

O Guardião - Frase de Rob Greig sobre os ataques da Arup

MIT Sloan Management Review (27 de janeiro de 2025) - "Como é que a Ferrari travou um diretor executivo falso"

The Guardian (maio de 2024) - Mark Read, Diretor Executivo da WPP, tentativa de deepfake

Blogue Incode (20 de dezembro de 2024) - "Os 5 principais casos de fraude de AI Deepfake de 2024 expostos"

Blogue da Binance - "Os burlões criaram um holograma de mim com inteligência artificial para enganar projectos insuspeitos" por Patrick Hillmann

Euronews (24 de agosto de 2022) - "O executivo da Binance diz que os golpistas criaram um 'holograma' deepfake dele"

Eftsure US - "7 exemplos de ataques Deepfake: Golpes Deepfake de CEOs" - Caso LastPass

Direitos autorais © 2025 TruthScan. Todos os direitos reservados