Aprendizado de máquina usado em novo golpe

Cibercriminosos imitaram a voz de um CEO, ordenando que outro executivo transferisse 20 mil euros para uma conta externa.

Novas tecnologias estão mudando o mundo, mas não necessariamente a psique humana. Como resultado, os gênios do mal estão criando inovações tecnológicas para atingir vulnerabilidades no cérebro humano. Um exemplo vívido é a história de como golpistas imitaram a voz de um CEO internacional  para induzir o chefe de uma subsidiária a transferir dinheiro para contas maliciosas.

O que aconteceu?

Os detalhes do ataque são desconhecidos, mas o Wall Street Journal, citando a empresa de seguros Euler Hermes Group SA, descreve o incidente da seguinte forma:

  1. Atendendo a um telefonema, o CEO de uma empresa de energia com sede no Reino Unido pensou que estava falando com seu chefe, o executivo-chefe da matriz na Alemanha, que lhe pediu para enviar 220 mil euros a um fornecedor húngaro (fictício, como mais tarde foi descoberto) dentro de uma hora.
  2. O executivo britânico transferiu a quantia solicitada.
  3. Os impostores ligaram novamente para dizer que a empresa matriz havia transferido dinheiro para reembolsar a empresa do Reino Unido.
  4. Eles então fizeram uma terceira ligação mais tarde naquele dia, novamente se passando pelo CEO, e pediram um segundo pagamento.
  5. Como a transferência que reembolsava os fundos ainda não havia chegado e a terceira ligação era de um número de telefone austríaco, não alemão, o executivo ficou desconfiado. Ele não fez o segundo pagamento.

Como isso foi feito?

As seguradoras estão considerando duas possibilidades. Os cibercriminosos podem ter vasculhado um vasto número de gravações do CEO e reuniram manualmente as mensagens de voz ou (mais provavelmente) criaram um algoritmo de aprendizado de máquina nas gravações. O primeiro método demanda muito tempo e não é confiável – além de ser extremamente difícil montar uma frase coesa a partir de palavras separadas sem causar desconfiança ao ouvido humano. E, de acordo com a vítima britânica, o discurso era absolutamente normal, com um timbre claramente reconhecível e um leve sotaque alemão. Então, o principal suspeito é a Inteligência Artificial. Mas o sucesso do ataque teve menos a ver com o uso de novas tecnologias do que com distorção cognitiva, neste caso submissão à autoridade.

Post-mortem psicológico

Os psicólogos sociais realizaram muitos experimentos mostrando que mesmo pessoas inteligentes e experientes tendem a obedecer inquestionavelmente à autoridade, mesmo que isso seja contrário a convicções pessoais, senso comum ou considerações de segurança.

Em seu livro O efeito Lúcifer: compreendendo como as pessoas se tornam más, Philip Zimbardo descreve esse tipo de experimento, no qual as enfermeiras receberam um telefonema de um médico pedindo que injetassem em um paciente uma dose de medicamento duas vezes a quantidade máxima permitida. Dos 22 enfermeiros, 21 encheram a seringa conforme as instruções. De fato, quase metade das enfermeiras pesquisadas seguiu as instruções de um médico que, em suas opiniões, poderiam prejudicar um paciente. As enfermeiras obedientes acreditavam ter menos responsabilidade pelas ordens do que um médico com autoridade legal para prescrever tratamento a um paciente.

O psicólogo Stanley Milgram também explicou a inquestionável obediência à autoridade usando a teoria da subjetividade, cuja essência é que, se as pessoas se percebem como ferramentas para realizar as vontades dos outros, elas não se sentem responsáveis ​​por suas ações.

O que fazer?

Você não pode afirmar com 100% de certeza com quem está falando ao telefone – especialmente se for uma figura pública e as gravações de suas vozes (entrevistas, discursos) estiverem disponíveis ao público. Hoje é raro, mas à medida que a tecnologia avança, esses incidentes se tornam mais frequentes.

Ao seguir inquestionavelmente as instruções, você pode estar fazendo as ordens de cibercriminosos. É normal obedecer ao chefe, é claro, mas também é importante questionar decisões administrativas estranhas ou ilógicas.

Nosso conselho é desencorajar os funcionários a seguir instruções cegamente. Tente não dar ordens sem explicar o motivo. Dessa forma, é mais provável que um funcionário consulte um pedido incomum se não houver justificativa aparente.

Do ponto de vista técnico, recomendamos:

  • Prescrever um procedimento claro para a transferência de fundos, para que mesmo funcionários de alto escalão não possam movimentar dinheiro para fora da empresa sem supervisão. Transferências de grandes somas devem ser autorizadas por vários gerentes.
  • Treine os funcionários em questões básicas de cibersegurança e ensine-os a ver solicitações incomuns com uma dose saudável de ceticismo. Nossos programas de conscientização de ameaças ajudarão nisso.
Dicas