Conecte-se
Ajuda
Seja verificado
Fique por dentro das notícias da Veriff. Assine o boletim informativo
Podcast
Golpes de trabalho falso: a mais recente epidemia de fraudes online
A maioria das empresas está ciente da importância de conhecer seus clientes, mas e quanto a conhecer seus funcionários? Aarti Samani, fundadora da consultoria de prevenção de fraudes com deepfake Shreem Growth Partners, explica o que são fraudes com trabalhadores falsos – e oferece algumas dicas sobre como defender sua organização contra elas.
Ouça a conversa completa com Aarti agora!
Em 2024, fraude com deepfake foi tentada a cada cinco minutos no contexto de verificação de identidade. Enquanto isso, em todo o mundo, 400 CEOs são o alvo da fraude por deepfake a cada minuto. Essencialmente, esse tipo de golpe está por toda parte, e indivíduos e empresas muitas vezes estão sendo alvos sem que percebam até que seja tarde demais.
“A razão pela qual isso está em toda parte é porque é mais fácil quebrar a confiança humana do que penetrar na tecnologia,” diz Aarti Samani de forma direta. “Você pode atacar as pessoas diretamente, você pode explorá-las e não precisa se preocupar em invadir o sistema. É o caminho de menor resistência.”
“Isso toca em nossos instintos,” continua Aarti. “Nós somos ensinados a confiar no que vemos e ouvimos desde que somos crianças. Somos ensinados a confiar em figuras de autoridade e não questioná-las. Parte desse condicionamento social torna isso uma forma muito, muito eficaz de vetor de ataque, com alto retorno sobre investimento e barreiras de entrada baixas. Portanto, se você pensar na fraude como um negócio, é a receita perfeita para o sucesso.”
Cuidado com o cavalo de Tróia
Como Aarti aponta, se defender contra a fraude por deepfake está se tornando algo parecido com um jogo de whack-a-mole, com novas técnicas surgindo tão rapidamente quanto as existentes são abordadas. As organizações estão cada vez mais cientes da necessidade de utilizar medidas de conhecimento do cliente (KYC) como verificação de identidade de alta qualidade verificação de identidade para garantir que os clientes são quem dizem ser e manter os fraudadores afastados. Mas o que acontece quando o inimigo está realmente dentro dos portões, sem que você saiba?
Uma forma de fraude online que está rapidamente ganhando atenção é o golpe de trabalho falso. O aumento do trabalho remoto criou oportunidades para criminosos, que podem conseguir trabalho em uma empresa mais facilmente através de rotas legítimas. Uma vez dentro, eles usam seu status interno para cometer fraudes.
Explorando suas vulnerabilidades
“Os criadores de fraudes por deepfake sabem que as equipes de segurança estão em alta alerta,” comenta Aarti. “Então, eles não estão necessariamente visando a equipe de segurança, onde as defesas são mais fortes. Eles estão mirando equipes periféricas, como o CTO e RH dentro de uma organização.”
Ao mesmo tempo, pequenas e médias empresas (PMEs) estão sendo usadas como uma porta de entrada para acessar grandes corporações.
“Eu conversei com uma empresa há apenas dois dias, uma empresa de seis pessoas com sede nos Estados Unidos,” comenta Aarti. “Eles têm alguns clientes de alto perfil e se tornaram um alvo de fraudes por deepfake de ‘trabalhadores de TI’ que desejam alcançar os clientes que estão atendendo.”
“Se você é uma PME, o que você tem?” comenta Aarti. “Bem, você tem uma conta bancária, você tem clientes. Você tem dados e provavelmente possui algumas informações sensíveis sobre seus clientes. Portanto, você já possui ativos de valor que o atacante pode querer. Se você está em setores regulamentados, o valor desses ativos é muito maior. E, portanto, vale a pena investir mais tempo na criação de uma fraude muito bem projetada.”
Empresas menores tendem a ter menos consciência do problema e têm menos recursos para investir em segurança. Portanto, os criminosos frequentemente as veem como um ‘sandbox’ onde podem testar vetores de ataque antes de usá-los para atacar grandes empresas.
Como isso funciona?
As fraudes de trabalhadores falsos começam nas plataformas onde os empregos são anunciados. Fraudadores criam perfis com todas as qualificações e experiências corretas. Outros membros da equipe são responsáveis pelas candidaturas; isso é um jogo de números, com criminosos se inscrevendo para milhares de empregos. Muitas vezes, um currículo bem construído pode passar despercebido por um recrutador, que provavelmente não estará ativamente procurando por candidaturas fraudulentas.
“Eles não costumam fazer uma verificação cruzada das informações,” diz Aarti. “Eles podem olhar o currículo, podem fazer uma busca superficial online para ver se o currículo corrobora com outras informações que existem, mas não fazem necessariamente uma verificação reversa da imagem, por exemplo.
Para trabalho remoto, se um candidato é aprovado na fase de revisão de currículos, a próxima etapa geralmente é uma entrevista em vídeo online. Neste ponto, o entrevistado usará a tecnologia de vídeo deepfake para mudar sua aparência.
“A tecnologia é tão boa que, a menos que você esteja forensicamente procurando por sinais de borramento, etc., você realmente não consegue perceber que isso não é um rosto real,” comenta Aarti.
Se o candidato passar pelo processo de entrevista, a próxima etapa é a verificação de identidade. Além de documentos falsos, disponíveis a baixo custo na dark web, a tecnologia deepfake pode ser usada novamente para enganar processos de verificação de identidade menos sofisticados. O criminoso agora se tornou seu funcionário…
Reconhecendo os sinais
Dadas as perigosas consequências de ter um ator malicioso dentro da sua organização, fraudes de trabalhadores falsos devem estar no topo da agenda de cibersegurança de qualquer empresa. Para combater o problema, é vital tratar a autenticação como parte integrante do processo de recrutamento. Aqui estão algumas dicas que podem ajudá-lo a deter os fraudadores de trabalhadores falsos em seus rastros.
- Verifique os currículos não apenas quanto à competência, mas quanto à autenticidade – as qualificações e a experiência parecem coerentes tanto em si mesmas quanto com a idade, nacionalidade, localização do candidato etc.?
- Revise o perfil do LinkedIn do candidato (se ele tiver um), procurando por inconsistências semelhantes – qual é o seu nível de confiança de que essa pessoa é um candidato genuíno?
- Qualquer relutância em aparecer na câmera é um sinal de alerta – todos nós podemos ter problemas com a rede, mas a falta ou a baixa qualidade do vídeo está sendo usada para ocultar o uso da tecnologia deepfake?
- Fique de olho em candidatos que empregam um ‘copiloto’ – se um candidato parecer estar lendo as respostas a uma pergunta, isso pode ser um sinal forte de que ele está trabalhando com uma equipe
- Faça perguntas mais leves para ajudar a validar as informações fornecidas em uma candidatura quanto à autenticidade – use seu próprio conhecimento sobre empresas, instituições acadêmicas, etc. para ‘verificar’ as respostas
- Use software de verificação de identidade de alta qualidade para autenticar um candidato bem-sucedido, verificando não apenas se ele é humano, mas também se ele é quem diz ser
Veriff Voices
Ouça a conversa completa com Aarti sobre tópicos atuais em fraudes por deepfake – e explore mais episódios do podcast Veriff Voices.
