Golpes de trabalho falso: a mais recente epidemia de fraudes online

Cuidado com o cavalo de Troia

Como Aarti aponta, se defender contra a fraude por deepfake está se tornando algo parecido com um jogo de whack-a-mole, com novas técnicas surgindo tão rapidamente quanto as existentes são abordadas. As organizações estão cada vez mais cientes da necessidade de usar medidas de KYC, como verificação de identidade de alta qualidade verificação de identidade para garantir que os clientes são quem dizem ser e manter os golpistas afastados. Mas o que acontece quando o inimigo está realmente dentro dos portões, sem que você saiba?

Uma forma de fraude online que está rapidamente ganhando atenção é o golpe de trabalho falso. O aumento do trabalho remoto criou oportunidades para criminosos, que podem conseguir trabalho em uma empresa mais facilmente através de rotas legítimas. Uma vez dentro, eles usam seu status interno para cometer fraudes.

Explorando suas vulnerabilidades

“Os designers de fraudes por deepfake sabem que as equipes de segurança estão em alta alerta”, comenta Aarti. “Portanto, eles não estão necessariamente mirando a equipe de segurança onde as defesas são mais fortes. Eles estão mirando equipes periféricas como o Diretor de Tecnologia e RH em uma organização.”

Ao mesmo tempo, pequenas e médias empresas (PMEs) estão sendo usadas como uma porta de entrada para entrar em grandes empresas.

“Eu estava conversando com uma empresa há dois dias, uma empresa de seis pessoas baseada nos Estados Unidos,” comenta Aarti. “Eles têm alguns clientes de alto perfil e se tornaram um alvo de fraudes por deepfake de ‘trabalhadores de TI’ que desejam alcançar os clientes que estão atendendo.”

“Se você é uma PME, o que você tem?” comenta Aarti. “Bem, você tem uma conta bancária, você tem clientes. Você tem dados e provavelmente possui algumas informações sensíveis sobre seus clientes. Então, já possui ativos de valor que o atacante pode querer. Se você está em indústrias regulamentadas, o valor desses ativos é muito maior. E, portanto, vale a pena investir mais tempo em criar uma fraude bem planejada.”

Empresas menores tendem a estar menos cientes do problema e têm menos recursos para investir em segurança. Portanto, os criminosos frequentemente as veem como um ‘sandbox’ onde podem testar vetores de ataque antes de usá-los para atacar grandes empresas.

Como funciona?

As fraudes de trabalhadores falsos começam nas plataformas onde os empregos são anunciados. Fraudadores criam perfis com todas as qualificações e experiências corretas. Outros membros da equipe são responsáveis pelas candidaturas; isso é um jogo de números, com criminosos se inscrevendo para milhares de empregos. Muitas vezes, um currículo bem construído pode passar despercebido por um recrutador, que provavelmente não estará ativamente procurando por candidaturas fraudulentas.

“Eles não costumam fazer uma verificação cruzada das informações,” diz Aarti. “Eles podem olhar para o currículo, podem fazer uma pesquisa superficial online para verificar se o currículo corrobora com outras informações disponíveis, mas não necessariamente fazem uma verificação inversa da imagem, por exemplo.

Para trabalho remoto, se um candidato é aprovado na fase de revisão de currículos, a próxima etapa geralmente é uma entrevista em vídeo online. Neste ponto, o entrevistado usará a tecnologia de vídeo deepfake para mudar sua aparência.

“A tecnologia é tão boa que, a menos que você esteja forensicamente procurando por sinais de borramento, etc., você realmente não consegue perceber que isso não é um rosto real,” comenta Aarti.

Se o candidato passar pelo processo de entrevista, a próxima etapa é a verificação de identidade. Além de documentos falsos, disponíveis a baixo custo na dark web, a tecnologia deepfake pode ser usada novamente para enganar processos de verificação de identidade menos sofisticados. O criminoso agora se tornou seu funcionário…

Reconhecendo os sinais

Dadas as perigosas consequências de ter um ator malicioso dentro da sua organização, fraudes de trabalhadores falsos devem estar no topo da agenda de cibersegurança de qualquer empresa. Para combater o problema, é vital tratar a autenticação como parte integrante do processo de recrutamento. Aqui estão algumas dicas que podem ajudá-lo a deter os fraudadores de trabalhadores falsos em seus rastros.

• Verifique currículos não apenas por competência, mas também por autenticidade – as qualificações e experiências parecem coerentes tanto entre si quanto com a idade, nacionalidade, localização, etc. do candidato?
• Revise o perfil do LinkedIn do candidato (se ele tiver um), observando inconsistências semelhantes – qual é seu nível de confiança de que essa pessoa é um candidato genuíno?
• Qualquer relutância em ligar a câmera é um sinal de alerta – todos nós podemos sofrer de problemas de rede, mas a imagem ausente ou de baixa qualidade está sendo usada para mascarar o uso da tecnologia deepfake?
• Fique de olho em candidatos que empregam um ‘copiloto’ – se um candidato parecer estar lendo as respostas a uma pergunta, isso pode ser um sinal forte de que ele está trabalhando com uma equipe
• Faça perguntas mais leves para ajudar a validar as informações fornecidas em uma candidatura quanto à autenticidade – use seu próprio conhecimento sobre empresas, instituições acadêmicas, etc. para ‘verificar’ as respostas
• Use software de verificação de identidade de alta qualidade para autenticar um candidato bem-sucedido, verificando não apenas se ele é humano, mas também se ele é quem diz ser