Após a popularização do ChatGPT e da inteligência artificial, 2023 ficou registrado como o ano de maior circulação de conteúdos falsos para aplicação de golpes na história. Foram quase 5 milhões de casos, contra 4,7 milhões em 2022.

O dado foi divulgado pelo Anti-Phishing Working Group (grupo de trabalho anti-phishing), uma coalizão internacional para combater golpes de engenharia social na internet, que usam como isca alguma mensagem ou imagem chamativa —por isso, a referência ao verbo pescar em inglês.

Pesquisadores de cibersegurança ouvidos pela Folha afirmam que, além do ganho em escala, a inteligência artificial permite que os golpistas espalhem mensagens mais convincentes e com menos erros ortográficos.

No lado obscuro da internet, conhecido como “deep web”, circula até uma versão do ChatGPT sem filtros e especializada em dar assistência a estelionatários: o FraudGPT.

Porta-vozes da Polícia Civil, contudo, ainda dizem ter dificuldades para identificar o uso da tecnologia no estelionato digital e não trabalham com esse recorte.

Ainda em 2023, o anuário brasileiro de segurança pública identificou uma alta de 326,2% nos casos de fraude eletrônica entre 2018 e 2022. Dados de estados que divulgam estatísticas sobre esse crime, como Rio de Janeiro e Pernambuco, indicam que a tendência de crescimento se manteve em 2023.

A reportagem reuniu exemplos dos esquemas com IA, que vão de sites falsos para fingir arrecadar doações para o Rio Grande do Sul a fakes em aplicativos de relacionamento. Veja como se proteger:

PRINCIPAIS GOLPES QUE USAM IA
SITES FALSOS
FAKES DO TINDER
CLONES VIRTUAIS GOLPISTAS
LIGAÇÃO FALSA
MENSAGENS E EMAILS FALSOS EM MASSA

SITES FALSOS
Em uma busca no Google por sites que arrecadavam recursos para ajudar os desalojados no Rio Grande do Sul, a reportagem encontrou o site falso “doacoes-rs.vercel.app”, hoje fora do ar. A Vercel mencionada no fim do endereço web é uma plataforma para geração simples de sites a partir de inteligência artificial.

A página que indicava doar para uma chave Pix em nome de uma pessoa física era aberta pela frase de efeito: “ajude-nos a reconstruir vidas”. O site estava repleto de vídeos e imagens da tragédia no Sul, mas não continha referências aos responsáveis por promover a ajuda. Faltavam rostos, nomes, telefone e endereço.

A chave Pix estava no nome de um microempresário individual gaúcho, mas essa informação não era confiável, uma vez que os estelionatários costumam usar dados vazados na internet para abrir contas e aplicar golpes. O link estava patrocinado no Google.

Para evitar o prejuízo, o internauta precisa se atentar aos detalhes, como o trecho “vercel.app”, incomum em um endereço de internet.

Outra dica é evitar os links publicitários do Google, que costumam ser a melhor resposta para a busca, e, por isso, pagam para furar a fila. Os links patrocinados também podem estar em redes sociais.

CLONES VIRTUAIS GOLPISTAS
O servidor público goiano Elias Alves diz ter acreditado em uma falsa promoção de um restaurante que frequenta. Teve as contas no WhatsApp e no Instagram invadidas e, além disso, teve a identidade roubada.

No dia 6 de maio, criminosos copiaram, a partir de uma foto enviada por Alves, a imagem dele em um vídeo fraudulento que usava uma proposta de investimento como isca.

Após perceber que havia perdido acesso às redes sociais, Alves conseguiu prevenir amigos e parentes do golpe e evitar prejuízos. Como não houve perdas materiais, o servidor público não registrou boletim de ocorrência junto à Polícia Civil, como é recomendado.

Esse golpe, noticiado pela Folha em outubro, atrai as vítimas com promessas de investimento de alto retorno financeiro ou venda de móveis a preços impraticáveis e certificam a oferta com a credibilidade da pessoa, cujo perfil fora roubado.

Também circulam nas redes sociais vídeos de famosos como Neymar, Anitta e Drauzio Varella.

Os conteúdos são produzidos em softwares que usam IA para recriar a voz de pessoas, trocar o rosto em vídeos e sincronizar movimentos labiais.

Essa tecnologia ficou conhecida nos últimos anos como deepfake e está mais acessível a cada dia com a popularização de IAs generativas, como o ChatGPT. Hoje, bastam cinco minutos de áudio para copiar uma voz com qualidade aceitável.

Nesses esquemas, a principal tática é a chamada engenharia social —os criminosos recorrem à lábia para receber transferências de seus alvos de forma espontânea. Isso também diminui a chance de o banco bloquear a transação por comportamentos anômalos, como ocorre em outros golpes.

O único jeito de se prevenir do risco de ser clonado na internet é restringir a circulação de imagens e áudios de si, de acordo com o fundador da empresa de cibersegurança Tempest, Lincoln Mattos. Uma opção é tornar a conta privada e limitar a visualização de posts a amigos. A outra é evitar publicar.

LIGAÇÃO FALSA
A mesma tecnologia de deepfakes também é usada em ligações falsas, com vozes clonadas.

A polícia de Hong Kong, por exemplo, investiga um caso em que uma empresa multinacional perdeu 200 milhões de dólares de Hong Kong (R$ 126,5 milhões), depois que estelionatários enganaram seus funcionários com uma chamada de vídeo em grupo falsa criada a partir de IA, de acordo com o South China Morning Post.

Os fraudadores fabricaram representações do diretor financeiro da empresa e de outras pessoas na chamada usando imagens públicas e convenceram a vítima a fazer um total de 15 transferências para cinco contas bancárias em Hong Kong, informou o jornal neste domingo (4), citando a polícia da cidade.

As autoridades não identificaram a empresa nem os funcionários.

Devido ao maior risco de roubo de identidade com IA, os próprios bancos têm trocado a segurança baseada em biometria por análise comportamental.

Hábitos pessoais dos clientes, como horários comuns de transações bancárias e até a maneira de segurar o celular, se tornaram a principal ferramenta de bancos para evitar fraudes em meio ao avanço da inteligência artificial generativa, que pode fraudar sistemas de biometria.

MENSAGENS E EMAILS FALSOS EM MASSA
De acordo com o relatórios do Grupo de Trabalho Anti-Phishing, as redes sociais e as plataformas de email foram o principal local de circulação de mensagens golpistas em texto no ano passado.

As redes sociais concentraram 43% dos golpes, e as plataformas de email, 15%.

As ferramentas de inteligência artificial permitem que os criminosos automatizem a produção de conteúdo e evitem erros gramaticais, que podem gerar estranheza ao leitor.

Quando a isca funciona por si, os criminosos não precisam atrair as vítimas para um site falso, de acordo com Fabio Assolini, diretor da equipe de pesquisa da Kaspersky para América Latina.

A empresa, por exemplo, identificou textos fraudulentos nas redes sociais com objetivo de desviar doações via Pix. Os criminosos citavam entidades legítimas, mas adicionavam chaves de pessoas e empresas laranjas.

Para evitar prejuízos, é sempre importante checar o destinatário da transferência. Embora o Pix seja rastreável pelo sistema do Banco Central, os criminosos, em geral, fracionam as quantias e as movimentam por várias contas para dificultar a busca pelo dinheiro.

Checar se o CNPJ da empresa confere também evita perdas.

Publicado originalmente em Folha de São Paulo. Reprodução parcial citada a fonte.