A ESET, maior empresa europeia de cibersegurança, alerta para o crescimento significativo de fraudes efetuadas em chamadas falsas com recurso a deepfakes de áudio, uma ameaça emergente que está a permitir a criminosos contornar mecanismos de autenticação, manipular colaboradores e desencadear fraudes financeiras de elevado impacto.
Hoje, com o avanço da inteligência artificial generativa (GenAI), a criação de áudio sintético realista tornou-se amplamente acessível, permitindo que os criminosos clonem vozes com base em apenas alguns segundos de gravação disponíveis online.
Dados recentes indicam que milhões de ficheiros de áudios sintéticos circulam atualmente na internet, evidenciando a rápida democratização desta tecnologia. O número real poderá ser ainda mais elevado, considerando a proliferação de ferramentas acessíveis ao público.
Como funcionam os scams de chamadas falsas
De acordo com Jake Moore, consultor global de segurança da ESET Global, nunca foi tão simples lançar um ataque de clonagem de voz direcionado a uma organização.
O processo tende a seguir um padrão:
- Seleção da identidade a imitar: normalmente um CEO, CFO ou fornecedor estratégico.
- Recolha de amostras de áudio públicas, frequentemente disponíveis em entrevistas, conferências, redes sociais ou apresentações corporativas.
- Identificação do alvo interno, como membros da equipa financeira ou do suporte técnico.
- Contacto prévio por e-mail para criar contexto e urgência.
- Chamada telefónica com deepfake de áudio, utilizando scripts pré-definidos ou tecnologia de “speech-to-speech” quase em tempo real.
- O objetivo pode variar: solicitar transferências urgentes, alterar dados bancários de fornecedores, redefinir credenciais ou contornar autenticação multifator (MFA).
Em muitos casos, a pressão psicológica é parte central da estratégia — urgência, confidencialidade e autoridade são exploradas para reduzir o pensamento crítico da vítima.
Porque estes ataques são tão convincentes?
As ferramentas mais recentes de GenAI conseguem replicar:
- Ritmos naturais de fala
- Inflexões emocionais
- Pausas estratégicas e hesitações
- Ruído de fundo simulado
- Tiques verbais específicos
Quando a interação ocorre por telefone, um meio já limitado em pistas visuais, as inconsistências tornam-se mais difíceis de identificar. Além disso, o facto de o interlocutor parecer ser um executivo sénior aumenta a probabilidade de cumprimento imediato do pedido.
Sinais de alerta a considerar
Embora cada vez mais sofisticados, os deepfakes de áudio podem apresentar indícios como:
- Ritmo ou entoação ligeiramente artificiais
- Tom emocional monótono ou desalinhado com o contexto
- Respiração pouco natural ou inexistente
- Áudio excessivamente limpo ou com ruído de fundo uniforme
- Respostas vagas quando confrontados com perguntas inesperadas
- A formação dos colaboradores para reconhecer estes sinais pode ser determinante para evitar prejuízos.
«Os ataques de CEO Fraud ou Business Email Compromise (BEC) tendem a ser muito bem elaborados com a ajuda da tecnologia de inteligência artificial», alerta Ricardo Neves, Responsável de Marketing e Comunicação na ESET Portugal.
«Para mitigar estes riscos, as organizações devem implementar medidas sólidas, tais como: processos de dupla aprovação para transferências ou alterações de dados bancários, a utilização de autenticação multifator (MFA) nas contas corporativas e a formação regular dos colaboradores para reconhecer sinais de engenharia social e fraudes com recurso a deepfakes», acrescenta. «Estas recomendações são essenciais para a proteção das empresas e entidades públicas, que serão visadas com maior frequência em resultado da adoção massiva de ferramentas acessíveis de IA».
A ESET Portugal reforça que as fraudes de clonagem de voz são de baixo custo e de alto impacto, o que exige uma atenção urgente e constante das organizações. A atualização regular de políticas de segurança e a revisão de planos de resposta são essenciais para mitigar riscos no cenário atual de fraude cibernética.