🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

Formação de sensibilização para o Deepfake: um guia rápido

Os deepfakes estão a tornar-se cada vez mais um enorme risco cibernético para as organizações. Já todos vimos vídeos como o que se segue, em que se mostram pessoas famosas a dizer as coisas mais estranhas. Muitas vezes, podias ver facilmente que se tratava de uma falsificação, o que lhe dava alguma piada. Mas à medida que as semanas e os meses passam, os modelos de IA que criam estes vídeos tornam-se melhores a enganar-nos.

Neste artigo, vamos explicar o que são deepfakes, porque representam um risco tão grave para as empresas e como podes preparar os teus funcionários através de uma formação de sensibilização para deepfake.

Vamos começar pelo princípio.

O que são deepfakes e porque é que são perigosos?

Os deepfakes são meios sintéticos (vídeo ou áudio) gerados ou manipulados com recurso a inteligência artificial para fazer com que as pessoas pareçam dizer ou fazer coisas que na realidade nunca disseram ou fizeram. Os rostos podem ser trocados e as vozes podem ser clonadas para parecerem assustadoramente convincentes. Um deepfake pode convencer os outros de que uma pessoa disse ou fez coisas que nunca fez. Como comer esparguete na praia.

Ao longo dos anos, todos nós aprendemos a não confiar sempre no que lemos. No entanto, as pessoas ainda não aprenderam a desconfiar de tudo o que vêem e ouvem. Este facto está atualmente a ser explorado pelos cibercriminosos. Quer se trate de um vídeo falso de um CEO a fazer uma declaração controversa, ou de uma voz clonada a pedir urgentemente informações sensíveis, os deepfakes podem causar danos no mundo real

Principais riscos das deepfakes para as organizações

As falsificações profundas criam ameaças a vários níveis para as empresas. Os principais riscos incluem:

Fraude do diretor executivo e perdas financeiras

Uma das principais ameaças é a fraude do CEO com deepfake. Os criminosos utilizam uma voz ou um vídeo clonado de um executivo sénior para enganar os empregados e levá-los a transferir dinheiro. Estes ataques já estão a acontecer. Por exemplo:

  • Em 2019, uma empresa de energia do Reino Unido perdeu 243 000 dólares após uma chamada de voz "deepfake" de um "CEO".
  • Em 2020, os autores de fraudes utilizaram a tecnologia de voz deepfake para roubar 35 milhões de dólares.
  • Em 2024, uma empresa de engenharia do Reino Unido perdeu mais de 20 milhões de libras depois de uma chamada de vídeo falsa se ter feito passar por um executivo de alto nível.

Os funcionários tendem naturalmente a obedecer a pedidos urgentes da liderança, especialmente sob pressão. Os deepfakes exploram este instinto, contornando os procedimentos de verificação habituais.

Danos à reputação e desinformação

Os deepfakes também podem ser usados como armas para destruir reputações. Imagina um vídeo falso do teu CEO a fazer comentários racistas - ou provas falsas de que o teu produto não é seguro - a tornar-se viral online. Mesmo que mais tarde seja desmentido, o dano à confiança e à perceção do público pode ser irreversível.

A Europol alerta para o facto de os deepfakes poderem ser utilizados para divulgar informações falsas sobre as empresas, criando pânico entre os acionistas, boicotes de clientes ou mesmo investigações regulamentares.

phishing direcionado e engenharia social

Os deepfakes levam a engenharia social a um nível totalmente novo. Em vez de um e-mail suspeito, imagina receber uma chamada de vídeo convincente do teu "departamento de TI" a pedir-te para entrares numa página phishing . Ou uma mensagem de voz do teu "diretor financeiro" a pedir informações confidenciais urgentes.

  • O vishing (voice phishing) e o video phishing são ameaças crescentes.
  • Os atacantes precisam apenas de um pequeno clip de áudio (por exemplo, das redes sociais) para clonar a voz de uma pessoa de forma convincente.

Os deepfakes criam autenticidade emocional, tornando mais difícil para os funcionários detetar fraudes com base apenas no instinto.

Na vida privada, muitas pessoas já foram alvo de deepfakes dos seus filhos ou pais. Se a voz inconfundível do teu filho te disser que ele está em perigo e que precisa de dinheiro agora, estás suficientemente calmo e consciente para verificar a sua identidade?

Porque é que security awareness tradicional para security awareness já não é suficiente

A maior parte das empresas oferece formação anual de security awareness , abrangendo o phishing, a higiene das palavras-passe e a higiene cibernética básica. Mas isso já não é suficiente contra os deepfakes:

  • Os deepfakes são uma ameaça nova e em rápida evolução. Os funcionários têm de aprender a questionar mesmo as fontes de confiança, como vídeos e chamadas telefónicas.
  • A maioria dos programas de formação tradicionais nem sequer menciona os deepfakes.
  • A investigação mostra que, mesmo depois de serem avisadas sobre as deepfakes, as pessoas não as conseguem detetar.
  • A formação tradicional em segurança é estática, enquanto as técnicas de deepfake evoluem mensalmente.
  • Os casos de deepfake pedem novas respostas processuais, tipo verificar chamadas suspeitas por outros meios e ter mecanismos claros de denúncia.

Sem uma formação específica de sensibilização para deepfake, os funcionários podem cair em ataques porque subestimam o quão convincentes podem ser os meios sintéticos.

Dicas práticas: preparar os empregados para incidentes de deepfake

Eis como as organizações podem começar a preparar-se hoje:

  • Campanhas de sensibilização com exemplos reais: Mostra aos funcionários exemplos reais de deepfakes. Comparar vídeos reais com falsos ajuda a criar um ceticismo saudável. A chave aqui é a repetição. Uma formação anual é esquecida ao fim de poucas semanas.
  • Ensina competências de deteção: Treina o pessoal para detetar inconsistências subtis (por exemplo, movimentos labiais desfasados, iluminação estranha, vozes monótonas).
  • Define procedimentos de comunicação claros: Os empregados devem saber como verificar pedidos invulgares e comunicar suspeitas sem receio de serem culpados.
  • Utiliza ferramentas técnicas: Explora software que possa detetar meios sintéticos ou implementar a verificação de dois factores para pedidos sensíveis.

Como oferecer uma formação eficaz de security awareness do deepfake

O Guardey ajuda as organizações a criar uma ciber-resiliência contínua com uma formação de security awareness fácil de utilizar e gamificada que inclui a sensibilização para o deepfake:

  • Gamificação: Os funcionários ganham pontos, medalhas e competem em tabelas de classificação amigáveis, tornando a aprendizagem divertida e memorável.
  • Aprendizagem contínua: Em vez de uma sessão anual, o Guardey oferece microaprendizagem semanal ou mensal, ajudando os funcionários a manterem-se actualizados à medida que as ameaças de deepfake evoluem.
  • Conteúdo relevante: Guardey adapta os cenários ao sector de cada cliente, tornando as lições altamente relacionáveis.

O modelo contínuo e gamificado de Guardey incentiva os funcionários a pensar criticamente sobre o que vêem e ouvem, criando hábitos duradouros de ceticismo.

→ Aprende mais sobre o Guardey durante uma demonstração

Conclusão: age agora para te manteres à frente

Os deepfakes já não são ficção científica. A torto e a direito, os cibercriminosos tentam enganar os funcionários para que façam coisas que podem prejudicar as finanças ou a reputação da tua organização. Investir em formação recorrente é a única opção para preparar os teus funcionários.

Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada