Um funcionário de finanças da empresa global de engenharia Arup transferiu quase 25 milhões de dólares após participar numa videoconferência que parecia incluir o diretor financeiro da empresa e vários colegas, apenas para descobrir posteriormente que quase todos os participantes tinham sido gerados por IA. O incidente teve sucesso porque os atacantes contornaram os controlos técnicos ao explorar a confiança humana através de vozes e rostos sintéticos convincentes durante a chamada de vídeo. Segundo um novo guia publicado pela Resemble AI, este caso tornou-se um exemplo emblemático de como os deepfakes evoluíram de demonstrações isoladas para um risco de segurança generalizado que afeta empresas, instituições financeiras e agências governamentais, com pesquisas da Gartner, do FBI e do Fórum Económico Mundial a mapear o crescente panorama de ameaças.
O incidente na Arup tornou-se o estudo de caso definidor na indústria para fraudes com deepfake de IA. Um funcionário de finanças inicialmente suspeitou de um email de phishing a solicitar uma transação confidencial. Em vez de agir imediatamente, o funcionário juntou-se ao que parecia uma videoconferência com o diretor financeiro da empresa e vários colegas. Todos pareciam autênticos e soavam autênticos, e a reunião parecia totalmente legítima. Seguindo as instruções recebidas durante a chamada, o funcionário autorizou múltiplas transferências bancárias no total de aproximadamente 25 milhões de dólares. Só mais tarde os investigadores descobriram que quase todos os participantes na chamada tinham sido gerados por IA. O ataque teve sucesso porque contornou os controlos técnicos que as organizações têm vindo a melhorar há décadas, sem malware, endpoint comprometido ou anexos maliciosos. O funcionário tinha corretamente identificado o email suspeito, mas esse julgamento foi sobreposto pela confirmação aparente fornecida por rostos e vozes familiares durante a reunião de vídeo.
De acordo com a pesquisa da Gartner citada no relatório da Resemble AI, 62% das organizações sofreram um ataque de deepfake nos últimos 12 meses. Quase sete em cada dez ataques visaram sistemas de vídeo, enquanto 67% focaram comunicações por voz. O relatório do Centro de Reclamações de Crimes na Internet do FBI para 2025 estimou que fraudes habilitadas por IA geraram cerca de 893 milhões de dólares em perdas reportadas. Os investigadores também estimam que cerca de oito milhões de peças de mídia sintética circulavam online durante 2025, representando um crescimento explosivo em relação a poucos anos antes. Embora as estimativas variem consoante a metodologia, todos os principais estudos apontam na mesma direção: a ilusão gerada por IA está a expandir-se a um ritmo que os controlos de segurança existentes nunca foram concebidos para lidar. Para as instituições financeiras, as implicações vão muito além da desinformação nas redes sociais, pois todos os processos que dependem de reconhecimento de voz, verificação por vídeo ou confiança na identidade digital tornam-se potenciais superfícies de ataque.
O relatório da Resemble AI defende que as organizações devem deixar de ver os deepfakes como eventos isolados de cibersegurança e tratá-los como um problema de identidade. A tecnologia de clonagem de voz agora requer apenas segundos de áudio disponível publicamente para produzir imitações convincentes. Apresentações em conferências, chamadas de resultados, podcasts e entrevistas tornam-se efetivamente material de treino para atacantes que procuram imitar executivos. A geração de vídeo também melhorou de forma semelhante, com o que antes exigia efeitos visuais caros agora produzido por ferramentas de IA de consumo capazes de gerar expressões faciais convincentes, fala sincronizada e chamadas de vídeo realistas. A Gartner previu anteriormente que até 2026, 30% das empresas deixariam de considerar a verificação de identidade fiável por si só devido aos deepfakes gerados por IA, uma previsão que o relatório destaca como cada vez mais relevante à medida que os ataques se tornam mais sofisticados.
Embora os ataques de deepfake afetem múltiplos setores, os serviços financeiros enfrentam uma exposição única devido ao elevado valor de muitas decisões que dependem de comunicações de confiança. Aprovações de pagamentos, recuperação de contas, onboarding remoto, consultas de gestão de património e interações de apoio ao cliente ocorrem cada vez mais através de canais digitais onde a identidade é tradicionalmente estabelecida visualmente ou por reconhecimento de voz. O guia identifica vários padrões de ataque recorrentes que já afetam organizações. A impersonação de executivos continua a ser a categoria de maior valor, usando executivos clonados para autorizar pagamentos fraudulentos. Fraudes de investimento continuam a usar vídeos gerados por IA de políticos, celebridades e personalidades financeiras a promover plataformas falsas de negociação ou criptomoedas. Fraudes na contratação surgiram como uma preocupação crescente, com identidades sintéticas e candidatos gerados por IA a tentarem obter emprego dentro de organizações para aceder a sistemas ou informações sensíveis. Fraudes ao consumidor continuam a evoluir através de vozes geradas por IA que imitam familiares durante chamadas de sequestro virtual ou ataques de impersonação no apoio ao cliente.
O relatório argumenta que a maioria dos investimentos em cibersegurança foca na deteção de software malicioso, emails suspeitos ou dispositivos comprometidos, mas os deepfakes operam de forma diferente ao atacar a perceção em vez das redes. Quando um funcionário legítimo autoriza um pagamento usando um portátil de confiança durante uma reunião de vídeo que parece normal, os controlos de segurança convencionais muitas vezes não detectam nada de anormal. Não há anexos maliciosos para colocar em quarentena nem dispositivo comprometido, apenas um humano a tomar uma decisão empresarial aparentemente legítima com base em provas visuais e auditivas fraudulentas. Essa distinção explica porque as empresas cada vez mais veem a deteção de deepfakes como uma disciplina de segurança separada, em vez de uma extensão das tecnologias anti-phishing existentes.
Em vez de confiar numa única solução, o relatório recomenda uma abordagem em camadas que combina quatro capacidades complementares. A primeira foca na verificação de identidade através de deteção de vivacidade e autenticação contínua. A segunda estabelece a proveniência usando tecnologias como Content Credentials e marcação digital para verificar a origem do conteúdo. A terceira emprega sistemas de deteção de IA capazes de analisar áudio, vídeo e imagens em busca de artefactos associados à geração sintética, fornecendo resultados explicáveis que as equipas de segurança podem investigar. A última camada vai além da deteção, com monitorização contínua, permitindo às organizações identificar impersonação de executivos, uso fraudulento de marcas e outros deepfakes circulantes publicamente antes de ganharem tração. Segundo o relatório, nenhuma camada isolada consegue eliminar a ameaça, e as organizações devem assumir que os atacantes eventualmente contornarão os controlos individuais, ajustando os programas de segurança em conformidade.
O que aconteceu no incidente de deepfake na Arup?
Um funcionário de finanças da Arup transferiu quase 25 milhões de dólares após participar numa videoconferência que parecia incluir o diretor financeiro da empresa e vários colegas. Investigadores descobriram posteriormente que quase todos os participantes tinham sido gerados por IA, com atacantes a usar vozes e rostos sintéticos convincentes para explorar a confiança humana e contornar os controlos de segurança técnicos.
Quantas organizações sofreram ataques de deepfake segundo a Gartner?
De acordo com a pesquisa da Gartner citada no relatório da Resemble AI, 62% das organizações sofreram um ataque de deepfake nos últimos 12 meses. Quase sete em cada dez ataques visaram sistemas de vídeo, enquanto 67% focaram comunicações por voz, com o relatório do FBI a estimar cerca de 893 milhões de dólares em perdas reportadas por fraudes habilitadas por IA.
Que estratégia de defesa recomenda o guia da Resemble AI contra deepfakes?
O guia recomenda uma estratégia em quatro camadas que combina verificação de identidade através de deteção de vivacidade e autenticação contínua, estabelecimento de proveniência usando Content Credentials e marcação digital, sistemas de deteção de IA capazes de analisar áudio e vídeo em busca de artefactos sintéticos, e monitorização contínua para identificar impersonação de executivos e uso fraudulento de marcas antes de ganharem tração.
Notícias relacionadas
Negociador perde 1 milhão de dólares num ataque de phishing com Permit2 na Uniswap
O token C 羅 USWR e vídeos e áudios de "deepfake" expostos, já amplamente difundidos em várias plataformas no início de julho
Intuição geral: financiamento de 3,2 mil milhões de dólares, ajuste de 8 minutos para transferir o cérebro de IA para um cão robô
Amazon Issues $25B Bonds as Big Tech Debt Raises Wall Street Concerns
Jim Cramer: Resultados do 2º trimestre da Samsung indicam mudança na aposta em IA pelas Big Tech