Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Deepfakes podem causar sérios danos financeiros e à reputação.
- Os incidentes de deepfake estão aumentando e as defesas atuais podem ser insuficientes.
- Tome medidas agora para reduzir o risco de golpes deepfake em sua empresa.
As tecnologias Deepfake estão avançando rapidamente e, com elas, os riscos para as empresas aumentam.
O surgimento do ChatGPT e seu impacto quase imediato nas empresas pegou muitos de surpresa. O chatbot generativo de IA provou ser popular entre todos, desde estudantes e pequenas e médias empresas até empresas, conquistando muitas empresas e levando-as a explorar seriamente os benefícios da IA.
Também: Isso é um vídeo de IA? 6 sinais reveladores de que é falso
A IA generativa pode ser transformadora para as empresas; no entanto, como acontece com qualquer nova tecnologia, pode ser abusada, uma questão destacada pelos riscos representados pelos deepfakes.
O que são deepfakes?
Os deepfakes surgiram pela primeira vez nas redes sociais quando indivíduos experimentaram conteúdo satírico – imagens e vídeos realistas de tudo, desde figuras de destaque até gatos dirigindo carros. Deixando de lado o entretenimento, os agentes de ameaças podem empregar os mesmos métodos para fins criminosos e fraudulentos.
Deepfakes são gerados por meio de ferramentas de IA e grandes modelos de linguagem (LLMs). Você pode gerar fotos e vídeos de um alvo dizendo algo ou realizando uma ação. O material de origem inserido em LLMs ou encontrado on-line, incluindo fotos existentes ou clipes de voz, como aqueles extraídos de entrevistas e podcasts, pode adicionar realismo suficiente para que os deepfakes se tornem muito difíceis de detectar.
Além disso: o Google detecta malware que se transforma no meio do ataque, graças à IA
As Redes Adversariais Generativas (GANs) também podem usar conjuntos de dados existentes para criar pessoas completamente novas – mas críveis – e você pode encontrar esses seres de IA fazendo de tudo, desde divulgar produtos fraudulentos online até espalhar notícias falsas.
Agora que as ferramentas de IA estão disponíveis gratuitamente online e são fáceis de aprender, isto reduziu a barreira de entrada para os cibercriminosos interessados em criar campanhas sofisticadas de phishing, enganar indivíduos, espalhar informações erradas ou criar anúncios maliciosos.
Os riscos que os deepfakes representam para as empresas
As tecnologias Deepfake estão avançando rapidamente e ainda não entendemos todos os ângulos de ataque usando IA generativa – mas já observamos vários vetores de ataque potenciais.
Também: Os navegadores de IA valem o risco de segurança? Por que os especialistas estão preocupados
De acordo com Escalas de Ferro Relatório de ameaças do outono de 2025houve um aumento de 10% ano após ano nos ataques de deepfake este ano, e 85% das organizações pesquisadas disseram ter lidado com pelo menos um incidente relacionado a deepfake em 2025.
Alguns dos principais riscos que os deepfakes representam para as empresas incluem:
- Desinformação, propaganda: Deepfakes, sejam imagens ou vídeos, podem ser usados para espalhar desinformação, notícias falsas e propaganda. Isso pode incluir supostos funcionários criticando sua empresa on-line, executivos falsos fazendo comentários depreciativos ou notícias falsas lidas por apresentadores que implicam uma organização em atividades criminosas.
- Danos à reputação: Deepfakes que espalham desinformação também podem causar graves danos à reputação e danos financeiros, como a queda dos preços das ações ou incidentes que corroem a confiança do consumidor numa marca. Isto pode incluir vídeos falsos de um CEO admitindo apropriação indébita, uma marca sendo fraudulentamente vinculada por meio de notícias falsas ao trabalho infantil e muito mais. As empresas também podem suportar as consequências da circulação de conteúdos deepfake nas plataformas de redes sociais que espalham mudanças estruturais falsas – como aquisições e fusões – que podem afetar gravemente os preços das ações. Esses tipos de deepfakes também podem ter um impacto duradouro em notícias genuínas futuras, já que os observadores podem não saber em que acreditar.
- Roubo de identidade, engenharia social: Vídeos, imagens e chamadas de voz deepfake são alguns dos aplicativos deepfake mais perigosos disponíveis atualmente. Ao gerar vídeos convincentes e gravações de voz sintéticas, os invasores podem se passar por líderes empresariais – como CEOs ou VPs – e induzir os funcionários a entregar dados ou credenciais confidenciais para acessar os sistemas da empresa ou para aprovar faturas fraudulentas. Um exemplo disso foi quando o provedor de serviços profissionais do Reino Unido, Arup, perdeu milhões de dólares em um golpe deepfake, no qual os cibercriminosos criaram um versão falsa de um executivo solicitar transferências fraudulentas durante uma videochamada.
- Vistoria: Partindo do caso da Arup, o uso da tecnologia deepfake dessas formas é conhecido como vishing. A clonagem de voz em correios de voz, notas de áudio falsas e conteúdo de vídeo deepfake incorporado em e-mails ou espalhado pelas redes sociais podem ser usados para induzir as vítimas a revelar informações confidenciais ou a aprovar pagamentos fraudulentos.
Infelizmente, as tecnologias deepfake são um mercado em crescimento. Um recente relatório de pesquisa publicado pelo Threat Intelligence Group (GTIG) do Google revelou ferramentas de IA sendo vendidas clandestinamente para criar conteúdo de isca útil em operações de phishing, e até mesmo ferramentas GenAI para contornar os requisitos de segurança bancária do tipo conheça seu cliente (KYC).
Como defender seu negócio de deepfakes
1. Treinamento de pessoal
Fornecer aos funcionários conhecimento, orientação e suporte para entender o que são deepfakes e como detectá-los deve ser o primeiro passo a ser dado.
A formação precisa de ser consistente, frequente e interessante, uma vez que a investigação já demonstrou que a formação anual em segurança cibernética é quase inútil. Dicas sobre como detectar deepfakes são importantes, pois embora estejam se tornando cada vez mais difíceis de detectar, conscientizar a equipe sobre pequenos detalhes que podem indicar um deepfake – como sombras estranhas, voz distorcida, falta de frases ou termos familiares ou recursos desfocados – também pode beneficiá-los.
Também: 6 regras essenciais para liberar IA em seu processo de desenvolvimento de software – e o risco número 1
Audian Paxson, principal estrategista técnico da Ironscales, disse à ZDNET que os vídeos deepfakes são normalmente os mais difíceis de serem detectados pelos funcionários e, portanto, o treinamento para isso deve ter prioridade – embora os empregadores devam esperar que as taxas de aprovação iniciais sejam bastante baixas.
“88% das organizações em nossa pesquisa de 2025 oferecem treinamento de conscientização sobre deepfake, mas quando perguntamos sobre as taxas de aprovação na primeira tentativa em simulações de phishing, a maioria caiu na faixa de 20-60%”, comentou Paxson. “Isso não é uma falha de treinamento – é um reflexo de quão bons esses ataques se tornaram. Você precisa de simulações realistas que espelhem padrões de ataque reais (clipes de áudio de executivos, solicitações falsas de videoconferência) para que os funcionários possam praticar comportamentos de verificação sob pressão. E você precisa continuar executando-os!”
2. Autenticação multifator, controles de autenticação em camadas
Uma das melhores formas de defesa contra ataques deepfake baseados em fraude é implementar controles distintos de autenticação e verificação de pagamento em camadas.
Nenhum funcionário deve ser capaz de autorizar pagamentos de alto valor ou a transferência de informações confidenciais, como registros financeiros ou de folha de pagamento. Em vez disso, ao adicionar um segundo nível de aprovação, um ataque deepfake convincente tem que enganar mais de uma vítima – e isso dá à equipe a chance de recuar, pensar, racionalizar e potencialmente detectar um esquema deepfake mais prontamente.
Também pode ser simples de implementar, simplesmente usando um número de telefone confiável, mensagem do Slack ou correio interno.
Também: Como preparar sua empresa para um futuro sem senhas – em 5 etapas
Outra opção é utilizar palavras-código, alteradas frequentemente, que devem ser ditas quando um pagamento é solicitado. Sem esse conhecimento interno, uma tentativa de voz ou vídeo deepfake falhará. E se um invasor deepfake de alguma forma induziu um funcionário a entregar credenciais, o uso de autenticação multifatorial em dispositivos e sistemas finais criará uma barreira importante à entrada.
“Uma política clara de ‘retorno de chamada’ é uma das defesas mais simples”, disse Nick Knupffer, CEO da VerifyLabs.AI, à ZDNET. “Se uma solicitação parecer incomum ou urgente, a equipe deve sempre ligar de volta para o executivo em um número verificado, não aquele fornecido na mensagem. A autenticação multifator é outra obrigação, garantindo que contas e pagamentos confidenciais não possam ser aprovados apenas com uma única instrução.”
3. Desenvolva um plano de resposta a incidentes
As empresas preocupadas com o aumento dos deepfakes devem realizar uma auditoria completa das suas redes, identificar os seus pontos fracos, determinar os requisitos de formação e rever as suas medidas de segurança e autenticação, incluindo se um deepfake convincente poderia enganar os sistemas de verificação automatizada existentes.
Também: O Sora 2 e outras ferramentas de vídeo de IA são arriscados de usar? Aqui está o que diz um estudioso do direito
As organizações podem então desenvolver planos realistas de resposta a incidentes de segurança relacionados com deepfakes, incluindo como garantir que os sistemas de missão crítica permaneçam online, como lidar com a fraude, soluções legais disponíveis, considerações de seguros e como lidar com as relações públicas.
4. Não confie em nada
As empresas devem agora começar a considerar a implementação de arquiteturas e controlos de confiança zero, especialmente porque a confiança no fator humano e a nossa capacidade de detetar fraudes estão a diminuir – um desafio que provavelmente se tornará ainda mais difícil à medida que as tecnologias deepfake evoluem.
De acordo com Gartnerno próximo ano, os ataques que utilizam deepfakes gerados por IA na biometria facial farão com que 30% das empresas reduzam a sua confiança em soluções isoladas de verificação de identidade e, portanto, serão necessários vários pontos de verificação, incluindo soluções que possam distinguir uma pessoa viva de um deepfake.
Também: Ansioso com cortes de empregos de IA? Como os trabalhadores de colarinho branco podem se proteger – começando agora
Investir em sistemas de acesso e controle de confiança zero, combinados com MFA e software de análise comportamental, pode ajudar a reduzir o risco de deepfakes e tecnologias associadas comprometerem sua rede.
Quer mais histórias sobre IA? Confira Tabela de classificação de IAnosso boletim informativo semanal.
