Há anos que os programas de sensibilização para a cibersegurança se têm centrado em ajudar os colaboradores a identificar e-mails suspeitos. Era essa a abordagem certa; há muito que o e-mail é uma das formas mais comuns que os atacantes usam para aceder aos sistemas das organizações. Os colaboradores têm sido ensinados a estar atentos a anexos inesperados, pedidos invulgares e mensagens que não parecem muito certas.

Mas os atacantes não ficam parados.

A clonagem de voz, os deepfakes e os ataques de suplantação de identidade baseados em IA estão a criar um novo desafio para as organizações, porque têm como alvo algo em que muitas pessoas confiam instintivamente: uma voz familiar.

A clonagem de voz já ultrapassou os limites da ficção científica. O que antes era visto como uma tecnologia emergente está agora amplamente disponível, cada vez mais convincente e assustadoramente fácil de usar.

A preocupação não é só o facto de os atacantes conseguirem clonar vozes, mas sim o facto de as pessoas confiarem naturalmente nelas. Quando recebes uma mensagem na tua caixa de entrada, podes parar para questionar se é verdadeira, mas quando alguém que parece ser o teu chefe te liga a pedir ajuda, nem sempre esse mesmo cepticismo surge.

É por isso que a clonagem de voz está a tornar-se uma ferramenta tão poderosa para os cibercriminosos.

Porque é que confiamos mais nas vozes do que nos e-mails

Anos de campanhas de sensibilização ensinaram as pessoas a questionar mensagens inesperadas e a pensar bem antes de clicar em links ou partilhar informações. Mesmo que não se apercebam disso conscientemente, muitos funcionários desenvolveram hábitos que os ajudam a avaliar se um e-mail parece legítimo.

A comunicação por voz é diferente. Quando ouvimos alguém falar, especialmente alguém que conhecemos ou reconhecemos, o nosso instinto é confiar no que estamos a ouvir. Uma voz familiar parece-nos pessoal, autêntica e muito mais difícil de falsificar. É por isso que a clonagem de voz se tornou uma ferramenta tão atraente para os cibercriminosos.

Imagina que estás a meio de uma tarde agitada quando o teu telemóvel toca. É o teu diretor financeiro; ou, pelo menos, parece mesmo ser ele.

Pedem desculpa por ligarem de repente e explicam que estão numa reunião. Precisam que aprove um pagamento antes do fim do dia ou que lhes envies algumas informações para um pedido urgente de um cliente. Tudo na conversa parece normal. A voz é familiar, o tom está certo e nada levanta suspeitas de imediato.

Só que não são eles.

A clonagem de voz já está ao alcance de toda a gente

O que mais preocupa na clonagem de voz é o quão fácil se tornou.

Há alguns anos, criar uma voz sintética convincente exigia conhecimentos especializados, tecnologia cara e muito tempo. Hoje em dia, algumas ferramentas de IA conseguem gerar uma réplica de voz realista a partir de apenas três segundos de áudio. Essa gravação pode ser de uma participação num podcast, de um vídeo no LinkedIn, de um webinar da empresa, de uma apresentação numa conferência ou até de um pequeno vídeo partilhado nas redes sociais. Muitos líderes de topo já têm material de áudio disponível publicamente suficiente para que os atacantes criem uma imitação credível.

Depois de clonada, essa voz pode ser usada em chamadas telefónicas, mensagens de voz ou notas de voz que parecem vir de um colega de confiança ou de um superior. Um colaborador que questionaria imediatamente um e-mail suspeito pode estar muito menos inclinado a duvidar de uma voz familiar que lhe peça para agir rapidamente.

É isso que faz da clonagem de voz um risco empresarial tão significativo. A tecnologia já não se limita a agentes maliciosos sofisticados; está a tornar-se uma capacidade comum, acessível a qualquer pessoa que queira usá-la.

À medida que as barreiras à entrada continuam a diminuir, as organizações têm de partir do princípio de que a falsificação de voz se vai tornar uma parte cada vez mais comum do panorama das ameaças.

Por que é que a clonagem de voz funciona melhor em conjunto com outros ataques

A clonagem de voz não está a substituir as técnicas tradicionais de engenharia social; está a reforçá-las.

Os ataques mais bem-sucedidos não dependem de uma única interação. Em vez disso, os atacantes vão ganhando credibilidade em vários canais antes de pedirem ao alvo para agir.

Um colaborador pode receber um e-mail que parece ter vindo de um fornecedor. Mais tarde nesse mesmo dia, recebe uma mensagem no Teams que reforça o mesmo pedido e, em seguida, recebe uma chamada telefónica de alguém que parece ser um dirigente sénior a confirmar que o pedido é legítimo.

Cada interação faz com que a seguinte pareça mais credível. Quando chega a altura de te pedirem para transferir fundos, aprovar um acesso ou partilhar informações, o pedido já te parece familiar e de confiança.

A IA está a tornar estes ataques mais fáceis de criar e muito mais fáceis de expandir. Os atacantes conseguem gerar e-mails convincentes, mensagens personalizadas e chamadas de voz clonadas numa fração do tempo que demoraria no passado.

O resultado é uma forma muito mais sofisticada de engenharia social para a qual muitas organizações não estão preparadas.

A lacuna de sensibilização que as organizações precisam de colmatar

Muitos programas de sensibilização para a segurança continuam a centrar-se fortemente nas ameaças por e-mail. Os colaboradores recebem formação para verificar links, reconhecer e-mails de phishing e comunicar mensagens suspeitas. Embora essas competências sejam importantes, não preparam totalmente as pessoas para ataques que chegam através de chamadas telefónicas, mensagens de voz, plataformas de colaboração ou uma combinação das três.

O desafio não é ensinar aos funcionários como funciona a tecnologia de clonagem de voz com IA, mas sim ensiná-los a reagir quando um pedido parecer genuíno.

Quando uma voz conhecida pede que se tome uma medida urgente, as pessoas precisam de ter confiança para abrandar, verificar o pedido e seguir os processos estabelecidos. Esse comportamento é muito mais importante do que perceber os detalhes técnicos por trás do ataque.

À medida que as táticas de engenharia social se tornam mais sofisticadas, a formação em sensibilização tem de refletir a realidade com que os colaboradores se deparam.

Por que é que a formação baseada em histórias faz a diferença

Um dos maiores desafios das ameaças emergentes, como a clonagem de voz, é que podem parecer algo abstrato até que as pessoas as vivenciem no contexto.

A maioria dos funcionários sabe que existem os deepfakes e as vozes geradas por IA, mas isso não significa automaticamente que vão reconhecer uma tentativa de falsificação de identidade quando ela acontecer.

As pessoas não aprendem a lidar com a pressão lendo um documento de políticas. Aprendem ao verem situações reais a desenrolarem-se e ao perceberem como os atacantes manipulam a confiança.

É por isso que a formação em sensibilização baseada em histórias está a tornar-se cada vez mais valiosa.

A «Cyber Police» é a série de sensibilização cibernética com atores reais da MetaCompliance, concebida para dar vida a ameaças cibernéticas reais, como a clonagem de voz, através da narrativa. Recorrendo a personagens realistas, cenários no local de trabalho e ataques dramatizados, mostra aos colaboradores como as ameaças cibernéticas modernas se desenrolam, como a confiança é manipulada e como situações aparentemente comuns podem rapidamente degenerar em incidentes graves.

Ao verem os ataques a acontecer através dos olhos das pessoas envolvidas, os colaboradores ficam com uma compreensão muito mais clara de como reconhecer comportamentos suspeitos e reagir de forma eficaz.

Construir uma cultura de verificação

À medida que a clonagem de voz se torna mais comum, as organizações precisam de repensar a forma como se estabelece a confiança.

Nunca se deve esperar que os funcionários consigam determinar se uma voz é real ou gerada por IA só de a ouvirem. A tecnologia é demasiado convincente para que isso seja uma defesa fiável.

Em vez disso, as organizações precisam de processos de verificação claros para pedidos que envolvam pagamentos, informações confidenciais, credenciais ou acesso a sistemas.

  • Se um pedido for invulgar, verifica-o.
  • Se um pedido for urgente, verifica-o.
  • Se um pedido envolver dinheiro ou dados confidenciais, verifica-o.

Acima de tudo, os colaboradores têm de se sentir à vontade para o fazer. Uma cultura de segurança sólida incentiva as pessoas a questionarem os pedidos quando for preciso, mesmo que pareçam vir de líderes de topo.

Essa pequena pausa para verificar a informação pode evitar um erro que te pode sair caro.

O futuro da engenharia social já chegou

A clonagem de voz é muitas vezes vista como uma ameaça futura, mas as organizações têm de se preparar para ela já. A tecnologia está a tornar-se mais acessível, a qualidade está a melhorar rapidamente e está cada vez mais difícil de se perceber. Na verdade, a McAfee descobriu que 70% das pessoas não têm a certeza de que conseguiriam distinguir uma voz clonada de uma verdadeira, o que mostra bem como estes ataques se tornaram credíveis.

As organizações que reagirem de forma eficaz serão aquelas que criarem culturas em que a verificação seja uma prática habitual, os colaboradores se sintam à vontade para questionar pedidos invulgares e a formação em sensibilização reflita as ameaças que as pessoas têm mais probabilidades de enfrentar.

Quando ouvir uma voz familiar já não é prova de identidade, a confiança tem de ser conquistada, não dada como garantida.

Descobre mais sobre a Polícia Cibernética

A «Cyber Police» usa o drama para dar vida a ameaças cibernéticas reais, estimulando o debate e desafiando os preconceitos. Cada temporada aborda as ameaças que os colaboradores têm mais probabilidades de enfrentar, desde o phishing e o ransomware até aos deepfakes, e recria-as sob a forma de episódios cativantes. Ao verem as ameaças através dos olhos das pessoas afetadas, os colaboradores ganham uma perceção mais clara e a confiança necessária para reagir de forma eficaz.

Descobre mais sobre a Cyber Police e vê como a formação de sensibilização baseada em histórias ajuda os colaboradores a reconhecer as ameaças cibernéticas atuais, a questionar comportamentos suspeitos e a reagir com confiança em situações reais.