Investigações infiltradas: como a IA está potencializando os golpes românticos

Como estou no setor há mais de 20 anos, já vi um grande número de golpes online. Mas este é o tipo de história que ouvimos e não conseguimos acreditar completamente. Na última conferência de segurança cibernética da RSA, um colega meu, alguém que vive e respira segurança digital, um CISO, admitiu que foi enganado por um golpe de romance online. Minha primeira reação foi: como assim? Como alguém tão sintonizado com os riscos, que passa a vida identificando sinais de alerta e implementando controles técnicos, e conhece todos os truques clássicos do ofício acaba caindo nessa?

Sua resposta foi um alerta para todos nós. Ele fez tudo conforme as regras, ou assim ele pensava. Verificou os sinais habituais, mas a pessoa que aplicou o golpe do outro lado da tela tinha uma ferramenta nova e poderosa em seu arsenal: uma videochamada deepfake convincente. Essa breve interação "ao vivo" foi suficiente para criar uma base de confiança. O que se seguiu foi uma dura perda financeira.

Sua história fez meu sangue ferver. Ficou claro que as regras antigas não são mais suficientes. O jogo mudou. Assim como os agentes de ameaças cibernéticas estão "se equipando" com tecnologias de IA, seus "irmãos" golpistas também estão elevando o nível com a IA. Para saber o quanto, decidi ir para a clandestinidade, criar um perfil de honeypot, ver o que os golpistas modernos realmente estão fazendo e quais táticas, técnicas e procedimentos (TTPs), eles usam.

Preparando a isca

Para entender o inimigo, é preciso entrar em seu mundo. Criei um perfil projetado para ser uma isca irresistível: um surfista de 40 anos, musculoso e bem-educado, que vive uma vida de sonho na Austrália e busca uma conexão significativa. Usando minhas ferramentas de inteligência artificial, gerei fotos de perfil e ajustei a biografia para atrair o maior número possível de golpistas nos principais sites de namoro internacionais (excluindo sites locais típicos de "encontros").

Os resultados foram imediatos e reveladores. O que encontrei foi uma mistura dos mesmos truques de sempre, agora superalimentados com novas tecnologias e inúmeras "baboseiras" de IA.

Os sinais de alerta clássicos continuam presentes

Primeiro, vamos deixar bem claro: as táticas antigas não desapareceram. Elas são a base de quase todos os golpes. Em meu experimento, as persuasões mais óbvias foram universais.

De 12 interações diretas com golpistas, cada uma delas:

• Espelhou a biografia do meu perfil: eles adaptaram habilmente suas conversas para corresponder aos meus interesses e desejos fabricados, criando uma conexão "boa demais para ser verdade". É o truque mais antigo que existe: fazer com que você sinta que encontrou sua alma gêmea.
• Tentou mover o bate-papo para fora do aplicativo de namoro: este é um grande sinal de alerta. Os 12 golpistas queriam mudar rapidamente para aplicativos de mensagens menos seguros e mais anônimos. Os mais populares foram o WhatsApp (usado por 6 dos 12), seguido por Telegram, Signal, Discord, Zangi, Google Chat e e-mail. Essa mudança é feita para isolar você dos recursos de segurança e denúncia da plataforma de namoro e envolvê-lo ainda mais no mundo deles.
• Buscou extrair sutilmente informações pessoais: as conversas foram uma aula magistral de engenharia social. Eles não apenas perguntavam sobre o meu dia, mas sondavam detalhes sobre membros da família, meu trabalho, localização e minha vida que pudessem ser usados contra mim. Assim, construíam um perfil que poderiam reutilizar se quisessem roubar minha identidade ou me coagir a fazer pagamentos diretos por alguma farsa.

Até este ponto, deve-se notar que os comportamentos podem ser explicados como sinais clássicos e compreensíveis de alguém que está apenas tentando encontrar sua alma gêmea. Porém, eles se tornaram menos aceitáveis:

• Ficaram agressivos quando desafiados: quando eu começava a insistir ou a questionar suas histórias, o comportamento mudava. Eles tentavam argumentar, fazer chantagem emocional e manipular minhas emoções para recuperar o controle. 
• Recusaram ou deram desculpas para não fazer a verificação direta: a recusa clássica de confirmar sua identidade foi um traço comum (exceto nos dois casos explorados abaixo). A maioria dava inúmeras desculpas para evitar uma chamada de vídeo ou recusava uma solicitação simples, como enviar uma selfie na hora tocando o nariz ou fazendo uma pose única.

O novo arsenal: engano impulsionado por IA

É aqui que a situação fica assustadora. Os golpistas agora usam a IA para tornar seus golpes mais convincentes e escaláveis. Isso não é ficção científica, está acontecendo agora. Vamos entender melhor:

• Conversas geradas por IA: em meu experimento, impressionantes 11 em cada 12 golpistas usaram IA, como ChatGPT, para escrever suas mensagens e possibilitar que atingissem seus alvos nas massas. As conversas pareciam naturais, envolventes e emocionalmente inteligentes porque estavam todas sintonizadas com um modelo de linguagem sofisticado. Dica profissional: você pode combater fogo com fogo. Se uma conversa parecer perfeita demais, copie e cole o texto em uma ferramenta de detecção de escrita com IA, como o phrasly.ai. Isso pode ajudar a identificar se você está falando com uma pessoa, bot ou LLM.
• Fotos geradas por IA para verificação: quando pressionei um golpista a tirar uma selfie exclusiva, ele não apenas recusou. Ele enviou uma foto que, à primeira vista, parecia legítima. Mas, após uma inspeção mais detalhada, era uma imagem claramente gerada por IA, provavelmente uma composição de fotos roubadas e combinadas para atender à minha solicitação. Dica profissional: as pessoas usam ativamente a IA para contornar os mesmos testes de "prova de vida" nos quais fomos ensinados a confiar, mas há ferramentas online que você pode usar para validar se as fotos não foram misturadas com IA, como WasItAI ou Decopy AI.
• Chamadas de vídeo deepfake: esta é a virada de jogo que enganou meu colega. Um dos golpistas com quem me envolvi concordou em fazer uma videochamada. Por cerca de 20 segundos, vi uma pessoa que combinava perfeitamente com as fotos do perfil. O rosto estava quase perfeitamente falsificado. O vídeo estava lento, o que a pessoa rapidamente explicou como uma "conexão ruim" antes de desligar, mas esses poucos segundos foram incrivelmente convincentes e é compreensível que possam ajudar muito a criar confiança. Dica profissional: a tecnologia existe e está sendo usada para destruir nossa última linha de defesa, a verificação visual. Porém, ela ainda precisa ser refinada. Há algumas conferências a serem feitas: observe o movimento dos olhos, tremores das formas na tela, piscar não natural, cintilação ao redor dos olhos e iluminação ou sombras estranhas. 

O pedido inevitável: seu dinheiro, não seu coração

Não importa o método, o resultado final é sempre o mesmo. Cada golpista acabou contando uma história triste criada para mexer com o coração e abrir a carteira. As solicitações variavam, mas os temas eram consistentes:

• Uma oportunidade imperdível de investimento em criptomoeda: um convite para alavancar a OnaChain e compartilhar seu pool de mineração para um DefiFund.
• Ajuda para pagar o aluguel e evitar o despejo.
• Necessidade de dinheiro urgente para um familiar doente ou no hospital.
• Uma solicitação para comprar cartões-presente da Apple.
• Uso de pagamentos únicos comuns em criptomoedas (Conbase) para fraudes de BookingID.

Como se proteger ou proteger outras pessoas na era da IA

A expansão do namoro online combinada com a IA acessível cria a tempestade perfeita. Está pegando todo mundo desprevenido, desde o público em geral até profissionais experientes em tecnologia. Precisamos de uma nova camada de educação além do conhecimento clássico.

1. Não confie até que você tenha verificado completamente: não pressuponha que é verdade. Uma chamada de vídeo curta e com atraso não é mais prova de nada. Insista em uma chamada mais longa e clara. Peça à pessoa para fazer algo imprevisível diante da câmera, como escrever seu nome em um pedaço de papel ou tocar o rosto para penetrar no mascaramento da IA falsa. No entanto, saiba que mesmo esses métodos de verificação ainda têm falhas. Em última análise, as ferramentas de IA facilitarão rapidamente a aprovação em qualquer teste digital (a menos que você comece a usar serviços de MFA patrocinados pelo governo em sua vida amorosa), portanto, a verificação da identidade em uma situação offline provavelmente se tornará cada vez mais importante.
2. Use detectores de IA: se a conversa parecer perfeita e muito direta, passe as mensagens por uma ferramenta de detecção de texto de IA. É uma verificação simples que pode revelar a verdade, ou um bot em uso do outro lado. 
3. Faça perguntas muito específicas: as respostas geradas por IA de golpistas estrangeiros geralmente escorregam no conhecimento local, de nicho. O golpista que alegou amar snowboard no Canadá, mas citou seu resort favorito como sendo em Miami, na Flórida, é um exemplo perfeito. Pergunte sobre uma cafeteria local, uma rua específica ou um evento regional.
4. Fique atento aos clássicos: os antigos sinais de alerta ainda são sua primeira linha de defesa. Nunca mova a conversa imediatamente para fora da plataforma, nunca compartilhe informações pessoais detalhadas e nunca, jamais, envie dinheiro para alguém que você não conhece e com quem não tem um relacionamento no mundo real.
5. Peça para se encontrarem pessoalmente: diga que você está na cidade (no local da pessoa) e peça para se encontrarem pessoalmente. Isso geralmente os obriga a agir e os coloca em uma posição de constrangimento e rápida recusa (veja acima).
6. Use sua própria IA para fazer uma "investigação profunda": conduzir seu IA OSINT com base nas informações que você tem da pessoa (sejam detalhes não específicos ou nomes e lugares que você acessou online) ajuda a separar usuários legítimos do restante. A funcionalidade de "investigação profunda" do Gemini foi muito boa para desempenhar o papel de detetive de uma pessoa, vasculhar vários sites, registros públicos e diversas postagens da comunidade por meio de uma série de prompts bem elaborados. 
7. Use empresas independentes de catfish social quando ainda não tiver 100% de certeza: se tudo isso falhar, existem muitas empresas independentes que realizam verificações de terceiros (mediante pagamento) em bancos de dados conhecidos de catfish de perfis e outras medidas. Qual é o preço do amor verdadeiro?

A IA deixou o mundo dos golpes românticos mais complexo, mas não invencível. Ao permanecermos informados e vigilantes, descobrindo as novas TTPs e aproveitando a IA para combater os golpes alimentados por IA, podemos aprender a identificar o "fantasma na máquina" e proteger nossos corações e nossas carteiras. 

Depois de compartilhar a experiência do meu colega e as lições aprendidas, espero aumentar a conscientização sobre os riscos dos golpes românticos baseados em IA e capacitar você a se proteger e proteger quem você ama. Fique seguro online!

Se quiser saber mais sobre como os agentes mal-intencionados podem se aproveitar de vulnerabilidades relacionadas ao romance, confira o blog How Vulnerability Can Make You a Victim on Valentine's Day (Como a vulnerabilidade pode transformar você em vítima no Dia dos Namorados).