Hoje em dia, quando Nicole Yelland recebe um pedido de reunião de alguém que ela não conhece, ela realiza uma verificação de antecedentes em várias etapas antes de decidir se aceita. Yelland, que trabalha em relações públicas para uma organização sem fins lucrativos baseada em Detroit, diz que verifica as informações da pessoa através do Spokeo, um agregador de dados pessoais pelo qual ela paga uma taxa mensal. Se o contato afirma falar espanhol, Yelland diz que testará casualmente a capacidade dele de entender e traduzir frases mais complicadas. Se algo não parecer certo, ela pedirá que a pessoa entre em uma chamada do Microsoft Teams — com a câmera ligada.
Se Yelland parece paranoica, é porque ela está. Em janeiro, antes de começar seu papel atual na organização sem fins lucrativos, Yelland diz que foi envolvida em um elaborado golpe direcionado a candidatos a emprego. “Agora, eu faço toda a verificação sempre que alguém entra em contato comigo”, ela diz à WIRED.
Golpes digitais de impostores não são novos; plataformas de mensagens, sites de mídias sociais e aplicativos de namoro sempre estiveram cheios de falsificações. Em uma época em que o trabalho remoto e equipes distribuídas se tornaram comuns, os canais de comunicação profissional também não são mais seguros. As mesmas ferramentas de inteligência artificial que as empresas de tecnologia prometem que aumentarão a produtividade dos trabalhadores também estão facilitando para criminosos e golpistas construírem personas falsas em segundos.
No LinkedIn, pode ser difícil distinguir uma foto de perfil ligeiramente retocada de uma pessoa real de uma fac-símile gerada por IA. Vídeos deepfake estão ficando tão bons que golpistas de e-mail de longa data estão mudando para impersonar pessoas em chamadas de vídeo ao vivo. Segundo a Comissão Federal de Comércio dos EUA, os relatos de golpes relacionados a empregos e contratações quase triplicaram de 2020 a 2024, e as perdas reais desses golpes aumentaram de 90 milhões para 500 milhões de dólares.
Yelland diz que os golpistas que a abordaram em janeiro estavam se passando por uma empresa real, uma com um produto legítimo. O “gerente de contratação” com quem ela se correspondeu por e-mail também parecia legítimo, até compartilhando um slide com as responsabilidades do cargo que estavam anunciando. Mas durante a primeira entrevista em vídeo, Yelland diz que os golpistas se recusaram a ligar suas câmeras durante uma reunião do Microsoft Teams e fizeram pedidos incomuns por informações pessoais detalhadas, incluindo seu número de carteira de motorista. Percebendo que havia sido enganada, Yelland fechou seu laptop.
Esses tipos de esquemas se tornaram tão comuns que startups de IA surgiram prometendo detectar outros deepfakes habilitados por IA, incluindo GetReal Labs e Reality Defender. O CEO da OpenAI, Sam Altman, também dirige uma startup de verificação de identidade chamada Tools for Humanity, que fabrica dispositivos de escaneamento ocular que capturam os dados biométricos de uma pessoa, criam um identificador único para sua identidade e armazenam essas informações na blockchain. A ideia por trás disso é provar “a pessoa”, ou que alguém é um ser humano real. (Muitas pessoas que trabalham com tecnologia blockchain dizem que a blockchain é a solução para a verificação de identidade.)
Mas alguns profissionais corporativos estão se voltando, em vez disso, para técnicas de engenharia social à moda antiga para verificar cada interação que parece suspeita. Bem-vindo à Era da Paranoia, quando alguém pode pedir que você envie um e-mail enquanto está em uma conversa por telefone, deslizar na sua DM do Instagram para garantir que a mensagem do LinkedIn que você enviou foi realmente sua, ou solicitar que você envie uma selfie com um carimbo de data e hora, provando que você é quem diz ser. Alguns colegas dizem que até compartilham palavras-chave entre si, para ter uma maneira de garantir que não estão sendo enganados se um encontro parecer estranho.
“O que é engraçado é que a abordagem low-fi funciona”, diz Daniel Goldman, um engenheiro de software de blockchain e ex-fundador de startup. Goldman diz que começou a mudar seu próprio comportamento depois de ouvir que uma figura proeminente no mundo das criptomoedas havia sido convincente em um deepfake em uma chamada de vídeo. “Isso me deixou com medo”, diz ele. Depois, ele avisou sua família e amigos que, mesmo que ouçam o que acreditam ser sua voz ou o vejam em uma chamada de vídeo pedindo algo concreto — como dinheiro ou uma senha de internet —, eles deveriam desligar e enviar um e-mail primeiro antes de fazer qualquer coisa.
Ken Schumacher, fundador do serviço de verificação de recrutamento Ropes, diz que trabalhou com gerentes de contratação que fazem perguntas rápidas a candidatos sobre a cidade onde afirmam viver em seus currículos, como seus cafés favoritos e lugares para sair. Se o candidato realmente estiver baseado nessa região geográfica, Schumacher diz que ele deve ser capaz de responder rapidamente com detalhes precisos.
Outra tática de verificação que algumas pessoas usam, diz Schumacher, é o que ele chama de “truque da câmera do telefone”. Se alguém suspeitar que a pessoa com quem está conversando por vídeo pode estar sendo desonesta, pode pedir que ela segure a câmera do telefone em direção ao laptop. A ideia é verificar se o indivíduo pode estar rodando tecnologia deepfake em seu computador, obscurecendo sua verdadeira identidade ou arredores. Mas é seguro dizer que essa abordagem também pode ser desagradável: candidatos a emprego honestos podem hesitar em mostrar o interior de suas casas ou escritórios, ou se preocupar que um gerente de contratação esteja tentando aprender detalhes sobre suas vidas pessoais.
“Todo mundo está nervoso e desconfiado um do outro agora”, diz Schumacher.
Embora se transformar em um captcha humano possa ser uma abordagem bastante eficaz para a segurança operacional, mesmo os mais paranoicos admitem que essas verificações criam uma atmosfera de desconfiança antes que duas partes tenham a chance de realmente se conectar. Elas também podem ser uma grande perda de tempo. “Sinto que algo precisa ceder”, diz Yelland. “Estou perdendo tanto tempo no trabalho apenas tentando descobrir se as pessoas são reais.”
Jessica Eise, professora assistente que estuda mudanças climáticas e comportamento social na Universidade de Indiana-Bloomington, diz que sua equipe de pesquisa foi forçada a se tornar essencialmente especialistas em forense digital, devido à quantidade de golpistas que respondem a anúncios para pesquisas virtuais pagas. (Os golpistas não estão tão interessados nas pesquisas não pagas, sem surpresa.) Se o projeto de pesquisa for financiado pelo governo, todos os participantes online devem ter mais de 18 anos e viver nos EUA.
“Minha equipe verificava os carimbos de data e hora para quando os participantes respondiam e-mails, e se o tempo fosse suspeito, podíamos adivinhar que eles poderiam estar em um fuso horário diferente”, diz Eise. “Então, procurávamos outras pistas que aprendemos a reconhecer, como certos formatos de endereço de e-mail ou dados demográficos incoerentes.”
Eise diz que a quantidade de tempo que sua equipe passou filtrando pessoas foi “exorbitante”, e que agora reduziram o tamanho da coorte para cada estudo e passaram a usar “amostragem em bola de neve” ou recrutar pessoas que conhecem pessoalmente para participar de seus estudos. Os pesquisadores também estão distribuindo mais panfletos físicos para solicitar participantes pessoalmente. “Nós nos importamos muito em garantir que nossos dados tenham integridade, que estamos estudando quem dizemos que estamos tentando estudar”, diz ela. “Não acho que haja uma solução fácil para isso.”
A menos que haja alguma solução técnica generalizada, um pouco de bom senso pode ajudar muito a identificar maus atores. Yelland compartilhou comigo o slide que recebeu como parte da proposta de emprego falsa. À primeira vista, parecia uma proposta legítima, mas quando ela olhou novamente, alguns detalhes se destacaram. O trabalho prometia pagar substancialmente mais do que o salário médio para um papel semelhante em sua localização, e oferecia tempo de férias ilimitado, licença parental generosa e benefícios de saúde totalmente cobertos. No ambiente de trabalho atual, isso pode ter sido o maior sinal de alerta de todos de que era um golpe.