Não usar fotos do rosto nas redes sociais, ajuda a evitar que a imagem do usuário seja mapeada e cruzada nas demais plataformas de interação.
De compartilhamentos no Facebook a postagens acidentais de senha no Twitter, há muitas maneiras de as pessoas divulgarem dados pessoais que podem ser usados por hackers mal-intencionados. Mas há um aspecto da sua identidade online que talvez você não espere que beneficie os irresponsáveis digitais: seu rosto.
VEJA TAMBÉM: Microsoft e Facebook rejeitam ajudar ataques cibernéticos de governos
Isso ficou evidente quando pesquisadores de uma divisão de cibersegurança da IBM pegaram a imagem de um perfil do LinkedIn para seus próprios propósitos “nefastos”. Durante uma chamada de vídeo, eles seguraram um laptop que, com a câmera ligada, tirou uma foto do rosto do usuário e o reconheceu ao compará-lo à imagem do LinkedIn. Isso foi o suficiente para infectar o computador com um ransomware. Neste caso específico, foi uma versão do infame WannaCry, mas o reconhecimento facial atende ao cibercrime de forma geral.
O conceito era simples, mas eficaz: se os hackers quisessem atingir uma pessoa específica, neste caso o usuário, seria necessário apenas coletar as imagens do dono da conta nas mídias sociais. Eles poderiam infectar uma rede de computadores e iniciar um ataque quando o rosto do alvo fosse detectado pela câmera. É possível, inclusive, fazer o mesmo com o reconhecimento de voz ou qualquer outro aspecto físico de uma pessoa que possa ser registrado por um computador.
O ataque baseado em reconhecimento facial fazia parte do malware artificialmente inteligente criado pela equipe da IBM apelidado de DeepLocker. “O DeepLocker é uma nova classe de programa malicioso altamente ardiloso e altamente direcionado, o que o difere de qualquer outro existente hoje em dia”, disse o Dr. Marc Ph. Stoecklin, principal pesquisador de cibersegurança cognitiva da IBM Research. O programa em questão oculta sua intenção até que a inteligência artificial identifique o alvo por meio de indicadores como reconhecimento facial e de voz ou geolocalização.
Em última análise, os pesquisadores querem que o DeepLocker os ajude a entender o futuro da segurança e, possivelmente, da guerra cibernética. “As coisas tendem a ser IA contra IA no futuro”, disse Stoecklin.
E AINDA: Google lançará centro de pesquisa de inteligência artificial na China
O pesquisador e seus colegas, Dhilung Kirat e Jiyong Jang, investigam como combinar inteligência artificial com segurança cibernética. Fora do DeepLocker, eles vêm explorando maneiras pelas quais a famosa tecnologia Watson, da IBM, pode ajudar as equipes de segurança.
Social Mapper
Há outras maneiras pelas quais as fotos do LinkedIn podem ser usadas para alimentar a tecnologia de reconhecimento facial para fins maliciosos. Outra delas, como mostrado por Jacob Wilkin, da Trustwave, é chamado de Social Mapper. A ferramenta recolhe imagens do LinkedIn e as usa para encontrar, rapidamente, o rosto correspondente em outras mídias sociais como Facebook, Google Plus e Twitter. O Social Mapper também procura combinações de rostos na plataforma russa VK e na chinesa Weibo.
O objetivo final do software, que foi aberto na quarta-feira (8), é ajudar os hackers do bem a testar a segurança das redes da empresa. Deve ser especialmente útil para qualquer um que faça tentativas de fraude eletrônica contra alvos, disse Wilkin à FORBES antes de sua palestra na conferência Black Hat nesta semana, onde a IBM também deu detalhes sobre o DeepLocker.
Ele admitiu que a ferramenta não é incrivelmente rápida ou sempre precisa. O Social Mapper leva cerca de 24 horas para percorrer uma organização de 1.000 pessoas, por exemplo. E, com suas configurações atuais, tem uma precisão de cerca de 70%. “Você pode atingir um limiar super alto, mas ainda assim pode deixar alguma coisa passar”, disse Wilkin.
LEIA MAIS: Elon Musk negocia com grupo israelense de inteligência artificial Cortica
O pesquisador testou o Social Mapper em uma competição em Toronto que pediu para que os hackers usassem suas habilidades de coleta de informações de código aberto para ajudar a fornecer dados em casos reais de pessoas desaparecidas. Sua equipe acabou em 7o lugar entre as 65 participantes.
Mas existem medidas que o usuário possa tomar para evitar ser apanhado em tais ataques? Segundo Wilkin, o Social Mapper não funcionará em perfis que não estejam vinculados a uma empresa no LinkedIn. O membro da equipe da Trustwave também deu um conselho mais simples: “Não é muito social, mas se você não usar uma foto do seu rosto, você não será correlacionado entre os sites”.
