Diante do surgimento de serviços que replicam vozes por meio de IA, o jornalista da Vice, Joseph Cox, decidiu realizar um curioso experimento. Após sintetizar sua própria voz, o repórter tentou driblar o atendimento automático do banco e "invadir" sua conta, assim como um hacker faria. O resultado foi um acesso minucioso aos seus dados, mostrando a atual falta de segurança de identificadores como esse.
Segundo o relato do próprio jornalista, o identificador do banco não reconheceu logo na primeira vez a voz sintética, sendo necessárias várias tentativas, com ajustes na clonagem, até que a identificação fosse aceita.
Durante a operação, Cox ligou para o atendimento automático do Lloyds Bank, um banco do Reino Unido, no qual ele possui conta bancária.
Assim como acontece com outras instituições do local e dos EUA, o lugar oferece um serviço de autenticação de voz que diz ser quase como uma "impressão digital". Chamado de Voice ID, ele utiliza mais de 100 características físicas e comportamentais diferentes do usuário para comprovar sua fala.
Apesar disso, em um determinado momento, a voz sintética conseguiu passar ilesa às etapas de verificação, gerando acesso à conta do cliente e mostrando seu saldo e uma lista de transações e transferências recentes.
Experimento escancara falha de segurança dos bancos
Durante o processo de "invasão", foi solicitado que Cox dissesse com suas próprias palavras por qual motivo ele estava ligando. Utilizando a voz clonada, o repórter respondeu "verifique meu saldo", e, em seguida, digitou sua data de nascimento como parte de primeira etapa de verificação.
Feito isso, o atendimento pediu que o cliente dissesse "minha voz é minha senha", o que mais uma vez o repórter fez utilizando a voz sintética, reproduzida diretamente de um arquivo de som do seu computador.
Pronto, estava concedido acesso à sua conta, mesmo que de fato aquela não fossem as suas palavras.
Embora nessa situação um hacker também precisasse da data de nascimento do cliente para completar o atendimento, vale lembrar que não é como se esse tipo de informação fosse algo muito difícil de se obter – especialmente nos dias atuais, quando dados como esse são expostos tão facilmente na internet.
A situação, portanto, apenas evidencia como de fato é possível driblar esse tipo de sistema, e como bancos que utilizam esse método de autenticação precisam estar atentos à popularização de serviços de vozes clonadas, melhorando suas medidas de segurança.
No caso do Lloyds Bank, um porta-voz disse a Vice que o "'Voice ID' é uma medida de segurança opcional; o nível certo de proteção para as contas dos clientes, ao mesmo tempo em que facilita o acesso quando necessário".
Também segundo eles, o banco está ciente das problemáticas advindas das vozes sintéticas e da necessidade de medidas para combatê-las. Mas, até o momento, não registrou nenhum caso de voz clonada utilizada para cometer fraude contra seus clientes.
Voz sintética foi criada por serviço da ElevenLabs
Para realizar o teste, Cox clonou sua própria voz utilizando o serviço da ElevenLabs, uma startup americana que lançou uma plataforma de criação de voz por inteligência artificial na metade de janeiro.
A ferramenta, que causou problemas desde então, tem uma versão gratuita e pode ser utilizada por qualquer pessoa, mediante alguns minutos de fala disponíveis. Uma facilidade que fez com se tornasse muito fácil clonar a voz de figuras públicas, as utilizando de maneira problemática e sem seu consentimento.
Um dos caso mais famosos foi o que aconteceu com a atriz Emma Watson, que teve sua voz sintetiza por membros do 4Chan, que simularam que ela estava lendo o livro Mein Kampf.
A situação fez com que a empresa repensasse suas medidas de segurança e declarasse que, no futuro, pretende implementar novas etapas de verificação da conta e analisar se a amostra de áudio não viola direitos autorais.