Crie uma Persona convincente e esconda sua Identidade Online. O desenho animado de Peter Steiner “ Na internet, ninguém sabe que você é um cachorro” é o desenho mais reimpresso da The New Yorker desde que foi publicado pela primeira vez em 1993.
Esqueça os esquetes políticos habilmente ilustrados, os quadrinhos e as sátiras de Americana – o que mais atraiu os leitores e recicladores de memes nos últimos 30 anos foi o conceito de anonimato online.
Claro, esse desenho animado é uma obra de arte visualmente divertida – um cachorro sentado em uma cadeira giratória e operando um computador enquanto fala com outro cachorro é deliciosamente absurdo. Mas o esboço capturou uma verdade essencial sobre as comunicações online, mesmo na infância da Internet.
Quando você encontra alguém online, não tem ideia se a pessoa cujas postagens está lendo é realmente quem ela parece ser.
Por exemplo, clique na assinatura de David Rutland, autor deste artigo, e você verá a foto de um cara branco com a cabeça raspada e uma barba desgrenhada que parece ter 40 e poucos anos. Você também verá um nome: David Rutland.
Procure por ele no Google e você poderá encontrar alguns fragmentos dessa identidade aqui e ali … mas sou realmente quem é ele?
Existem alguns detalhes biográficos espalhados online, e você encontrará o seu nome em outros sites de tecnologia e vários meios de comunicação sociais, mas isso não é garantia de nada. Há cerca de uma década ele é redator freelance, e diz que nunca lhe pediram para confirmar sua identidade.
Ele brinca que “Estou na internet e ninguém sabe que sou um cachorro.“
Aqui reproduzimos seu excelente texto artigo como forma de reflexão e conhecimento para todos os leitores do Blog Minuto da Segurança
A confiança é uma mercadoria rara online (mas não é rara o suficiente)
A necessidade de verificação de identidade é mais antiga do que a Internet – muito mais antiga. Os trapaceiros da confiança operam pelo menos desde o início do século 19, contando histórias fantásticas e usando identidades falsas para fraudar suas vítimas com dinheiro, dignidade e meios de subsistência.
Um dos primeiros exemplos conhecidos é o Spanish Prisoner Swindle , que viu fraudadores se passando por cavalheiros presos injustamente prometendo grandes recompensas em troca de um pouco de dinheiro adiantado para ajudar a garantir sua libertação. Variações posteriores incluíam o conhecido “príncipe nigeriano”, que prometeu presentes em dinheiro de seis dígitos em troca de ajuda para tirar uma enorme soma de dinheiro de seu país.
O autor lembra de uma vez ser contatado por uma pessoa que dizia ser Bill Gates (da Microsoft), com a intenção de distribuir sua riqueza aos pobres e merecedores, mas exigindo que os beneficiários pagassem uma “taxa de transferência” de algumas dezenas de dólares. Obviamente o autor diz que não caiu nessa, mas não tem dúvidas de que algum pobre coitado perdeu o dinheiro do aluguel para esse impostor.
Todos os anos lemos sobre pessoas solitárias que se apaixonam online e acabam abrindo mão de seus fundos de aposentadoria para ajudar na carreira de seu amante de longa distância – que muitas vezes nem existe. A vítima fica sozinha, pobre e envergonhada.
O golpe, denominado de Catfishing, é mais um dos muitos golpes que existem no mundo virtual. Trata-se de um fenômeno em que uma pessoa cria uma ou várias identidades virtuais falsas para enganar outros usuários emocionalmente, usualmente para obter ganhos financeiros. Entre as motivações dessa prática estão vingança, solidão, curiosidade ou até mesmo tédio.
Os golpistas podem se passar por membros da família , funcionários do IRS ou mesmo representantes de empresas conhecidas , e os autores dos golpes podem ser qualquer pessoa – até mesmo alguém que a vítima conheça na vida real .
As consequências desse anonimato costumam ser terríveis. O golpe não só leva a prejuízos financeiros e constrangimento, mas também tem sido associada a casos de chantagem , assassinato e um número alarmante de suicídios .
As identidades falsas são frequentemente usadas para fins maliciosos.
Identidade e a necessidade de privacidade
O outro lado disso é que quanto mais informações são conhecidas sobre você, mais vulnerável você fica – não apenas ao ataque Catfishing, mas também ao roubo de identidade, doxxing , swatting e outros perigos da vida real.
Poucas pessoas são cuidadosas com as informações que postam online. Uma tarde de busca pode facilmente revelar o nome de solteira da mãe de uma pessoa (Oi, tio Dave!), O nome de seu primeiro animal de estimação, as escolas que frequentaram e provavelmente até a rua em que cresceram.
Um e-mail atraente com um link de aparência inócua entregue na hora certa do dia pode induzir alguém a revelar seu endereço IP de casa, o que muitas vezes revela a área onde vive – às vezes dentro de algumas ruas.
Com o suficiente desse tipo de informação, você pode roubar a vida de alguém. É um negócio sério, e qualquer pessoa sensata faria algum esforço para deixar online o mínimo possível de informações de identificação pessoal.
Além dos riscos para sua conta bancária e saúde mental, existem muitos outros motivos para criar e manter uma persona online separada. Por exemplo, você pode querer manter sua vida profissional completamente divorciada de sua vida privada, ou pelo menos alguns aspectos dela.
O autor diz que além do meu trabalho no Private Internet Access (PIA), ele mantém vários sites na Internet, cobrindo áreas muito diferentes e irrelevantes para as suas atividades. O autor diz que não quer que eles estejam conectados à sua identidade real e não os quer vinculados um ao outro. Ao mesmo tempo, eles precisam da credibilidade de um autor genuíno com assinatura, fotografia e detalhes auxiliares suficientes para convencer os leitores de que estão lendo as opiniões de um escritor autoritário (o que, claro, ele afirma ser).
Outras pessoas podem preferir manter a privacidade com a atitude de que “não é da conta de ninguém quem eu sou”.
Todas essas são razões válidas para construir uma persona online (ou três ou quatro) e , claro, os agentes maliciosos e fraudadores da Internet também possuem real interesse em construir estas personas, por isto, nada melhor que conhecer as técnicas, seja para utilizá-las ou para “conhecer melhor seu inimigo“. Então, veja como fazer isso.
Construindo a Persona
Na imagem acima, existem seis retratos. Entre eles estão um caixa de banco, uma antropóloga, três filhos e uma estudante de psicologia com doutorado. Suas origens étnicas são diversas e vêm de cinco continentes diferentes.
Eles têm apenas uma coisa em comum – eles não existem.
Os indivíduos retratados acima nunca existiram. Eles foram gerados por This Person Does Not Exist , que usa um tipo de aprendizado de máquina conhecido como Generative Adversarial Network (GAN).
Como funciona?
Um GAN, em seus termos mais simples, é um par de redes neurais envolvidas em um jogo de soma zero, o que significa que o ganho de uma rede é a perda da outra. As redes são “adversárias”. Uma rede cria novos dados a partir da análise e reprodução de padrões identificados em um conjunto de dados existente, e a outra tenta adivinhar se os novos dados são reais ou foram criados por seu adversário.
Nesse caso, as redes neurais do GAN são treinadas para reconhecer imagens de um conjunto de imagens.
Como exemplo você pode lembrar que ocasionalmente precisa clicar em hidrantes ou gatos em CAPTCHAs. Essa é uma das maneiras pelas quais os conjuntos de dados de imagens são gerados.
Outra maneira é fazer as pessoas clicarem nas fotos delas mesmas e de seus amigos, o que cria dados que as redes neurais podem usar para saber como um rosto deve se parecer.
Uma analogia comum é que o gerador e o discriminador são como o falsificador que produz notas falsas e o policial que as detecta, respectivamente.
Tanto o falsificador quanto o policial estão aprendendo com seus erros – e cada lado aprende os métodos do outro em uma escalada constante.
Conforme o tempo passa e milhões de imagens são detectadas como falsas ou reais, o discriminador fica melhor em trabalhar a origem da imagem, enquanto o gerador melhora a qualidade das falsificações.
Eventualmente, os “adversários” chegam a um ponto em que as imagens produzidas são indistinguíveis das reais.
Posso criar minha própria rede adversária gerativa?
Talvez. Treinar uma IA para produzir rostos de aparência realística exige uma enorme quantidade de poder de computação na forma de placas gráficas de última geração e muita memória. Os desenvolvedores do styleGAN – o software usado por thispersondoesnotexist.com – recomendam o “NVIDIA DGX-1 com 8 GPUs Tesla V100”. No momento em que este artigo foi escrito, o autor diz que a Nvidia estava estava oferecendo um desconto de 25% – reduzindo o custo para meros US$49.900.
Se você não tem esse dinheiro no bolso da calça, pode conseguir “Uma ou mais GPUs NVIDIA de última geração com pelo menos 11 GB de DRAM”. O autor experimentou o software na minha fiel GTX 1050 com 3 GB de RAM, e falhou muito – com os ventiladores em overdrive e temperaturas perigosamente altas.
Se acontecer de você ter um equipamento de mineração de criptografia sobressalente, o styleGAN pode ser executado em máquinas Linux ou Windows – embora o Linux seja o preferido. Porém, esteja avisado, o treinamento pode levar várias semanas para ser concluído, mesmo se você tiver máquinas de alta potência à sua disposição.
A maneira mais fácil de você gerar um rosto nunca antes visto na história do mundo é visitar This Person Does Not Exist. O site gera uma nova cara cada vez que você visita ou atualiza a página. Ai está. Esse é o seu novo tiro na cabeça.
Detalhes auxiliares tornam sua personalidade mais real
Um rosto falso é um bom começo para esconder sua verdadeira identidade atrás de uma persona inventada, mas é apenas parte da imagem. Quanto mais detalhes você adicionar, mais convincente será sua falsa persona, tornando menos provável que sua identidade real seja descoberta.
Você precisa de uma presença na web
Uma pessoa real deixa rastros de si mesma pela Internet. Às vezes, é na forma de comentários em blogs e, mais frequentemente, é na mídia social.
No entanto, configurar um perfil de mídia social falso está fora de questão porque não há nada tão suspeito quanto uma conta recém-criada sem amigos e apenas uma foto. Na verdade, isso tornará sua nova persona ainda menos convincente.
Os sites diretamente sob o controle do autor são um assunto totalmente diferente. Com seu próprio site (ou sites), você pode dar vida à lenda e dar vida à sua personalidade. Um de seus sites, davidrutland.com , é um ótimo exemplo. Ele contém postagens datadas de nove meses, resenhas de livros para o mesmo período, vários links, vários documentos e duas fotos do meu rosto, mas apenas uma fotografia real – uma foto borrada em preto e branco tirada de uma revista.
Vários dos seus outros sites têm links para davidrutland.com, e você pode notar que o site está inscrito em vários clubes e webrings que, apesar de estarmos no início de 2022, ainda existem.
Coloque no Google seu nome e você encontrará seu site na página inicial. Isso pode não ser suficiente para a confiança instantânea, mas acrescenta validade à sua afirmação de que é quem diz ser.
Você pode criar seu próprio site facilmente em um dia. Nomes de domínio são baratos e você pode obter hospedagem estática gratuita e sem amarras nas páginas do GitHub . E lembre-se sempre de que as datas para postar entradas são algo que você mesmo pode definir facilmente.
Uma conta bancária real para uma pessoa inexistente
Na maior parte do mundo, incluindo os EUA, é ilegal – e virtualmente impossível – abrir uma conta bancária usando um nome falso. É uma fraude, e em nenhum momento o autor sugere que alguém fizesse tal coisa . (Isenção de responsabilidade: forjar uma persona para enganar financeiramente é um crime e você será pego.)
Mas você pode abrir uma conta comercial com o nome que escolher – em alguns países é possível mesmo se não tiver uma empresa. Você precisará provar sua identidade ao banco primeiro e, normalmente, precisará ter uma conta corrente com eles, mas normalmente é uma questão trivial abrir uma conta comercial com o nome da sua ‘empresa‘ nela.
Se você optar por chamar sua conta comercial de “Joe Bloggs”, você terá um cartão do banco com Joe Bloggs estampado na frente, esses pagamentos aparecerão no extrato do destinatário como sendo provenientes de Joe Bloggs e se as pessoas transferirem dinheiro para o seu número da conta com Joe Bloggs como o nome do destinatário, ele aparecerá na sua conta.
Aqui no Brasil, podemos imaginar algo parecido usando as chaves PIX, não poderíamos?
Esconda a sua localização
Você sabia que essa parte estava chegando – a PIA é uma empresa de VPN, afinal. Portanto, é necessário mencionar que uma das maneiras mais rápidas de uma persona se desintegrar é rastreá-la até seu endereço IP.
Digamos que você construiu uma identidade como especialista em restauração de móveis em uma vila de pescadores do Alasca. E é totalmente convincente. Todas as fotos (exceto a foto da cabeça que o GAN gerou) são tiradas por trás enquanto você trabalha em seu torno. Você até se juntou a várias associações comerciais para aumentar a ilusão e, com orgulho, relaciona essas afiliações em seu site.
Mas você está se comunicando de um local com um endereço IP que mostra que você está, na verdade, no Texas, onde ganha a vida como um guitarrista de blues itinerante. É aqui que as coisas começam a desmoronar …
Na verdade, é muito fácil descobrir o endereço IP de alguém. Cada site que você visita tem um log com seu endereço IP anexado à atividade do site, e seu endereço IP é freqüentemente encontrado nos metadados que são enviados com seus e-mails (dependendo de como você envia os e-mails). Os proprietários de sites são capazes de ver e registrar os endereços IP de todas as pessoas que visitam seus sites. E descobrir uma localização física aproximada de um endereço IP é tão simples quanto visitar search.censys.io e digitá-lo na caixa de pesquisa . O Blog Minuto da Segurança testou mas não vimos grande eficiência em localizar IPs no Brasil, mas em outras localidades o autor afirma que se você morar em uma área escassamente povoada, às vezes é possível determinar sua localização com um grau de precisão chocante.
Ao usar uma VPN, todo o tráfego da Internet passa por um servidor VPN em um local diferente – aquele que você escolher. Qualquer site que você visitar irá registrar o endereço IP da VPN em vez do seu, e se o seu provedor de e-mail incluir o IP do remetente nos metadados do e-mail, esse será o IP da VPN também.
É difícil saber quando você está lidando com uma falsificação
Ninguém gosta de ser enganado, e essas técnicas podem ser usadas por malfeitores e criminosos com o objetivo de fraudá-lo – embora, normalmente, eles simplesmente sequestrem as contas de mídia social de alguém ou roubem dados diretamente.
Mas se você for como a maioria das pessoas normais, tudo o que deseja é ser deixado sozinho para conduzir seus negócios na Internet e, ao mesmo tempo, minimizar as chances de alguém espioná-lo.
O aprendizado de máquina não é perfeito e certos aspectos das fotografias geradas costumam estar sutilmente errados nos detalhes. Os olhos, nariz e boca podem ser perfeitos, mas e as orelhas? Existe alguma joia que simplesmente parece … errada?
A pessoa na imagem acima parece que pode existir, mas olhe mais de perto e você verá que os ganchos de brinco estão pendurados abaixo de suas orelhas – eles não estão presos. Eles estão errados. E dê uma olhada nos ombros – definitivamente há algo que não está certo aí. Uma rede neural pode não ver nada de errado, mas um ser humano cuidadoso pode.
O Autor diz que seu site pessoal parece real porque ele é um ser humano real e seu nome é David Rutland; Suas outras presenças online também parecem reais e têm o mesmo nível de detalhes, mas são falsas. E é difícil dizer.
No final das contas, tudo se resume a ser capaz de captar detalhes – como brincos flutuantes e a suspeita de ter apenas uma fotografia frontal.
Mas você nunca, jamais, pode ter certeza!
Fonte: Private Internet Access por David Rutland
Veja também:
- 5 Cybersecurity Trends para observar em 2022
- LastPass Master Passwords pode ter sido comprometida
- Log4j nova versão 2.17.1 do Apache corrige nova falha de RCE
- Com foco em privacidade o DuckDuckGo cresce 46%
- Cibercrime está cada vez mais frequente em empresas: é hora de falar de AIOps
- VMware é fortemente afetado pelo Log4j e apresenta falha crítica no UEM
- Novo vetor de ataque Log4j descoberto
- Dridex trolla funcionários com falsos e-mails de rescisão de empregos
- Windows 10 21H2 adiciona proteção contra ransomware ao baseline de segurança
- CISA publica um scanner log4j open source para identificar web vulneráveis
- Pandemia desperta interesse na adoção de Wi-Fi 6
- Apache lança novo patch 2.17.0 para Log4j para resolver vulnerabilidade de negação de serviço
Deixe sua opinião!