How can I tell if a video call is a deepfake if the person looks completely real?

Deepfakes often show subtle artifacts: unnatural blinking patterns, misaligned lip-sync during side angles, skin texture that looks too smooth or plastic, inconsistent lighting on the face versus background, or jarring transitions when the person moves their head quickly. Use dedicated deepfake detection software like Microsoft Video Authenticator, which analyzes digital fingerprints in video files. Most importantly, if someone calls you with an urgent request, hang up and call them back at a known number—no AI video can intercept an outbound call from your phone.

Can AI phishing bypass my company's email security system?

Advanced AI phishing can partially bypass some security measures because it uses legitimate authentication protocols and personalizes content in ways that appear normal to content filters. However, no AI phishing bypasses proper MFA implementation. Even if scammers access your email credentials, they cannot access your account if your MFA requires a hardware security key or authenticator app that only you control. Email security also improves dramatically when companies implement strict DMARC policies that reject unauthenticated emails claiming to be from your domain.

I think I clicked a phishing link and entered my password. What should I do immediately?

Change your password from a different device (not the computer where you clicked the link) using a secure network, then contact your IT security team or bank immediately—before the scammers use your credentials. Enable MFA on your account right away if it wasn't already active. Monitor your accounts for unauthorized activity and consider freezing your credit with the three major bureaus (Equifax, Experian, TransUnion) if the attack involved financial information or if you suspect identity theft components.

How can my company prevent AI-powered phishing attacks targeting our employees?

Organizations should implement strict email authentication (SPF/DKIM/DMARC), mandatory hardware security key-based MFA for all employees, regular phishing simulation training that includes AI scenarios, and real-time threat detection systems that flag unusual behavioral patterns. Additionally, establish clear internal protocols where urgent financial requests always require out-of-band verification, and educate employees about verifying requests through established channels rather than using contact information from the suspicious message itself.

Is there a way to protect myself if a scammer clones my voice or creates a deepfake of me?

Register your voice and facial biometrics with fraud prevention services that create authenticated profiles, which can help trusted contacts identify legitimate versus fraudulent communications. Limit the amount of video and audio content you share publicly on social media and YouTube, as this is the primary training data scammers use for AI synthesis. Advise your family and close contacts to use an established verification method before responding to any urgent requests, and consider registering with the FBI's IC3 (Internet Crime Complaint Center) if you believe your identity has been cloned for fraud purposes.

Crítico Perda média: $5,000 Duração típica: 1-7 days

Phishing Alimentado por IA: Como Criminosos Usam IA para Atacá-lo

O phishing alimentado por IA representa uma das ameaças de fraude mais sofisticadas emergindo em 2024. Diferentemente do phishing tradicional que depende de emails genéricos em massa, ataques baseados em IA analisam seus perfis em redes sociais, comunicações anteriores e dados pessoais para criar mensagens personalizadas e assustadoramente convincentes. Criminosos usam algoritmos de aprendizado de máquina para gerar vídeos deepfake de contatos confiáveis, sintetizar vozes de CEOs ou familiares, e redigir emails que imitam perfeitamente o estilo de comunicação do seu banco—incluindo logos precisos, terminologia e até números de referência internos colhidos de vazamentos de dados. O FBI relatou um aumento de 350% em tentativas de phishing assistidas por IA na primeira metade de 2024, com perdas média de R$ 25 mil por vítima, embora algumas variantes de imitação de CEO tenham superado R$ 500 mil. Esses ataques tipicamente se executam em 1-7 dias, usando táticas de urgência combinadas com manipulação emocional. O que torna o phishing com IA particularmente perigoso é que ele contorna muitas medidas de segurança tradicionais: passa em verificações de autenticação de email porque imita estruturas de domínio legítimas, personaliza conteúdo de formas que o tornam irreconhecível como spam, e cria evidências deepfake que parecem impossíveis de contestar.

Táticas comuns Como identificar Como se proteger Casos reais Perguntas frequentes Onde denunciar

Táticas comuns

• A IA analisa seu perfil no LinkedIn, histórico do Instagram e metadados de email para identificar seu cargo, nome de seu gerente, projetos recentes e padrões de comunicação, então gera um email de phishing ultra-personalizado que referencia detalhes específicos que apenas seus colegas reais conheceriam.
• Criminosos implantam tecnologia deepfake em vídeo para criar vídeos convincentes de seu CEO, diretor de RH ou gerente de banco solicitando transferências de fundo urgentes ou redefinições de senha, com expressões faciais correspondentes, padrões de fala e ambientes de escritório extraídos de vídeos públicos.
• A IA de síntese de voz replica as características vocais exatas, sotaque e padrões de fala de contatos confiáveis, possibilitando phishing baseado em telefone onde vítimas ouvem uma voz familiar solicitando informações sensíveis durante uma 'emergência' com prazo apertado.
• Modelos de aprendizado de máquina clonam templates de email, marca visual, avisos de segurança e informações de rodapé de bancos ou empresas legítimas, incorporando até histórico de transações reais recentes para aumentar credibilidade.
• Chatbots de IA participam de conversas realistas em múltiplos turnos com vítimas, fazendo perguntas investigativas para construir empatia e extrair credenciais gradualmente em vez de fazer solicitações obviamente suspeitas em uma única mensagem.
• Criminosos usam IA para gerar IDs de funcionário falsos mas plausíveis, crachás de segurança e documentação interna que combinam com os padrões de design da sua organização, tornando falsas reivindicações de autoridade parecer legítimas.

Como identificar

Você recebe um email de seu CEO ou gerente solicitando ação urgente (redefinição de senha, transferência de fundo, verificação de credencial) com marca perfeita e referências específicas a projetos, mas o endereço de email real do remetente mostra uma diferença sutil como 'c0m' em vez de 'com' ou um domínio similar.
Uma videochamada ou mensagem gravada de um contato confiável parece ligeiramente diferente em sincronismo ou sincronização labial, com pausas não naturais, movimentos oculares robóticos ou inconsistências de iluminação incomuns que não combinam com sua configuração típica.
Você recebe uma chamada telefônica de alguém alegando ser do departamento de fraude do seu banco usando seu número de conta real e detalhes de transações recentes, mas está solicitando informações sensíveis que seu banco real nunca pediria.
Um email de um contato de TI interno ou RH usa a formatação exata da sua empresa e logo, mas pede que você clique em um link para 'verificar sua conta' ou 'confirmar sua identidade,' especialmente se cria urgência artificial em torno de um incidente de segurança inexistente.
Você nota em videochamadas que o fundo, roupas ou ambiente da pessoa combinam com informações públicas do seu perfil do LinkedIn ou site da empresa exatamente, parecendo quase encenado ou renderizado por CGI.
Uma thread de mensagem mostra conversa natural que é ligeiramente perfeita demais—referencia seus eventos de vida recentes com precisão incomum, usa piadas internas com timing perfeito, ou antecipa suas objeções antes de você verbalizá-las.

Como se proteger

Implemente autenticação multifator (MFA) em todas as contas de email, banco e financeira usando aplicativos autenticadores em vez de códigos SMS, que são mais difíceis para criminosos interceptarem em ataques alimentados por IA.
Estabeleça um protocolo de verificação fora do canal: quando receber solicitações urgentes de executivos ou instituições financeiras, sempre ligue de volta usando um número de telefone que encontra independentemente (não do email), e nunca clique em links ou ligue para números fornecidos em mensagens suspeitas.
Use ferramentas de verificação reversa de imagem e vídeo como Google Lens ou software especializado de detecção deepfake para analisar vídeos suspeitos antes de aceitar sua autenticidade—procure por artefatos de IA como textura de pele não natural, movimentos oculares ou glitches de fundo.
Treine-se para reconhecer padrões de engenharia social pausando por pelo menos 10 minutos antes de responder a solicitações com prazo urgente alegando emergências, falhas de sistema ou requisitos de ação imediata—instituições legítimas aguardarão verificação adequada.
Configure padrões de autenticação de email (SPF, DKIM, DMARC) em domínios da empresa e ative sinalizadores de verificação rigorosa no seu cliente de email que destaquem mensagens não autenticadas ou falsificadas, então reporte qualquer tentativa de phishing autenticada ao seu time de segurança de TI imediatamente.
Crie uma chave de verificação pessoal ou pergunta de segurança com contatos confiáveis (família, colegas próximos, consultores financeiros) que você estabelece antecipadamente—quando receber solicitações urgentes, peça que eles forneçam a resposta para essa pergunta pré-arranjada antes de prosseguir.

Casos reais

Um engenheiro de software recebe um email aparentemente do seu CTO solicitando redefinição imediata de senha devido a um 'incidente de segurança crítico.' O email inclui o logo exato da sua empresa, usa nomes de projetos internos precisos, e referencia uma violação real afetando um de seus fornecedores. O engenheiro clica no link e entra com credenciais em uma página de login quase idêntica. Em poucas horas, criminosos acessam o repositório de código-fonte da empresa e extorquem a empresa por R$ 250 mil.

Um CFO recebe uma videochamada de alguém aparentemente sendo o CEO da sua empresa solicitando uma transferência de fundo urgente de R$ 425 mil para 'fechar um acordo de aquisição' antes da abertura do mercado. O 'CEO' tem reconhecimento facial perfeito, terno correspondente e fundo de escritório, e referencia membros específicos do conselho pelo nome. O CFO aprova a transferência através de canais bancários normais antes de perceber que o CEO real estava em um fuso horário diferente e não tinha conhecimento deste acordo.

Um gerente de RH recebe uma série de conversas de texto aparentemente naturais de seu chefe solicitando que ela processe uma solicitação de empréstimo de emergência de um funcionário e acelere a transferência de fundo de R$ 37.500. A conversa inclui referência compartilhada a desafios recentes da empresa e até menciona a promoção recente de uma conexão mútua. O gerente processa a solicitação, apenas para descobrir que o funcionário vítima tinha recebido um ataque de phishing idêntico gerado por IA solicitando que ele enviasse seus detalhes bancários para 'processar' um empréstimo falso.

Perguntas frequentes

Como posso saber se uma videochamada é um deepfake se a pessoa parecer completamente real?

Deepfakes frequentemente mostram artefatos sutis: padrões de piscada não naturais, sincronização labial desalinhada durante ângulos laterais, textura de pele que parece muito lisa ou plástica, iluminação inconsistente no rosto versus fundo, ou transições abruptas quando a pessoa move a cabeça rapidamente. Use software de detecção deepfake dedicado como Microsoft Video Authenticator, que analisa impressões digitais em arquivos de vídeo. Mais importantemente, se alguém ligar você com uma solicitação urgente, desligue e ligue de volta em um número conhecido—nenhum vídeo de IA pode interceptar uma chamada de saída do seu telefone.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), phishing alimentado por ia: como criminosos usam ia para atacá-lo is described at https://scamlens.org/pt/encyclopedia/ai-powered-phishing.

https://scamlens.org/pt/encyclopedia/ai-powered-phishing

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API