IA
Em 2023, Tim Utzig, estudante cego de Baltimore, perdeu mil dólares em um golpe envolvendo a venda de um laptop no X. Ele acompanhava há anos um conhecido jornalista esportivo. Quando a conta do jornalista passou a divulgar uma “venda beneficente” de MacBook Pros novos, Tim viu ali a chance de comprar um laptop necessário para os estudos por um bom preço. Após algumas mensagens rápidas, ele fez o pagamento.
O problema é que a conta havia sido invadida, e o dinheiro foi parar nas mãos de golpistas. Os sinais de alerta eram estritamente visuais: a página havia sido marcada como “temporariamente restrita” e tanto a bio quanto a lista Seguindo haviam mudado. No entanto, o leitor de tela de Tim, que transforma conteúdo visual em áudio, não indicou nenhum desses avisos.
Leitores de tela permitem que pessoas cegas naveguem no ambiente digital como qualquer outra pessoa. Ainda assim, essa comunidade continua especialmente vulnerável. Mesmo para quem enxerga, identificar um site falso já é difícil; para pessoas com deficiência visual, o desafio é ainda maior.
Além dos leitores de tela, há aplicativos e serviços móveis criados para apoiar pessoas cegas ou com baixa visão, sendo o Be My Eyes um dos mais populares. O aplicativo conecta usuários a voluntários por videochamada para ajudar em tarefas do dia a dia, como ajustar o forno ou encontrar um objeto na mesa. O Be My Eyes também conta com IA integrada capaz de ler textos e identificar objetos ao redor do usuário.
Mas será que essas ferramentas vão além das tarefas cotidianas? Elas conseguem identificar tentativas de phishing ou revelar detalhes ocultos, como letras miúdas na abertura de uma conta bancária?
Neste conteúdo, exploramos os desafios on-line enfrentados por pessoas com deficiência visual, quando vale recorrer a assistentes humanos ou virtuais e como usar esses serviços com segurança.
Ameaças cibernéticas comuns para pessoas cegas e com baixa visão
Para começar, vale esclarecer a diferença entre esses dois grupos. Pessoas com baixa visão ainda utilizam o que resta da visão, embora com limitações significativas. Para navegar em interfaces digitais, costumam usar ampliadores de tela, fontes muito grandes e alto contraste. Para esse público, sites e e-mails de phishing são especialmente perigosos. É comum não percebermos erros de digitação intencionais, os typosquatting, em um nome de domínio ou endereço de e-mail, como o exemplo recente de rnicrosoft{.}com.
Pessoas cegas navegam principalmente por áudio, com leitores de tela e gestos específicos. Curiosamente, ao contrário de pessoas com baixa visão, usuários cegos têm mais chance de perceber um site falso com o leitor de tela, já que a URL é lida em voz alta e pode soar estranha. Porém, se um serviço, legítimo ou malicioso, não for totalmente compatível com leitores de tela, o risco de se tornar vítima de um golpe aumenta. Foi exatamente isso que aconteceu com Tim Utzig.
É importante lembrar que as lupas e os leitores são ferramentas básicas de acessibilidade. Eles são projetados para ampliar ou narrar uma interface, não para atuar como um pacote de segurança. Sozinhos, não conseguem alertar sobre ameaças. É aí que entram ferramentas mais avançadas, capazes de analisar imagens e arquivos, identificar sinais suspeitos e explicar melhor o que está acontecendo na tela.
Quando usar um assistente
O Be My Eyes é uma das principais plataformas de acessibilidade, com cerca de 900.000 usuários e mais de nove milhões de voluntários. Disponível em Windows, Android e iOS, ele conecta pessoas cegas ou com baixa visão a voluntários por videochamada para ajudar em tarefas do dia a dia. Por exemplo, se alguém quiser iniciar o ciclo de roupas sintéticas na máquina de lavar e não encontrar o botão certo, pode usar o aplicativo. O aplicativo conecta o usuário ao primeiro voluntário disponível no mesmo idioma, que usa a câmera do celular para orientá-lo. O serviço está atualmente disponível em 32 idiomas.
Em 2023, o aplicativo ampliou seus recursos com o Be My AI, assistente virtual baseado no GPT-4 da OpenAI. O usuário tira uma foto, e a IA gera uma descrição detalhada, que também pode ser lida em voz alta. Também é possível abrir um chat para fazer perguntas adicionais. Isso levanta a questão: essa IA consegue identificar um site de phishing?
Para testar, enviamos ao Be My Eyes a captura de tela de uma página falsa de login. No celular, basta selecionar a imagem, tocar em Compartilhar e escolher Descrever com o Be My Eyes. No Windows, é possível enviar a captura diretamente.
Exemplo de página de phishing que imita o login do Facebook. Observe o domínio incorreto na barra de endereço
Inicialmente, a IA descreveu a página em detalhes. Em seguida, perguntamos no chat: “Posso confiar nessa página?” A IA identificou o erro no domínio, recomendou fechar a página falsa e sugeriu digitar a URL oficial no navegador ou usar o aplicativo do Facebook.
O Be My AI explica por que a página é suspeita: o domínio não corresponde ao oficial. O aplicativo recomenda digitar a URL oficial no navegador ou usar o aplicativo do Facebook
Observamos o mesmo resultado ao testar um e-mail de phishing. Inclusive, a IA já indicou o golpe na descrição inicial. E concluiu com o alerta: “Parece um e-mail suspeito. É melhor não abrir nenhum anexo nem clicar em nenhum link. Em vez disso, navegue até o site ou aplicativo oficial manualmente ou ligue para o número listado no site oficial”.
Além de identificar ameaças cibernéticas, o Be My AI é um bom aliado para usar lojas on-line, aplicativos bancários e serviços digitais. Por exemplo, a IA pode ajudar você a:
- Ler descrições, nomes e preços quando o site ou aplicativo não é compatível com leitores de tela ou fontes ampliadas
- Analisar termos e condições complexos, muitas vezes em letras pequenas ou inacessíveis a leitores de tela, ao contratar um serviço ou abrir uma conta
- Extrair informações importantes de páginas de produtos ou manuais
Os riscos de confiar no Be My AI
Um dos principais problemas da IA são as “alucinações”, quando o modelo distorce textos, omite informações importantes ou inventa conteúdo. Quando se trata de ameaças cibernéticas, confiar em uma análise equivocada da IA pode ser perigoso. Além disso, a IA não é imune a ataques de injeção de prompts, usados por golpistas para manipular esses sistemas.
Mesmo com bons resultados, não é recomendável confiar totalmente na IA. Não há garantia de que ela vai acertar todas as vezes. Isso é especialmente importante para pessoas cegas ou com baixa visão, que podem acabar tratando a IA como única fonte de percepção visual.
Ao final das respostas, o Be My AI sugere recorrer a um voluntário em caso de dúvida. No entanto, ao tentar detectar uma página da Web falsa, não recomendamos usar essa alternativa. Não há como garantir o conhecimento técnico ou a confiabilidade de um voluntário aleatório. Além disso, há risco de expor dados sensíveis, como e-mail ou senha. Antes de se conectar com um estranho, verifique se não há informações confidenciais visíveis na tela. O ideal é usar o recurso do aplicativo para criar um grupo privado com pessoas de confiança. Isso garante que sua videochamada seja direcionada para pessoas que você realmente conhece, em vez de um voluntário aleatório.
Para se proteger, recomendamos instalar uma ferramenta de segurança confiável em todos os dispositivos. Esses programas ajudam a bloquear phishing e evitar acesso a sites maliciosos. Outra recomendação prática para usuários com deficiência visual é usar um gerenciador de senhas. Esses aplicativos só preenchem dados em sites legítimos salvos, evitando domínios falsos.
Como o Be My AI trata e armazena seus dados
De acordo com a política de privacidade do Be My Eyes, videochamadas com voluntários podem ser gravadas e armazenadas para operação do serviço, segurança e melhorias. Ao usar o Be My AI, imagens e textos são enviados à OpenAI para gerar respostas. Esses dados são processados em servidores nos EUA e usados apenas para atender à solicitação. A política afirma de forma explícita que esses dados não são usados para treinar modelos.
Fotos e vídeos são criptografados em trânsito e armazenamento, com medidas para remover dados sensíveis. Vale a pena observar que as gravações podem ser mantidas por tempo indeterminado, a menos que você solicite exclusão, geralmente concluída em até 30 dias. Os dados das interações do Be My AI são armazenados por até 30 dias, a menos que você os exclua manualmente no aplicativo. Se você decidir encerrar a conta, seus dados pessoais poderão ser retidos por até 90 dias. É possível desativar o compartilhamento ou solicitar ao suporte a exclusão de dados a qualquer momento.
Como usar o Be My Eyes com segurança
Apesar das declarações de privacidade, é importante seguir algumas recomendações ao usar o serviço:
- Use o Be My AI como verificação inicial, mas não como única fonte de decisão. Um software de segurança especializado é melhor para identificar e neutralizar ameaças.
- Se algo parecer suspeito, não clique em links nem abra anexos. Em vez disso, digite o endereço do site oficial no navegador ou abra o aplicativo oficial para verificar as informações.
- Lembre-se: o voluntário vê exatamente o que sua câmera vê. Certifique-se de que ele não está lendo coisas que não deveria, como um código de segurança ou um passaporte aberto. Evite compartilhar nome, rosto ou revelar muito do ambiente ao seu redor. Tenha muito cuidado com reflexos que possam revelar seu rosto ou seus dados pessoais. Mostre apenas o que é absolutamente necessário para a tarefa em questão.
- Atenha-se ao seu círculo interno. Crie um grupo no aplicativo com amigos e familiares. Isso garante que suas videochamadas sejam direcionadas para pessoas conhecidas, não para um voluntário aleatório.
- Não use o Be My AI para ler documentos confidenciais. Lembre-se de que suas imagens e prompts de texto são enviadas à OpenAI para processamento e geração de uma resposta.
- Lembre-se de excluir os bate-papos de que você não precisa mais. Caso contrário, eles ficarão disponíveis por 30 dias.
- Para conteúdos sensíveis, prefira aplicativos com leitura em tempo real como Envision, Seeing AI ou Lookout. Esses aplicativos processam os dados localmente, sem enviá-los para a nuvem.
