Chamadas de golpe ficaram mais sofisticadas, mais frias e muito mais difíceis de identificar - e uma tática recente agora dá a pessoas inexperientes um poder que antes parecia profissional.
Pesquisadores de segurança alertam que uma nova leva de fraudes telefônicas mistura vozes humanas convincentes com ferramentas altamente automatizadas. Com isso, criminosos conseguem sequestrar contas on-line em tempo real, contornar verificações de segurança e zerar saldos bancários enquanto a vítima ainda está na ligação.
Fraude por telefone ganha alta tecnologia
Durante anos, golpistas por telefone dependeram de roteiros malfeitos e ameaças forçadas. Esse período está acabando rapidamente. Segundo especialistas de segurança da Okta Threat Intelligence, grupos organizados passaram a usar os chamados “kits de phishing” feitos sob medida para fraude por telefone.
Esses kits são ferramentas de software prontas, muitas vezes vendidas ou alugadas em fóruns criminosos. Na prática, permitem que até golpistas sem experiência executem ataques complexos com uma eficiência polida, quase no estilo de uma operação corporativa.
"Em vez de adivinhar o que você está vendo na tela, o atacante pode acompanhar seu login em tempo real e reagir na hora."
Em geral, quem liga se apresenta como suporte do banco, técnico interno de TI ou central de atendimento de uma grande empresa de tecnologia. Enquanto conversa com você, orienta a acessar um site idêntico ao do banco ou ao portal do trabalho. Só que a página é falsa - e está sob o controle do kit de phishing.
Controle em tempo real do seu login
O que torna essa técnica tão perigosa é o fator tempo. O software repassa discretamente tudo o que você digita para o golpista, que espelha o seu acesso no site verdadeiro quase ao mesmo tempo.
Um ataque típico costuma seguir este roteiro:
- O criminoso liga dizendo que é preciso agir com urgência - um “pagamento suspeito”, uma “conta corporativa comprometida” ou um “dispositivo bloqueado”.
- Você é direcionado a um site, muitas vezes com um endereço soletrado por telefone, que parece legítimo, mas é controlado pelo kit.
- Ao inserir usuário e senha, as informações são encaminhadas instantaneamente ao sistema do atacante.
- O atacante usa esses dados para entrar no serviço real enquanto você ainda está na página falsa.
Nesse momento, muita gente se tranquiliza porque a conta do banco ou da empresa usa autenticação multifator (MFA), como código ou notificação de aprovação. Isso de fato bloqueava muitos golpes. Só que essa nova abordagem foi desenhada justamente para contornar esse obstáculo.
Como eles burlam a autenticação multifator
Quando o golpista dispara, em segundo plano, uma tentativa real de login, o serviço legítimo envia um desafio de MFA. O kit de phishing identifica que tipo de solicitação apareceu e ajusta a página falsa para exibir a mesma etapa.
"Se você receber uma notificação de aprovação ou um código, o golpista já sabe exatamente qual aviso está na sua tela - e usa a frase perfeita para pressionar você a autorizar."
Alguns exemplos:
| Tipo de MFA | O que a vítima vê | O que o golpista diz |
|---|---|---|
| Notificação de aprovação | “Aprovar solicitação de login?” | “Estou enviando um aviso de segurança agora; toque em ‘Aprovar’ para a gente bloquear o fraudador.” |
| Código por SMS ou app | Um código de seis dígitos | “Para validar, me informe o código que acabou de chegar para eu confirmar sua identidade.” |
| Notificação com confirmação por número | “Digite o número exibido na tela” | “Vai aparecer um número; quando o app pedir, é só digitar - isso prova que você é o titular real da conta.” |
Como toda a interação parece coordenada e guiada, muitas vítimas não percebem que, na prática, estão concluindo o login do invasor.
Por que a verificação clássica já não basta
A orientação tradicional de segurança sempre enfatizou senhas fortes e etapas adicionais de verificação. Isso continua importante, mas já não resolve sozinho quando o atacante conduz a sua sessão como se fosse uma operação de central telefônica.
Os kits de phishing dão ao criminoso visibilidade detalhada do que está acontecendo do lado da vítima. Ele enxerga qual app está em uso, quais perguntas surgem e se alguma tentativa falha. Ao telefone, mantém um tom calmo e “profissional”, dizendo que “isso é só um procedimento de segurança”, enquanto aumenta a pressão aos poucos.
"O golpista tem um roteiro, o site se adapta na hora, e você se sente com pressa - essa combinação é exatamente o que o atacante quer."
Também é comum falsificarem o identificador de chamadas, fazendo o número parecer do seu banco, do seu empregador ou de uma marca grande. Qualquer hesitação encontra a mesma resposta: urgência. Dizem que a conta será bloqueada, o pagamento do salário vai atrasar ou medidas legais começarão, a menos que você aja imediatamente.
Como se proteger da nova onda de golpes telefônicos
Especialistas recomendam com força métodos de segurança resistentes a phishing. A lógica é simples: mesmo que você seja induzido a entrar em um site falso ou pressionado durante uma ligação, o atacante ainda assim não consegue concluir o acesso no dispositivo dele.
Duas alternativas se destacam:
- Chaves de acesso: substituem a senha por uma chave criptográfica armazenada no celular ou no computador. Essa chave só funciona no site ou app verdadeiro - não em uma cópia falsa.
- Chaves físicas de segurança: pequenos dispositivos USB ou NFC que precisam estar presentes fisicamente e ser tocados/plugados durante o login.
Nos dois casos, o acesso fica vinculado ao seu dispositivo específico e ao domínio legítimo, deixando o site falso do golpista sem utilidade. Mesmo que você esteja ao telefone com um impostor convincente, ele não consegue simplesmente reaproveitar o seu acesso.
Além de tecnologia mais forte, hábitos comportamentais pesam tanto quanto:
- Desligue ligações inesperadas de “suporte” sobre urgentes “problemas de segurança” e retorne pelo número oficial do cartão do banco ou da intranet da empresa.
- Digite os endereços por conta própria ou use favoritos, em vez de seguir links ou instruções ditadas por telefone.
- Nunca compartilhe códigos de uso único, solicitações de aprovação ou senhas com ninguém - nem com supostos funcionários.
- Se sentir pressão, interrompa a conversa e peça a opinião de um colega, amigo ou familiar de confiança.
O que empresas e bancos devem mudar
As organizações lidam com a mesma ameaça por outro ângulo - sobretudo onde funcionários podem aprovar pagamentos, alterar dados de folha de pagamento ou acessar registros sensíveis.
Equipes de segurança vêm sendo orientadas a endurecer regras de rede para que apenas dispositivos conhecidos e confiáveis consigam acessar sistemas críticos. Assim, mesmo credenciais roubadas têm menos valor para o atacante.
Políticas internas claras também ajudam. Funcionários precisam ouvir de forma explícita que a TI nunca solicitará senhas ou códigos de MFA por telefone e que qualquer contato inesperado pode ser encerrado e verificado por um canal oficial, sem punição.
"Quando a equipe sabe que não será culpada por desligar de um técnico verdadeiro por engano, engenheiros sociais perdem uma das suas alavancas mais fortes."
O que são, de fato, os “kits de phishing”
O termo parece técnico, mas o conceito é direto. Um kit de phishing é um pacote pronto de páginas falsas, scripts e ferramentas que pode ser colocado no ar com pouca habilidade. Muitos trazem painéis que mostram ao atacante quem está on-line, em que etapa cada vítima está e quais logins deram certo.
Alguns kits incluem até anotações de treinamento e roteiros de ligação, transformando golpistas isolados em algo mais próximo de uma operação de franquia. Quem está começando paga pelo acesso, segue o manual e recebe um fluxo criminoso “plug-and-play”.
Essa industrialização ajuda a explicar por que a fraude por telefone soa mais “bem-feita” e menos suspeita do que antes. Quem está do outro lado da linha pode não ser um especialista em invasão; apenas conta com um software poderoso guiando cada passo.
Um cenário realista: como a ligação pode acontecer
Imagine receber uma ligação em uma tarde de dia útil. No visor, aparece o nome do seu banco. A pessoa fala com educação, um pouco apressada, e diz que sua conta foi usada há poucos minutos para um pagamento em outro país.
Ela explica que “só precisa confirmar você” e pede que você acesse um endereço que parece ser o do banco. Você digita rápido e não nota um hífen a mais. O site é idêntico ao verdadeiro, com logotipo e textos legais.
Você entra. Surge no celular uma notificação para aprovar um acesso. A pessoa diz: "Sou eu, só estou confirmando que estamos falando com o titular real - por favor, aprove para eu bloquear o pagamento fraudulento."
Você toca em aprovar, aliviado por alguém estar “resolvendo” o problema. Do outro lado, o criminoso acabou de destravar seu acesso real. Em minutos, ele cadastra novos favorecidos e transfere valores, enquanto mantém você na conversa com “etapas de estorno” e “números de protocolo”.
Quando a insegurança começa a aparecer, o prejuízo já aconteceu.
Por que o lado psicológico importa tanto quanto a tecnologia
Esses golpes funcionam porque exploram reações humanas, não apenas falhas de software. O medo de perder dinheiro, o receio de quebrar regras da empresa e o impulso de obedecer a figuras de autoridade confiantes entram no jogo.
Entender as táticas de pressão pode proteger tanto quanto qualquer recurso de segurança. Se alguém ao telefone insiste que você deve agir em segundos, que não pode desligar ou que precisa manter a ligação em segredo, isso é um forte sinal de que há algo errado.
"Qualquer atendente legítimo vai ficar satisfeito se você encerrar a chamada e retornar usando um número confiável."
Manter a calma, desacelerar a conversa e checar informações devolve a você o controle da interação. Somado a métodos modernos de login resistentes a phishing, esse comportamento reduz bastante a chance de um golpe telefônico bem ensaiado transformar um dia comum em uma crise financeira.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário