privacidade, vazamento de dados

Os golpes de visihing – espécie de phishing por ligação telefônica – estão ficando mais sofisticados com a utilização de robôs de conversação se passando por empresas. Em entrevista para Mobile Time, Daniel Cunha Barbosa, especialista em segurança da informação da ESET, detalhou como funcionam os voice bots criminosos.

“São bots de chamada telefônica (não funciona em WhatsApp, por exemplo). O criminoso instala um bot para se passar por uma empresa e coloca os dados da vítima, que recebe em seguida a ligação automática. O bot está configurado para fazer perguntas de acordo com os dados que o criminoso deseja capturar da vítima e repassar tudo para o criminoso”, disse Barbosa. “Tudo o que for digitado pelo usuário vai ser pego pelo bot. Inclusive o alfanumérico (som das teclas)”, completa.

Ainda sem casos no Brasil, os bots de voz para fins ilícitos já são usados nos Estados Unidos e foram tema de uma matéria recente da Vice sobre golpes que tornaram vítimas usuários de PayPal, Coinbase, Amazon e bancos norte-americanos em 2021.

O executivo da ESET explica que os bots de voz podem ser usados para diferentes tipos de golpes – de autenticação de duplo fator para controlar o WhatsApp ou Facebook da vítima e tudo o que está conectado a ela, até pedir para fazer uma transferência financeira.

Precaução

O especialista da ESET recomenda que os consumidores não passem dados pessoais quando receberem chamadas de voice bots. Isso só deve ser feito quando a ligação tiver sido iniciada pelo consumidor para um canal oficial de uma empresa.

“A principal característica do vishing é que ele é ativo. O ideal é que qualquer pessoa entre em contato ativamente com a empresa. Nunca aceite (contato) passivamente. Se a empresa está ligando, valide aquele número”, disse. “Empresas sérias tem serviços automatizados, mas é necessário que seja sempre o cliente entrando em contato. Além disso, o usuário deve desconfiar sempre de informações na web. Muitas vezes os criminosos têm uma URA que pode se passar pela empresa. Por isso é necessário validar aquele contato”, completa.

Para as companhias que estão entrando no universo do voice commerce, além de montarem seus bots passivos, Barbosa afirmou que o mais adequado é conscientizarem seus clientes: “Quando mandam mídia, entram em contato por telefone, as empresas devem sempre indicar ‘procurem nossas mídias oficiais’ e deixar claro que a empresa não liga de forma ativa”, disse. “A empresa não tem urgência no contato. A característica de urgência é inerente aos criminosos. Esse tipo de ataque de engenharia social é basicamente uma conversa entre duas pessoas, só que uma delas é criminosa”, conclui.