0
0
Por I-Ching Wang | Senior Director, Engineering da Thales
É amplamente discutido que os criminosos cibernéticos buscam o caminho mais fácil para maximizar o lucro. Eles também estão interessados em capitalizar sobre os mais vulneráveis e explorar crises, como durante a pandemia ou instabilidade política. Um de seus alvos favoritos é a geração mais velha. Criminosos motivados financeiramente aproveitam a pervasividade da tecnologia e a falta de discernimento suficiente para manipular sentimentos e emoções e talvez sair impunes com centenas de milhares de dólares por vítima. Para alcançar seus objetivos nefastos, os criminosos usam uma tática conhecida como spoofing de chamadas, que está se tornando mais bem-sucedida com o uso da Inteligência Artificial (IA).
O que é o spoofing de chamadas?
O spoofing de chamadas explora uma característica da telefonia Voice over IP (VoIP), o identificador de chamadas.
Spoofing é quando um chamador falsifica deliberadamente as informações transmitidas para a tela de identificação de chamadas para disfarçar sua identidade. Golpistas frequentemente usam duas táticas:
- Spoofing de vizinhança para que a chamada recebida pareça estar vindo de um número local, ou até mesmo de familiares ou amigos.
- Spoofing de um número de uma empresa ou agência governamental que você já conhece e confia. As empresas spoofadas favoritas são provedores de telecomunicações e bancos.
Se uma pessoa desprevenida atender, os fraudadores usam roteiros de golpes para tentar roubar dinheiro ou informações pessoais valiosas, como credenciais de login, que podem ser usadas em outras atividades fraudulentas.
Chamadas com números spoofados podem e realmente vêm de todo o mundo e representam uma proporção significativa e crescente de chamadas inconvenientes, é por isso que Ofcom, FCC e Australian Communications and Media Authority (ACMA) estão trabalhando com reguladores internacionais e indústrias envolvidas – telecomunicações e finanças – para resolver o problema.
Como funciona?
O popular programa 60 Minutes transmitiu um episódio com Rachel Tobac, uma hacker ética e CEO da Social Proof, para demonstrar como é fácil usar as informações encontradas online para enganar alguém. O apresentador do programa pediu a Tobac que visasse um colega desprevenido.
Tobac encontrou o número de celular do funcionário em um site de rede de negócios e marcou uma entrevista. Eles ligaram para o funcionário usando um aplicativo alimentado por IA para imitar a voz do apresentador do programa e pediram seu número de passaporte.
Tobac usou uma ferramenta de spoofing de chamadas para ligar para o funcionário se passando pelo apresentador. Ela também usou trechos televisivos encontrados online para clonar a voz do jornalista com a ajuda de um aplicativo alimentado por IA. “Levou cerca de cinco minutos”, disse Tobac.
Qual é o impacto?
Se um jornalista é uma pessoa pública e poderia ser facilmente spoofado, a dura verdade é que os atacantes podem spoofar qualquer pessoa, usando as próprias vozes das pessoas que conhecem. Eles usam informações publicamente disponíveis para entender os relacionamentos entre as pessoas e, em seguida, podem se passar por qualquer pessoa alterando o tom e a modulação de sua voz.
Os golpes de voz são principalmente bem-sucedidos com pessoas mais velhas, como outro episódio do 60 Minutes Australia demonstrou. O spoofing de chamadas tornou-se uma “scamdemia”, custando bilhões de dólares anualmente. E isso é apenas nos casos relatados.
Os criminosos não precisam mais se infiltrar nos computadores pela porta dos fundos. De acordo com o 60 Minutes, 95% dos golpes hoje acontecem depois que um usuário clica em um texto ou um link ou fornece informações pessoais por telefone. Golpistas armados com informações básicas como o nome de um parente encontrado online e um aplicativo que pode imitar uma voz ou alterar o identificador de chamadas podem criar uma história convincente.
Dicas úteis para proteção
O spoofing de chamadas é um problema que requer uma abordagem sistemática, e você não pode simplesmente culpar plataformas online, bancos ou empresas de telecomunicações pelo crescimento da ameaça. Profissionais de todas as indústrias envolvidas concordam que, para começar, os governos devem garantir que qualquer nova legislação seja adequada para um mundo digital.
Uma vez que um quadro legislativo esteja lá, as empresas de telecomunicações podem ter mais flexibilidade para reduzir os golpes de fraude por SMS e chamadas telefônicas falsas. Ao mesmo tempo, os bancos também podem tomar medidas para fortalecer o processo de validação da identidade de seus clientes.
A autenticação multifatorial deve ser um requisito para cada conta e transação online. Além de ser uma exigência no padrão PCI DSS 4.0 e na diretiva PSD2 na UE, é uma forte recomendação de todas as agências de cibersegurança nacionais e internacionais (ou seja, CISA, NCSC, ACSC, ENISA, etc.).
O objetivo por trás desses controles de autenticação é adicionar algum atrito ao processo de transação, deslocando um pouco o equilíbrio em direção à segurança. Em pagamentos online em tempo real, as ações são realizadas rapidamente. Ao colocar alguns obstáculos, como autenticação forte do cliente usando MFA, podemos retardar o processo para permitir mais verificações tanto nos bancos quanto nos clientes.
Esses bloqueios apresentam uma vantagem adicional, fazendo com que os criminosos “queimem mais calorias por dólar”. Como isso aumenta o custo de retorno do investimento deles, as chances são de que o fenômeno de spoofing de chamadas reduza, juntamente com o número de vítimas.
Do lado do cliente, as organizações oferecem conselhos úteis sobre o que fazer e o que não fazer se receberem uma chamada spoofed. Como Rachel Tobac colocou, a questão fundamental é ser “educadamente paranóico”. Se você receber uma ligação, uma mensagem de texto ou um e-mail, e estiver pedindo algo sensível, urgente ou com medo, é quando os sinos de alarme têm que tocar em sua cabeça. Desligue e verifique se essa pessoa é quem ela diz ser.
Saiba mais sobre as soluções de gerenciamento de acesso e autenticação da Thales, ou fale com um de nossos especialistas em proteção de dados para soluções que atendam a cada cenário e ajudem a minimizar o impacto do spoofing de chamadas.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.