Trabalhando como combatente de fraudes na linha de frente todos os dias, não há um golpe ou ameaça que eu não tenha visto. O que faço no trabalho me torna cético em relação a cada mensagem de texto, telefonema ou e-mail que recebo - muito mais do que o consumidor comum. Então, imagine quando recebi uma ligação do meu banco que parecia tão autêntica que, por um momento, não duvidei de sua legitimidade. Foi exatamente isso que aconteceu comigo recentemente, quando fui contatado por alguém que se fazia passar pelo meu banco. Mas eu estava curioso e queria explorar os métodos do fraudador diretamente. Em vez de desligar o telefone, entrei na brincadeira.
Nos primeiros momentos da interação, aconteceram várias coisas que me fizeram acreditar que se tratava de uma chamada legítima. Primeiro, o número que apareceu no meu identificador de chamadas era um número de telefone legítimo do banco. Cheguei até a verificar os detalhes no site do banco enquanto aguardava na espera. Embora a falsificação telefônica não seja algo novo, não é muito comum no Brasil ver isso em grandes empresas.
Em segundo lugar, fui colocado em espera e fiquei aguardando por um longo tempo. Quando atendi, a gravação me informou sobre os detalhes de uma compra específica e me pediu para pressionar (1) se eu reconhecesse a transação ou pressionar (2) se eu não a reconhecesse. Ok, nada de novo aqui, mas o que me chamou a atenção foi que, depois de pressionar 2, fiquei em espera por mais de cinco minutos. Isso é muito diferente da maioria dos golpes em que um “agente” atende o telefone em segundos.
Por fim, quando a “agente” finalmente atendeu ao telefone, ela me informou que, por motivos de segurança, eu não precisava fornecer nenhuma informação pessoal. Nesse momento, ela confirmou meu nome completo e outros detalhes confidenciais. Depois de confirmar os dados, ela me informou novamente sobre a transação suspeita e me garantiu que tudo seria automaticamente reembolsado na conta, e que ela prosseguiria com o cancelamento do dispositivo que tentou fazer a transação.
O script era impecável. Para manter a confiança (e a ligação), ela me disse que, enquanto eu confirmava as informações, um relatório em PDF estava sendo gerado para eu usar legalmente em caso de qualquer perda financeira. Além disso, ela me informou que, se a ligação falhasse, eu poderia simplesmente ligar para o número oficial no site do banco!
Embora eu quisesse acreditar que se tratava de um golpe, todas as evidências apontavam para uma ligação legítima. Eu estava esperando o truque - e então ele aconteceu. A chamada caiu de repente.
Antes mesmo de pensar em retornar a ligação, recebi uma chamada pelo WhatsApp com o logotipo do banco, mas de um número privado incomum. Foi aí que descobri o ponto fraco do processo. Mas a curiosidade levou a melhor e fiquei intrigado em saber mais sobre suas técnicas, então atendi a chamada.
A “agente” pediu desculpas e disse que o processo continuaria via WhatsApp para facilitar a comunicação. Mais uma vez, ela me disse que o relatório estava quase pronto, só faltava uma etapa: eliminar o dispositivo suspeito. BINGO!
Mas como? Sem nenhuma surpresa para mim, a “agente” solicitou que eu usasse o recurso de compartilhamento de tela no WhatsApp (honestamente, eu esperava uma solicitação para baixar um aplicativo de compartilhamento de tela). Compartilhei minha tela com muita relutância, mas eu tinha que conhecer o roteiro deles. Depois de me fazer passar por várias páginas e tentar me confundir, fui parar em uma página que exigia uma senha. É nesse momento que eles roubam sua senha e é nesse momento que eu desligo.
Há vários métodos comuns de falsificação de identidade bancária usados por fraudadores no Brasil. O descrito anteriormente (roubo de credenciais e exclusão do dispositivo original) é um golpe bem conhecido. Outro método comum é o de phishing para obter códigos de transferência PIX. Nesse golpe, um fraudador envia um código por SMS que, em teoria, é um código de segurança para proteger a conta, mas que, na verdade, é um código de transferência do PIX. O código contém a string “Proteção de Crédito”, embora ainda não se saiba como eles fazem isso.
Embora essa experiência explore um tipo muito comum de golpe, ela esclarece a sofisticação inquietante das técnicas de fraude e o conhecimento profundo dos processos e protocolos bancários que os fraudadores adquiriram. A combinação de detalhes autênticos, tempos de espera prolongados, um discurso muito claro e profissional e a mudança inesperada para o WhatsApp demonstraram um nível de astúcia que transcende os métodos convencionais de fraude.
Em retrospecto, comecei a pensar nas maneiras pelas quais esse golpe poderia ser detectado com a tecnologia BioCatch. Havia muitos indicadores que teriam aumentado significativamente o risco dessa transação. Alguns desses fatores de risco incluem:
1) Chamada ativa. Os dados de BioCatch mostram que menos de 1% dos usuários do Android estão em uma chamada telefônica ativa enquanto realizam simultaneamente uma atividade bancária móvel. Esse comportamento, no entanto, é observado em mais de 50% dos casos de fraude confirmados.
2) Transmissão de tela. Nenhum banco jamais pedirá aos clientes que compartilhem suas telas, portanto, isso é um sinal de alerta.
3) Ferramenta de acesso remoto instalada. Esse script exigia o uso do recurso de compartilhamento de tela existente no WhatsApp, um aplicativo muito comum já instalado na maioria dos dispositivos no Brasil. No entanto, em outras partes do mundo, onde o WhatsApp não é tão comum, os fraudadores tentarão fazer com que as vítimas baixem uma ferramenta de compartilhamento de tela, como o TeamViewer, como forma de fazê-las compartilhar sua tela. Uma ferramenta de acesso remoto instalada recentemente pode contribuir para uma pontuação de risco de fraude mais alta.
Como combatente de fraudes, se eu fui enganado, mesmo que apenas por um momento, isso mostra o quanto esses esquemas se tornaram confiáveis e profissionais. Esse encontro serve como um forte lembrete de que a vigilância e a educação são nossa maior defesa. Embora as proteções tecnológicas sejam essenciais, o elemento humano continua sendo igualmente importante.