Cibercriminosos estão usando bots como uma ferramenta para realizar golpes por telefone, conhecidos como vishing. O uso de bots de voz muitas vezes ajuda a convencer usuários desatentos de que se trata de uma ligação telefônica legítima e são usados para obter as senhas de uso único (OTP) ou o código de verificação, também conhecido como autenticação em dois fatores (2FA). Dessa forma, eles conseguem acessar contas de usuários em serviços como PayPal, Amazon, Coinbase ou instituições bancárias, entre outros, explica um artigo da Vice.
Por meio desses bots, chamados em inglês de OTP Bots, criminosos sem tantas habilidades de engenharia social encontram uma boa opção para persuadir vítimas em potencial. Nos golpes tradicionais por telefone, é o próprio criminoso que tenta convencer a vítima do outro lado da linha. Nesses casos, o risco da vítima perceber que se trata de uma fraude depende muito das habilidades do criminoso ao telefone. O que também acontece é que atualmente muitas empresas usam bots para fornecer atendimento ao cliente, e o som familiar devido à falta de personalização contribui para que a vítima não suspeite que algo está errado.
Para comprometer as contas usando o código de verificação, os cibercriminosos devem primeiro obter os dados de acesso (endereço de e-mail e senha) dos usuários. Lembremos que um bem bastante precioso no negócio do cibercrime são os dados pessoais, pois possuem valor comercial quando utilizados para realizar ataques de engenharia social. Uma das consequências mais comum dos ataques cibernéticos é o roubo de informações. Quando uma empresa ou serviço é vítima de um vazamento de dados, essas informações geralmente são colocadas à venda ou mesmo publicadas gratuitamente em fóruns clandestinos. Um exemplo disso é o que aconteceu recentemente com a plataforma de negociação Robinhood, que sofreu um ataque a seus sistemas que levou ao roubo de informações pessoais de 7 milhões de clientes. Poucos dias depois, as informações estavam sendo vendidas em fóruns de hacking.
Esses bots são comercializados em chats do Telegram ou Discord e podem ser obtidos por preços que variam de US$ 100 a US$ 1.000 por assinatura. Além disso, alguns oferecem alcance global.
Veja mais:
Depois que o atacante obtém o nome de usuário e a senha da conta que deseja comprometer, os criminosos inserem o número de telefone junto com um comando e o nome do serviço ou conta que desejam atacar; por exemplo, o PayPal. O bot então liga para a vítima e se faz passar pelo serviço, usa algum pretexto, como um movimento suspeito. Em um ponto da conversa, o bot pede à vítima para verificar sua identidade digitando um código que receberá em seu telefone. A vítima insere a senha que é automaticamente recebida pelo atacante por meio da ferramenta.
Veja como o golpe funciona:
Cuidado com esse tipo de golpe!
O uso desses bots mostra mais uma vez como os criminosos estão em busca de novas formas para realizar golpes. Diante desse cenário, é importante que os usuários saibam que esse tipo de fraude existe e que nunca devem inserir informações pessoais ou senhas caso não tenham entrado em contato direto com o serviço.