Estamos "quase" acostumados com o phishing, o e-mail fraudulento que tenta roubar nossos dados. E também para smishing, a variante via sms. Mas e o vishing, oúltima variante sofisticada da clássica armadilha telefônica via voz. Funciona assim: recebemos uma chamada telefónica, preferencialmente no nosso telemóvel para que o número a chamar seja visualizado de forma clara e imediata. Aí está, nosso número de confiança. Acompanhado, como frequentemente acontece agora, de uma inscrição que o identifica claramente, por inteiro. O nosso banco, companhia de seguros, operador de gás ou electricidade contacta-nos. Ou talvez a Agência de Receita, porque é exatamente isso que diz em nosso visor. E depois há aquela voz profissional que nos deixa imediatamente à vontade. Há um problema com a conta bloqueada, mas podemos resolvê-lo junto com nosso parceiro eficiente no momento. Há algo errado com a conta, mas podemos corrigi-lo imediatamente. Uma voz nos guiará: basta inserir algum código pessoal e seguir o procedimento indicado. O número que aparece parece uma garantia absoluta. Nós confiamos. Ai de nós.
Como funciona o golpe
O vishing (phishing de voz) não nasceu ontem, mas há algum tempo tornou-se verdadeiramente insidioso graças à combinação com outra maldição das tecnologias de telecomunicações: o falsificação de identificador de chamadas, sobre o qual já falamos extensivamente, ou seja, o manipulação do número transmitido ao telefone receptor, que parece ser o que não é. Os artifícios e procedimentos para implementar o truque são amplamente utilizados por call centers que nos massacram todos os dias para nos fazer mudar de prestador de serviço ou nos oferecer improváveis oportunidades de investimento. Mas há, de fato, algo pior: a falsificação do identificador de chamadas usada para ganhar nossa confiança e talvez esvaziar nossa conta bancária.
Do outro lado do telefone, tentando fraudar, muitas vezes há um criminoso profissional sofisticado, uma organização fraudulenta complexa, capaz de fazer uso habilidoso dos chamados Engenharia social, o conjunto de técnicas que se baseiam em sentimentos inatos: confiança e medo, ganância e altruísmo. A dinâmica é a de dois tempos: alterar as nossas emoções colocando-nos perante um acontecimento inesperado, para nos oferecer de imediato um salva-vidas que nos garanta uma solução quase imediata. Um bom atendimento, que vem daqueles que já escolhemos para resolver nossas tarefas do dia a dia. Por que se surpreender?
O catálogo de armadilhas
Existe um verdadeiro catálogo personalizado nos golpes implementados com essas técnicas. O malfeitor sabe que está atacando uma pessoa idosa e provavelmente não muito inteligente? Eis a paragem do que julgamos ser o nosso banco: está em curso um ataque informático que é preciso desactivar alterando os códigos de acesso à conta. Quem estiver do outro lado do fone pode fazer isso diretamente. Basta dar-lhe os códigos. E depois, em conjunto e via telefone, o procedimento de validação da operação a partir do nosso telemóvel, visto que esta é hoje uma prática universalmente difundida precisamente para coibir fraudes. E a gangue com quem ele trabalha funcionários autodenominados da Receita Federal que nos informam do prazo até o dia da possibilidade de sanar tributos não pagos (dos quais podemos não ter conhecimento) evitando multas muito pesadas? Mesma técnica: operação via telefone "e tudo se encaixa retificando o passado e sem sanções evitadas no último minuto".
Conta, códigos, mensagens de confirmação, validação da operação: tudo feito com a colaboração do funcionário diligente e extremamente prestativo. Afinal, é verdade ou não que todos, absolutamente todos, os últimos governos em exercício colocaram em prática projetos fantásticos para o "fiscal amigo"? Tão simpáticos que algum autoproclamado funcionário particularmente dedicado à proteção dos idosos até se oferece para enviar alguém para coletar o dinheiro necessário diretamente em nossa casa: o número que aparece em nosso visor é o comprovante e o novo telefonema que receberemos "para segurança" quando o responsável se prestará a tocar a campainha. Parece incrível, mas alguém se apaixona por isso hoje novamente.
Atenção: se os incômodos causados pelos exemplos que acabamos de dar são certamente relevantes, há muito mais para nos criar potenciais problemas. Não só a partilha dos dados do nosso cartão de crédito, mas também a simples solicitação dos dados de um documento e da nossa conta à ordem pode expor-nos a uma série infindável de fraudes: por exemplo, a estipulação de empréstimos em nosso nome.
Como prevenir e como nos defender
Primeira regra universal: nossos dados, sejam eles quais forem, não funcionam nunca compartilhado nem simplesmente confirmado por telefone, nem mesmo se o chamador for o funcionário do nosso banco ou o funcionário da empresa da qual somos clientes. No entanto, uma solicitação desse tipo é anômala, na prática não respeita quem opera corretamente nas regras. Deve nos avisar imediatamente sobre uma tentativa de fraude. E menos do que nunca é melhor atender números desconhecidos ou obscuros. Se for o caso, vamos deixar inserido secretária eletrônica, ouça a mensagem e depois avalie com calma a situação: se acharmos que existe uma possibilidade real de que a ligação seja autêntica, bastará ligar novamente para aquele número.
Mas para maior segurança, vamos tomar mais precauções: se a chamada foi recebida em um telefone fixo, ligue de volta de um celular e não do mesmo aparelho, que no caso de um telefone tradicional ainda é conectado à central com fio de cobre trançado par (objetivamente raro, mas ainda acontece hoje) pode ter sido momentaneamente desconectado e reconectado a um simulador de linha pelos criminosos diretamente da cabine telefônica local. Uma burla dentro de uma burla, mas impossível de concretizar se o nosso telefone fixo funcionar com uma ligação de fibra ótica que chegue diretamente a casa.
Suspeitamos que fomos submetidos a uma tentativa de vishing? Ou talvez apenas tenhamos caído nessa? Os passos a seguir são imediatamente intuitivos. Primeiro passo: alteramos instantaneamente os códigos de acesso que compartilhamos. Segundo passo, possivelmente contemporâneo: para tentar desarmar o produto fraudulento, notificamos imediatamente a empresa ou operadora envolvida. Terceiro passo (também rápido): vamos fazer um denúncia exposta na delegacia de polícia ou na delegacia local dos Carabinieri.
