Por Nuno Mendes (*)

O CallerID spoofing é uma técnica maliciosa que permite a realização de chamadas de voz forjando o número do chamador. Isto significa que podemos receber chamadas de voz de números nacionais válidos e correr riscos de fraudes, reforçando a engenharia social normal e engenhosamente adotada neste tipo de campanhas.

O aproveitamento do CallerID spoofing para reforço da engenharia social permite, só por si, aumentar a confiança da vítima face à origem da chamada: para a generalidade dos cidadãos portugueses, uma chamada de um número de telefone do Cazaquistão, por exemplo, levantaria suspeitas mais óbvias que um número de nacional.

O aumento de fugas de dados privados, de variadíssimas organização e plataformas online – ou mesmo via campanhas maliciosas de infostealers (malware concebido para exfiltrar dados pessoais/confidenciais) – tem facilitado o trabalho aos grupos de cibercrime organizado, que utilizam verdadeiros call-centers para executar as suas atividades fraudulentas (incluindo extrair mais informações sensíveis, levar a instalar malware, etc.)

A 'cereja em cima do bolo', para a atividade cibercriminosa, é a utilização de tecnologia de IA para forjar também a voz de pessoas conhecidas ou familiares às vítimas e maximizar o sucesso e potencial das fraudes.

Tudo isto acontece nos dias que correm, pelo mundo inteiro e também em Portugal, com mais ou menos sofisticação envolvida.

Entre ontem e hoje eu mesmo recebi várias chamadas fraudulentas, provenientes de números legítimos, mas fazendo-se passar por operadores da Blockchain Archive. O assunto era a recuperação de uma carteira com 35 bitcoins, com algumas ações para resgatar essas criptomoedas. Sabiam obviamente o meu nome, tinham o meu número de telemóvel e o meu email (não é tão difícil no meu caso, que uso e partilho profissionalmente).

E recebi também chamadas de pessoas desconhecidas a questionarem-me porque telefonei e quem eu era. Claramente foram números usados por estas campanhas fraudulentas, com recurso a CallerID spoofing, e que mais tarde confirmei também.

Resumindo, todo o cuidado é pouco, mesmo para os mais atentos. Os níveis de desconfiança devem ser elevados para detetar este tipo de ataques.

(*) Diretor Geral da ESET Portugal