Igor Kuksov
Em 01/09/2017 no site Kaspersky
Leitores desse blog já conhecem golpes por telefone – você provavelmente até já recebeu uma ligação esquisita ou duas. Contudo, não aceita ofertas de estranho ou fornece informações pessoais ao falar com eles, então sem problema não é mesmo?
Bem, a resposta é não. Não só não, como não mesmo. Há pouco tempo, a Comissão Federal de Comunicações (FCC na sigla em inglês) dos EUA emitiu um alerta sobre um golpe de telefone curioso. Criminosos ligam para suas vítimas e fazem perguntas aparentemente inocentes: “Pode me ouvir?” -uma resposta “Sim” é tudo que precisam. Utilizando a gravação da afirmativa, inscrevem as vítimas em serviços pagos, que serão incluídos na conta de telefone.
O tipo de golpe no qual serviços adicionais são incluídos na conta do cliente sem seu consentimento (por exemplo, mensagens diárias com horóscopo ou notícias) é chamado cramming (encher).
Considere diversos pontos alarmantes sobre esse tipo de golpe. Como isso sequer é possível? Por que a polícia não faz nada? É realmente possível usar uma gravação de voz para inscrever alguém em um serviço adicional?
Tecnicamente, o golpe é possível porque as operadoras de telefone permitem incluir serviços terceiros na conta do usuário.
O truque em si não é novo: 800Notes.com, site que lista telefones suspeitos, informou sobre o esquema pela primeira vez ainda em 2008. Naquele tempo, era usado para impor serviços às empresas. De acordo com esses que morderam a isca, as gravações de áudio eram editadas de modo que parecia que a vítima concordou em adquirir um serviço pago.
Autoridades estão tentando combater o golpe. Em 2015, a FCC obrigou as gigantes da comunicação Verizon e Sprint a pagarem uma multa de US$ 158 milhões em virtude de queixas de clientes a quem foram impostos serviços. Ainda assim, técnicas de fraude como essa podem acabar crescendo, acompanhando o desenvolvimento das tecnologias da comunicação.
Voice banking
Com o crescimento da popularidade da autenticação por voz, em futuro próximo algo similar ao cramming pode se tornar um problema no setor bancário. Por exemplo, um dos maiores bancos no Reino Unido, o Barclays, introduziu autenticação por voz para todos os clientes privados em 2016.
O HSBC também permite que clientes utilizem essa forma de autenticação no lugar de senhas. Clientes tem de ligar para o banco e realizar a validação por meio de uma palavra código e dizem em voz alta “Minha voz é minha senha”.
A corporação global financeira alega estar protegida contra tentativas de transpassar seu sistema por meio de gravações por voz de seus clientes. Supostamente, a tecnologia de Biometria por voz cria uma impressão vocal que reconhece nuances físicas e comportamentais do discurso de alguém.
Além disso, golpes de telefone terão de encontrar uma forma de fazer com que o cliente diga a frase secreta inteira. O que parece pouco possível, contudo podem fazer com que o cliente fale as palavras que precisam uma a uma, em diversas ligações.
Assim que alguém consegue inventar uma forma de enganar as pessoas, outro pensará em uma forma de evitá-la. Por exemplo, a Pindrop criou uma tecnologia que leva em conta diversos fatores – incluindo localização – ao avaliar a autenticidade de uma validação remota. Uma chamada do outro lado do planeta irá alertar o sistema, por exemplo. Bancos usam esse tipo de tecnologia antifraude.
Outro sinal – embora não muito preciso – é o canal de comunicação escolhido. De acordo com estatísticas do Pindrop, golpistas usam o VoIP em 53% dos casos -se comparamos aos clientes genuínos, a proporção é bem diferente, com apenas 7% usando o VoIP para contatar seus bancos. Por essas razões, o sistema identifica automaticamente chamadas por VoIP.
Naturalmente, golpistas reagem – por exemplo, ao estimular conexão de baixa qualidade, que teoricamente torna mais difícil para o sistema identificar o remetente. Evidentemente, ataques por celular expandirão seus arsenais com ferramentas novas e poderosas logo.
Não diga nada
O projeto VoCo, conhecido por “Photoshop para vozes” foi demonstrado na Adobe MAX conference em 2016.
Depois de analisar fragmentos de discurso, o sistema gera uma amostra da voz da pessoa, e inclui palavras faladas que não foram ditas na gravação fonte. A invenção, de acordo com relatórios da BBC, já causou preocupação entre especialistas de segurança da informação. O VoCo, assim como seu ancestral gráfico, pode se tornar uma ferramenta que permita lesar as pessoas, ou burlar sistemas de autenticação por voz.
A Adobe não é a única. O Google anunciou seu próprio projeto de síntese de discurso realístico em 2016, e uma startup canadense, chamada Lyrebird anunciou sua tecnologia de geração de fala em abril de 2017. Uma gravação de 1 minuto é suficiente para treinar o sistema a dizer frases aleatórias com a voz de uma pessoa gravada anteriormente (você pode ouvir um discurso sintetizado entre políticos americanos aqui). Os próprios desenvolvedores admitiram que a capacidade de síntese de fala do software é potencialmente perigosa, especialmente para políticos.
Os fundadores da Lyrebird resolveram a questão ética da tecnologia com a seguinte frase: “Esperamos que todo mundo logo esteja certo que essa tecnologia existe e que copiar a voz de alguém é possível.”
Como lidar com isso
1. As especificidades do ataque em que a vítima é coagida a dizer uma única palavra (“Sim”) pede por uma solução radical. O FCC recomenda não responder chamadas de número desconhecidos. Se alguém realmente quiser falar com você, deixará uma mensagem.
2. Não revele dados pessoais.
3. Sempre verifique notas fiscais e contas de itens inesperados.
4. Um método individual que oferece alguma proteção contra alguns spams de telefone é editar suas informações de contato no cadastro de empresas de telemarketing.
Nenhum comentário:
Postar um comentário