– Alô, quem é?
A boa educação sugere que quem liga se identifique no começo da chamada telefônica. Mas como quem atende pode se certificar de que a informação é verdadeira? A autenticação do originador da chamada é uma dificuldade que persegue o serviço telefônico desde os tempos da telefonia discada e que os fraudadores se aproveitam. De um ano para cá, os golpes ficaram ainda mais sofisticados, simulando operações de call center, e aumentando as perdas financeiras das vítimas. Como consequência, surgiram também inúmeras soluções para combater o problema, mas nenhuma bala de prata. Uma com grande potencial é a iniciativa Origem Verificada (antigamente conhecida como STIR/SHAKEN), liderada pela Anatel e com lançamento previsto para novembro, mas que enfrenta desafios de ordem técnica e comercial. Nesta matéria, Mobile Time procura contextualizar a questão, apresentar as diferentes soluções e dar voz às instituições financeiras que enfrentam o problema para proteger seus clientes.
Na telefonia fixa, por muitas décadas, a impossibilidade de se identificar o número do chamador foi um prato cheio para pessoas mal intencionadas. O anonimato facilitava quem queria realizar trotes, ameaças ou extorsões. Foram criados aparelhos capazes de mostrar o número do chamador, mas custavam caro e não se popularizaram.
O surgimento da telefonia móvel parecia que acabaria com o problema, já que, a partir do 2G, com a digitalização das redes, os celulares passaram a exibir na tela o número de quem liga. Mas o barateamento do serviço com planos pré-pagos tornou possível o uso de números praticamente descartáveis. Era muito fácil comprar e ativar um chip fornecendo dados falsos ou de laranjas.
Diante do uso de linhas pré-pagas para golpes, em 2018 a Anatel exigiu que as operadoras fossem mais rigorosas no processo de cadastro de novos usuários e conferência da documentação apresentada. Só que isso não foi suficiente para resolver o problema.
Os fraudadores então se sofisticaram. Adotaram soluções tecnológicas para não revelar seu número ou para substituí-lo por um falso, de forma a enganar a vítima, uma técnica conhecida como spoofing. Não tardou para experimentarem táticas como simular o número real de uma empresa, como os call centers de bancos; ou usar os quatro dígitos iniciais do telefone da vítima, na tentativa de parecer alguém do mesmo plano ou da mesma empresa; ou até usar um número igual ao da vítima, fazendo com que atenda por estranhar aquilo.
As ondas de golpes telefônicos
Os golpistas telefônicos são criativos. Estão sempre testando novas abordagens. Quando encontram uma que gera resultados, ela se transforma numa fórmula que é repetida à exaustão, até parar de funcionar porque a maioria da população já a conhece e não cai mais no golpe. É como se fossem ondas. Quando passa uma, chega outra. Cada onda pode durar vários meses, às vezes anos, até perder força.
Quando o telefone fixo ainda era comum nas residências brasileiras, por exemplo, houve a onda do falso sequestro. Os criminosos ligavam se fingindo passar por um filho ou filha chorando e dizendo que estava nas mãos de bandidos. As ligações eram feitas para números telefônicos fixos aleatórios e sempre de madrugada. Pega de surpresa, no meio do sono, a vítima muitas vezes acreditava na história e ia se encontrar com um comparsa do bandido para pagar um resgate e salvar o parente que, na verdade, não havia sido sequestrado.
A onda do falso sequestro era operacionalizada de dentro das prisões, por criminosos que tinham acesso a telefones celulares contrabandeados. Depois, descobriu-se que havia uma nova facção criminosa no Rio de Janeiro especializada em golpes telefônicos de dentro dos presídios, conforme revelado por uma série de reportagens do jornal O Globo.
O mais recente golpe a se popularizar aproveitando a dificuldade de autenticar o originador da chamada é o do falsa central telefônica. Ainda mais elaborado, simula o contato de uma central de segurança de um grande banco para alertar o cliente de que seu cartão teria sido clonado e usado em compras fraudulentas de alto valor. Nesse golpe, os bandidos costumam saber o nome completo e o telefone da vítima, além de emular o linguajar de atendentes de call center, o que aumenta a sensação de se tratar de uma chamada legítima do banco. O objetivo é, ao longo da conversa, capturar dados de um cartão verdadeiro da vítima ou até mesmo acessar sua conta bancária. Os primeiros relatos desse golpe apareceram na grande mídia no fim de 2023. Em setembro de 2024, 65% dos brasileiros com smartphone relatam já ter recebido uma chamada com essa tentativa de golpe da falsa central telefônica e 11% admitiram ter perdido dinheiro com ele, informa pesquisa Panorama Mobile Time / Opinion Box.
Múltiplas soluções, nenhuma definitiva
Ao longo dos últimos anos, surgiram várias soluções para combater o problema, criadas por operadoras, pela Anatel e por provedores de software. Mas nenhuma é definitiva.
Em 2022, a Anatel tornou o prefixo 0303 obrigatório para o uso em chamadas de telemarketing ativo. É uma forma de identificar o propósito das ligações, permitindo ao consumidor fazer uma escolha consciente sobre atender ou não a ligação. A medida diminuiu o volume de chamadas indesejadas de telemarketing, enquanto os golpistas seguiram operando com linhas móveis e mascarando números – assim como fizeram empresas irregulares de telemarketing.
Surgiram também aplicativos capazes de identificar se uma chamada é spam ou uma tentativa de golpe, alertando o usuário na tela do smartphone quando este toca. É o caso, por exemplo, do Truecaller. Alguns aparelhos inclusive já vem com essa funcionalidade embarcada de fábrica, como os modelos da Samsung. A identificação é feita de maneira colaborativa, com sua base de números suspeitos sendo construída a partir da denúncia dos próprios usuários. Só que os fraudadores trocam rapidamente de número tão logo percebem que o anterior está sendo bloqueado. Vira uma perseguição interminável de gato e rato.
Para combater especificamente o golpe da falsa central telefônica, o Nubank criou uma solução dentro do seu app batizada como “chamada verificada”. Se o cliente receber uma ligação se dizendo do Nubank, basta abrir o app para verificar, pois aparece um alerta na tela inicial confirmando que a chamada é legítima. Se não houver nada, é falsa.
Também mirando o golpe da falsa central telefônica, a TIM está desenvolvendo uma API do Open Gateway chamada “Scam Call”. Se um banco identificar uma movimentação financeira suspeita, poderá verificar em tempo real junto à operadora se o seu cliente está, naquele momento, em uma chamada telefônica. Em caso positivo, a solução informa se é uma chamada recebida ou realizada pelo cliente, e a duração da ligação até aquele momento. Essas informações contribuem para o banco avaliar melhor o risco da transação suspeita, pois em geral o golpe da falsa central demanda longas ligações.
Outra solução foi criada pela DMA, com o nome de “Protect Call”, e está sendo utilizada por mais de 10 instituições financeiras, incluindo Banco do Brasil e Itaú. Ela consegue bloquear chamadas recebidas de números classificados como sendo de golpistas. Uma mensagem de alerta é exibida na tela do smartphone, informando ao cliente que a ligação foi bloqueada com sucesso. Apenas números indicados pelas empresas contratantes são bloqueados. Cerca de 2 mil números já foram cadastrados. A beleza dessa solução é que funciona em qualquer um dos 130 milhões de smartphones no Brasil com app de alguma das mais de 150 empresas que usam o SDK da DMA. Em cinco meses de operação, a Protect Call bloqueou mais de 500 mil chamadas.
A esperança na Origem Verificada
Uma das grandes esperanças do mercado para a autenticação de chamadas de empresas reside no projeto Origem Verificada (antigamente chamado de STIR/SHAKEN), liderado pela Anatel. Ele consiste na implementação de uma plataforma pelas operadoras para identificar a empresa que origina a ligação, apresentando na tela do smartphone um selo de autenticação, junto com o nome e a logomarca da empresa, e até o motivo da ligação.
Na teoria, a Origem Verificada tem potencial para ser a solução padrão de mercado para a autenticação de chamadas de empresas. Mas na prática enfrenta muitos desafios. O principal deles é técnico. Não basta as operadoras implementarem a plataforma, é preciso que os smartphones sejam compatíveis. E nem todos são. E, entre aqueles habilitados, a experiência pode variar.
Os terminais da Samsung com versão do Android 10 ou superior estão parcialmente compatíveis: mostram o nome da empresa e o checkmark com o texto “Número Validado”. E aqueles a partir de Android 14 estão sendo atualizados para compatibilidade completa, exibindo na tela a logomarca e o motivo da chamada. Os demais terminais, de qualquer fabricante, com Android 11 ou superior, possuem compatibilidade parcial. Os modelos da Apple, a partir do Iphone 10, estarão compatíveis na próxima janela de atualização, que ocorre em dezembro deste ano.
Outra restrição técnica é que o serviço de Origem Verificada só funciona quando o usuário estiver com cobertura 4G ou 5G. Nas redes 2G ou 3G não funciona.
E há também o desafio comercial. As instituições financeiras precisam ser convencidas a adotar a Origem Verificada. Isso vai depender do preço do serviço e da sua eficácia.
A Anatel pretende lançar a Origem Verificada no dia 5 de novembro, no aniversário da agência reguladora. Antes disso, mais detalhes do projeto serão apresentados no evento MobiMeeting Finance + ID, dia 30 de outubro, no WTC, em São Paulo, por Marco Antônio Gomes, coordenador do processo de acompanhamento da relação entre prestadoras da Anatel.
Analytics e educação do consumidor
Além de experimentar várias das soluções disponibilizadas no mercado para combater golpes telefônicos, os bancos apostam em duas frentes: análise de dados com inteligência artificial e campanhas educacionais dos clientes.
A análise de dados consiste em entender o padrão de comportamento de cada usuário e identificar alguma transação suspeita. Quando isso ocorre, é preciso entrar em contato contato o mais rápido possível com o correntista através de um canal que ele confie para validar ou não a transação – pode ser uma chamada telefônica, uma mensagem no WhatsApp etc.
“Investimos cada vez mais em TI embarcada e inteligência artificial analítica para identificar se um ato do fraudador diverge da prática do cliente”, diz Luiz Paulo Bittencourt, gerente de segurança institucional do Banco do Brasil, em entrevista para Mobile Time.
A mesma estratégia é adotada pelo Itaú Unibanco. “Em 2023, investimos R$ 3,1 bilhões em tecnologia e negócios de diversas frentes do banco, o que nos permitiu implementar 600 modelos de inteligência artificial, sendo 50 deles focados na área de segurança. Apenas nos primeiros três meses de 2023, nossos sistemas processaram mais de 1,4 bilhão de transações, resultando em uma redução de aproximadamente 30% nos valores contestados por fraudes, o que beneficiou diretamente mais de 7 mil clientes”, relata Richard Bento, superintendente de segurança corporativa do Itaú Unibanco
Além da IA, campanhas educacionais são fundamentais para que os clientes tomem medidas de segurança e não caiam em golpes. Em setembro deste ano, o Itaú lançou o Hub de Segurança, um ambiente no app que reúne todas as informações sobre suas iniciativas de proteção digital. Entre as medidas adotadas pelo banco estão uso de dados de geolocalização; solicitação de iToken; reconhecimento facial; dentre outros.
E o Banco do Brasil tem feito várias campanhas educacionais para alertar seus clientes. Bittencourt resume a mensagem da seguinte forma: “Desconfie sempre: sinal amarelo ligado o tempo todo. Pode até estar rejeitando uma central verdadeira, mas é melhor do que cair em um golpe. Na dúvida, ligue de volta para o banco”.
O impacto no comportamento da população
Não são apenas os criminosos que se aproveitam de recursos tecnológicos e da compra de bases de dados para importunar as pessoas com ligações indesejadas. Isso também é feito por empresas de telemarketing e de recuperação de dívidas. Em 2021, pesquisa realizada por Mobile Time e Opinion Box apontou que 89% dos brasileiros com smartphone se incomodavam com chamadas indesejadas de televendas. Além disso, 88% já tinham recebido chamadas de cobrança que buscavam por nomes desconhecidos e 72% haviam sido alvo de tentativa de golpe em chamada telefônica.
Houve também um boom no Brasil de chamadas automatizadas, feitas por robôs, conhecidas como “robocalls”, em que a ligação é desligada logo após ser atendida. O objetivo costuma ser checar se aquele número é válido, para esquentar cadastros.
A avalanche de golpes, chamadas de telemarketing e ligações de cobrança acabou alterando o comportamento dos brasileiros com seus telefones. É cada vez mais raro atender chamadas de números desconhecidos. E uma nova etiqueta de comportamento surgiu, com o envio de mensagem de texto para avisar antes de fazer uma ligação – como apontou outra pesquisa de Mobile Time e Opinion Box.
A ameaça da IA
Com o trabalho educacional feito pelos bancos e toda a exposição na mídia, a onda da falsa central telefônica está passando. Esse golpe, assim como o do pedido de Pix no WhatsApp, está “em forte declínio”, afirma Bittencourt, do Banco do Brasil.
Mas a história mostra que, quando uma onda acaba, outra começa. Por isso, as áreas de segurança das instituições financeiras e o público em geral precisam estar sempre alertas. Há bastante temor, por exemplo, quanto ao futuro uso de inteligência artificial pelos criminosos, especialmente para a produção de deep fakes, como a clonagem de voz.
“O áudio é um ponto de preocupação. As pessoas caem quando alguém liga chorando dizendo que é o seu filho, mesmo quando a voz não é parecida. Imagine se os criminosos conseguirem clonar a voz do filho? E se conseguir gravar um video com a imagem da pessoa? Isso me preocupa sim”, comenta o executivo do Banco do Brasil.
Independentemente da sofisticação por trás de um golpe, o “desconfiômetro” da vítima pode funcionar melhor que qualquer solução tecnológica. Na dúvida de quem está por trás do alô, o melhor a fazer é desligar.
—————————————————
MobiMeeting
O combate a fraudes e golpes no setor financeiro vai ser tema do painel de abertura do MobiMeeting Finance + ID, dia 30 de outubro, no WTC, em São Paulo, com as participações de:
Adriana Umeda, head de risco, Visa
Alexandre de Oliveira, vice-presidente de risco e compliance, Getnet
Bruno Ribeiro da Fonseca, superintendente de segurança corporativa, Bradesco
Fabiola Marchiori, vice-presidente de engenharia e gerente geral de combate a fraudes, Nubank
Luciana Gomes, head de prevenção a fraude, Agibank
A agenda atualizada e mais informações estão disponíveis em www.mobimeeting.com.br
Ilustração no alto: Nik Neves para Mobile Time