A Europol emitiu um forte apelo à ação contra a falsificação de identificação de chamadas, alertando que a técnica é cada vez mais usada por fraudadores para facilitar crimes financeiros e ataques de engenharia social. A agência afirma que os fraudadores manipulam o número mostrado aos destinatários da chamada para que a chamada pareça vir de uma instituição confiável, de um órgão governamental ou de um contato familiar. Essa identidade deturpada permite que os criminosos enganem as vítimas para que revelem detalhes pessoais, autorizem pagamentos ou entreguem dados confidenciais.
Em seu relatório, a Europol notes que falsificou chamadas é responsável por cerca de 64% dos casos relatados de comunicação telefônica fraudulenta em todo o mundo, e que as perdas com esses tipos de ataques são estimadas em cerca de 850 milhões de euros por ano.
A ameaça não se limita a um país ou região, pois a natureza transfronteiriça desses ataques complica as investigações policiais, porque os invasores geralmente originam chamadas fora do país da vítima, reduzindo assim a rastreabilidade.
A falsificação do identificador de chamadas não é simplesmente um aborrecimento ou incômodo. É um facilitador fundamental em fraudes mais graves. A análise da Europol identifica que as chamadas falsificadas ajudam os criminosos a se passarem por organizações legítimas, o que torna as vítimas muito mais propensas a cumprir as demandas. Por exemplo, os criminosos podem fingir ser um banco, uma autoridade fiscal ou um provedor de serviços públicos e convencer uma pessoa a transferir dinheiro ou revelar credenciais.
A técnica também suporta os chamados golpes de “suporte técnico”, nos quais os chamadores afirmam ser de uma empresa conhecida e pedem às vítimas que instalem um software de acesso remoto. Depois que o controle do dispositivo é concedido, os criminosos podem extrair dados, instalar malware ou desviar fundos. Em casos extremos, o grupo destaca incidentes de “swatting” em que uma chamada falsificada aciona uma resposta dos serviços de emergência para o endereço residencial da vítima, criando risco à vida e à propriedade.
A Europol adverte que o spoofing é frequentemente oferecido como um “serviço” por grupos criminosos. Eles fornecem ferramentas, infraestrutura ou plataformas que permitem que outras pessoas realizem chamadas falsificadas sem conhecimento técnico profundo. A existência de tais serviços reduz a barreira à entrada de fraudes, permitindo que até mesmo pequenos atores usem fortes táticas de engano.
Por que razão a Europa enfrenta desafios específicos?
As agências europeias de aplicação da lei reconhecem vários desafios estruturais no combate à falsificação. As redes e regulamentos de telecomunicações de muitos países não foram construídos com a prevenção de fraudes ou a verificação da identidade do chamador como uma preocupação central. Como resultado, os números falsificados podem ser roteados por meio de uma variedade de redes, incluindo canais de Voz sobre Protocolo de Internet, o que complica o rastreamento de origem e dificulta a aplicação.
Uma pesquisa da Europol em 23 países descobriu que a aplicação da lei muitas vezes carece de mecanismos de colaboração com as operadoras de telecomunicações, tem acesso limitado a dados técnicos sobre chamadas falsificadas e enfrenta legislação inconsistente além das fronteiras. Por exemplo, quando um número falsificado parece se originar em um país, mas o chamador está realmente fora dele, as estruturas legais para investigação e assistência mútua tornam-se esticadas e lentas.
Além disso, muitas redes não autenticam a identificação da linha de chamada (CLI) ao estabelecer chamadas. Sem a verificação do número exibido, os usuários podem ser enganados facilmente e os provedores não podem rastrear com segurança a verdadeira origem da chamada. De acordo com a Europol, a aplicação fragmentada das normas técnicas nos Estados-Membros é uma das causas profundas da vulnerabilidade.
Impacto financeiro e custo humano do spoofing
Embora seja difícil definir números globais precisos, a estimativa da Europol de perdas de cerca de 850 milhões de euros por ano dá uma indicação clara da escala. O fato de 64% das chamadas fraudulentas em todo o mundo envolverem falsificação de identificação de chamadas ressalta seu papel central na fraude moderna.
Indivíduos visados por chamadas falsificadas podem sofrer não apenas perdas financeiras, mas também danos emocionais e psicológicos. As vítimas muitas vezes se sentem violadas, envergonhadas ou envergonhadas, o que pode atrasar a denúncia e a recuperação. Financeiramente, eles podem perder economias, receber empréstimos fraudulentos ou sofrer roubo de identidade com consequências de longo prazo. As organizações também podem enfrentar danos à reputação quando seu nome ou número é falsificado em grandes campanhas.
Como a técnica aproveita a confiança, usando um número familiar ou confiável, é mais provável que as vítimas cumpram as solicitações. Por exemplo, uma ligação se passando por um banco ou regulador pode levar à conformidade imediata sob autoridade percebida, reduzindo o tempo que a vítima tem para questionar ou refletir sobre a solicitação.
Quais respostas técnicas e regulatórias são necessárias
A Europol descreve uma estratégia multifacetada para combater a falsificação de identificação de chamadas. Uma medida técnica é estabelecer sistemas robustos de rastreamento que permitam que as chamadas telefônicas sejam rastreadas salto a salto até que o originador seja identificado. Sem essas ferramentas, as operadoras podem não identificar a verdadeira origem do tráfego falsificado.
Outra prioridade é implementar a autenticação de números de origem. Por exemplo, as redes devem verificar se um número usado como identificador de chamadas realmente pertence à conta de assinante do chamador e se as chamadas roteadas para um país do exterior devem conter informações que verifiquem a origem. Definir padrões globais para autenticação CLI é crucial.
Em termos regulamentares, a Europol apela a quadros harmonizados em toda a Europa para que os operadores e as agências responsáveis pela aplicação da lei trabalhem de acordo com regras coerentes. Isso inclui mandatos legais claros para que as operadoras de telecomunicações compartilhem registros de detalhes de chamadas, cooperem rapidamente com investigações e bloqueiem bancos de dados de números falsificados conhecidos.
Papel das operadoras de telecomunicações e das partes interessadas
Os provedores de telecomunicações desempenham um papel fundamental na prevenção. Eles são responsáveis por implementar a validação de números, filtrar chamadas suspeitas, compartilhar telemetria com as autoridades policiais e identificar o uso indevido de números legítimos. A Europol salienta que muitas transportadoras continuam a operar sem um controlo interno suficiente do tráfego falsificado ou sem integração com os canais de aplicação da lei.
Órgãos da indústria e reguladores também devem intervir. Por exemplo, os reguladores de telecomunicações podem exigir que as operadoras adotem a “autenticação de identificação da linha de chamada” ou estruturas semelhantes, emitam requisitos de conformidade para roteamento de chamadas internacionais e apliquem penalidades para operadoras que permitem tráfego falsificado. A coordenação entre reguladores nacionais, operadores e autoridades policiais é essencial porque as campanhas de falsificação geralmente saltam das jurisdições.
A conscientização do consumidor é outro fator. Mesmo as melhores defesas técnicas falharão se os indivíduos continuarem a confiar cegamente em um número. Os usuários finais devem ser treinados para questionar chamadas inesperadas, verificar os canais oficiais de contato de forma independente e evitar fornecer informações confidenciais apenas porque um número confiável aparece na tela.
O que você pode fazer para se proteger contra falsificação
Do ponto de vista pessoal ou comercial, várias práticas podem reduzir o risco representado pelo spoofing. Primeiro, ao receber chamadas solicitando transferências, autenticação de dois fatores ou credenciais de login, trate o chamador como suspeito, a menos que seja verificado de forma independente. As empresas também devem treinar os funcionários para questionar chamadas inesperadas, mesmo que exibam identificadores de chamadas confiáveis.
Em segundo lugar, manter uma política de “verificação” ajuda. Desligue, encontre o número oficial da organização e ligue de volta em vez de usar o número de entrada. Isso garante que você não esteja interagindo com um número falsificado. As empresas devem aplicar essa regra para departamentos financeiros, equipes de RH ou qualquer pessoa com acesso a dados ou pagamentos confidenciais.
Terceiro, adote filtragem de chamadas, listas de bloqueio e monitoramento de números suspeitos no nível da organização. Se sua empresa envolve grandes transações, solicitar registros de detalhes de chamadas de operadoras para chamadas de entrada suspeitas pode ajudar as autoridades a rastrear o tráfego falsificado.
Finalmente, os indivíduos devem permanecer alertas. Seja especialmente cauteloso se um número confiável ligar e solicitar pagamento, dados pessoais ou instalação de software sem verificar a solicitação. Relatar chamadas suspeitas a reguladores ou operadoras ajuda a criar inteligência que pode negar aos fraudadores a escala de que precisam.