Uma nova campanha de phishing ameaça cerca de 2,5 bilhões de usuários do Gmail. Usando inteligência artificial, os fraudadores usam e-mails e chamadas que parecem enganosamente reais – até mesmo para profissionais de tecnologia experientes. O consultor da Microsoft, Sam Mitrovic, está chamando a atenção para isso em seu blog , que quase caiu no golpe de phishing "super realista".
No caso dele, o ataque começou com um e-mail solicitando a confirmação da recuperação da conta. Esses e-mails geralmente possuem dois botões para “Sim, fui eu” e “Não, salve sua conta”. Os fraudadores gostam de usar essa configuração para atrair pessoas para uma página de login falsa e interceptar dados confidenciais. Mitrovic também sabe disso e ignorou a mensagem. Cerca de 40 minutos depois ele recebeu uma ligação, aparentemente do " Google Sydney".
Fraude de IA no telefone: especialista alerta sobre falsificações “super realistas”
A voz ao telefone parecia “educada e profissional”, ao fundo havia ruídos sutis como os vindos de uma central de atendimento e a digitação do teclado. "Ele se apresentou e disse que havia atividades suspeitas em minha conta. Ele perguntou se eu estava viajando. Quando eu disse não, ele perguntou se eu havia feito login na Alemanha, ao que respondi que não", Mitrovic descreve a conversa. Todas essas perguntas têm como objetivo criar confiança no chamador e despertar medo no destinatário. Então o suposto funcionário do Google diz: Alguém está acessando a conta do Gmail há uma semana e baixou os dados do usuário.
Enquanto isso, Mitrovic procurou na Internet o número de telefone mostrado. Na verdade, isso está nos detalhes de contato oficiais do Google , com a nota "O Google entrará em contato com você por meio desses números de telefone". No entanto, o consultor da Microsoft solicitou um email de confirmação do caso e à primeira vista isto também parece legítimo. Porém, um detalhe o deixa desconfiado.
Como ele ficou um tempo sem falar, a voz ao telefone disse “Alô?” e depois de cerca de dez segundos houve um segundo "Alô?" idêntico. “Nesse ponto percebi que era uma voz de IA porque a pronúncia e o espaçamento eram perfeitos demais”, disse Mitrovic. Então ele desligou. No entanto, se ele tivesse permanecido na conversa por mais tempo, a IA poderia ter feito com que ele confirmasse a recuperação da conta e os fraudadores teriam acesso à sua conta e a todos os dados confidenciais nela contidos.
Reconheça os sinais de alerta: como se proteger contra phishing com IA
“Apesar de alguns sinais de alerta que surgem após uma inspeção mais detalhada, as chamadas de IA parecem sérias o suficiente para enganar muitas pessoas”, enfatiza Mitrovic. Ele suspeita que a taxa de sucesso das ligações seja relativamente alta. A melhor ferramenta contra a fraude moderna é o aumento da vigilância. Os usuários do Gmail devem suspeitar dos seguintes sinais:
- Redefinir e-mails de recuperação de conta ou redefinição de senha que você mesmo não iniciou
- Chamadas do Google mesmo que você não tenha um perfil comercial do Google associado à sua conta
- Supostos funcionários que desejam solicitar detalhes de sua conta e outros dados confidenciais
Se você receber uma ligação suspeita, as seguintes dicas de especialistas irão ajudá-lo:
- Não se deixe pressionar;
- Verifique cuidadosamente o endereço do remetente dos e-mails e números de telefone;
- Nunca clique em links de e-mails, a menos que você mesmo tenha iniciado a solicitação;
- Nunca forneça informações confidenciais por telefone ou e-mail, especialmente informações de login.
Para proteção adicional, você deve habilitar a autenticação de dois fatores. A Conta Google também conta com o “Programa Proteção Avançada”, que torna seus dados ainda mais seguros.
No caso atual, os fraudadores usam a tecnologia para que o número de quem ligou seja exibido como um número de telefone real do Google. No entanto, se você ler a página de suporte relevante do Google com atenção, ficará claro que o Google usa apenas os números de telefone listados para entrar em contato com contas comerciais do Google. Isso acontece, por exemplo, para verificar os horários de funcionamento do Google Maps ou para verificar se os dados da empresa no Google Business estão atualizados – e não para informar os usuários sobre um suposto hack de sua conta.
Você também pode verificar facilmente se um estranho fez login na sua conta. Sob nenhuma circunstância você deve clicar no link do e-mail potencialmente falso, mas sim fazer login diretamente pelo aplicativo ou navegador. Você pode visualizar atividades relacionadas à segurança, como logins de novos dispositivos ou locais em sua Conta do Google, na seção "Segurança".
