Você já recebeu uma ligação de seu próprio número de telefone? Apesar de estranho, isso pode ocorrer. Mas tem gente usando a situação inusitada para alardear um suposto novo golpe, que roubaria dados do celular em menos de dez segundos. Só que não há indicativos de que isso esteja, de fato, ocorrendo. Calma que vamos explicar tudo abaixo.

A história ganhou força em redes sociais recentemente. Tudo seria só um boato se o Procon-SP, instituição de defesa do consumidor ligada ao governo do Estado de São Paulo, não tivesse publicado um vídeo fazendo um alerta a respeito. Nele, o diretor-executivo, Fernando Capez, diz estar "recebendo reclamações de consumidores nesse sentido".

Ele diz o seguinte:

Atenção, o Procon alerta. Estamos recebendo reclamações de consumidores nesse sentido. Se você receber uma ligação no seu celular do seu número, não atenda. Verificando pelo visor que o número que te liga é o seu, não atenda. Recuse a ligação. Fraudadores estão aplicando golpes e eles só precisam de 10 segundos da ligação para roubar os seus dados. Portanto, recuse a ligação e avise outras pessoas e seus amigos. Vamos criar uma corrente para evitar que esses fraudadores bandidos roubem seus dados

Em conversa com Tilt, Capez disse outra coisa. Ele afirmou que, na verdade, soube do suposto golpe após ser avisado por um desembargador. Ele não disse qual. O magistrado afirmou que recebeu uma ligação a partir do próprio número. Mas não disse que teve os dados roubados.

Tilt questionou se algum consumidor acionou o Procon-SP por ter sido alvo de uma fraude com essas características. Capez afirmou que não. Disse, no entanto, que funcionários do Procon constataram relatos em redes sociais.

A reportagem também localizou relatos como esse. Algumas pessoas dizem ter sido avisadas de um golpe. Outras dizem ter recebido as ligações, mas não foram alvos de fraude. Uma das pessoas que atendeu a ligação diz ter sido abordada por alguém que se dizia atendente da Rappi e perguntava por que ela deixou de fazer pedidos.

O alerta de Capez é muito semelhante a um texto que tem circulado pelas redes sociais. Eles dizem o seguinte:

Pessoal, novo golpe perigoso: recebi alguns telefonemas hoje do meu próprio número. Isso mesmo, meu celular ligando para o meu celular. Acabei de ligar para a Vivo e a atendente disse que é o novo golpe: fraudadores clonam seu número e ligam para vc, na curiosidade vc acaba atendendo, e em questão de menos de 10 segundos eles conseguem baixar dados importantes do seu celular, como contas, senhas, e contatos.

É muito importante não atender o seu próprio número, e , se isso acontecer, desligue o aparelho e entre em contato com a operadora. Se vc atender eles passam a vigiar tudo o que vc faz, rastreando seus passos, e depois usam isso contra vc, clonando documentos, entrando em contas bancárias e fazendo pedidos de resgate (sequestro eletrônico) Parece que é a nova moda, portanto, não atendam. Abs *Repassando*

Capez diz que, diferentemente do que a Agência Nacional das Telecomunicações (Anatel) informou, as pessoas continuam recebendo ligações dos próprios números.

"A Anatel disse que havia bloqueado essas ligações, mas algumas pessoas que entramos em contato fizeram a ligação para o próprio celular e conseguiram. Embora tenha sido feito o bloqueio, nada impede de que se consiga fazer uma ligação com o próprio número aparecendo no seu visor a partir de um mecanismo chamado spoofing."

Spoofing não é uma técnica que rouba dados. Ela é apenas um artifício de engenharia social que golpistas usam para ludibriar vítimas, atiçando-as pela curiosidade. Nesse caso, o spoofing estaria sendo usado para simular que alguém está recebendo uma ligação do próprio número.

Na prática, não é o seu número que está ligando para você. O número que está efetuando a ligação é outro. Ele é inserido em serviços de chamadas pela internet (VoIP), que permitem escolher o número que será mostrado no destino. Como os golpistas usam o telefone da vítima como "disfarce", é ele quem aparece no visor.

Assista ao vídeo publicado pelo Procon-SP:

Tilt questionou o diretor do Procon sobre quem seriam essas pessoas, quando haviam recebido as ligações, se tinham atendido e o que ocorreu quando fizeram isso. Ele não soube informar.

Já a Anatel não prometeu criar mecanismos para barrar que um número faça ligações para ele mesmo. A agência informou que "foram adotadas medidas para que essa ação de spoofing não viabilize o acesso à caixa postal do consumidor, que era usada para práticas de golpes".

A ação foi tomada em resposta às ações de hackers que invadiram as contas do Telegram do ministro da Justiça, Sergio Moro, e de outras autoridades. Na época, hackers recorreram ao spoofing para obter as conversas de procuradores que trabalharam na Lava Jato. O conteúdo deu origem à série de reportagem Vaza Jato, do The Intercept com outros veículos de imprensa.

Moro recebeu uma ligação do seu próprio número e atendeu, mas não havia ninguém do outro lado da linha. Na época, o Telegram mandava os códigos por SMS ou ligação telefônica. Se o telefone estivesse ocupado, o recado de voz com o código caía na caixa de mensagem.

Por uma brecha do serviço de telefonia, as ligações feitas pelo mesmo número iam direto para a caixa de mensagem. Foi assim que os golpistas conseguiram a senha, ao acessarem a caixa postal do ministro e ouvindo o áudio com o código.

Só que isso não é mais possível. A reportagem tentou e não conseguir acessar a caixa de mensagem ao ligar do mesmo número. Fez ligações de aparelhos com linhas de Claro, TIM e Vivo. Eram dois os desfechos: a ligação não era completada, ou tocava um recado de voz com orientações para acessar a caixa de mensagem por outro número.

A Anatel informou ainda desconhecer formas de roubar dados por meio de ligação telefônica de voz, como Capez dá a entender. "O cenário técnico mais provável no caso relatado pelo Procon é de alguma engenharia social feita pelo hacker que leva o consumidor, enganado, a digitar ou falar suas informações pessoais", diz a Anatel.

Emilio Simoni, diretor do dfndr lab, laboratório especializado em segurança digital da PSafe, afirmou que "ninguém detectou o novo golpe". Por isso, disse, "não conseguiu definir se é um ataque novo ou se é um boato." "O que pode acontecer é que isso pode ser usado para conseguir o 'token' de liberação [de aplicativos] por meio de engenharia social", diz.

Após questionar o Procon com essas informações, a instituição admitiu em nota não ter provas de que golpes estivessem acontecendo. "Para fazer testes, o Procon teria que recrutar hackers e não conhecemos nenhum", afirmou.

"Não houve formalização de reclamações (...) Mesmo assim, o Procon decidiu fazer o alerta por duas razões: ainda existem casos de ligação do mesmo número para o celular da pessoa (...) Em segundo lugar, o alerta não causa nenhum prejuízo porque, se a ligação foi bloqueada, 'em tese' a pessoa não receberá a ligação e o alerta não prejudicou em nada".

O Procon ainda desdenhou da opinião de especialistas: "É ingenuidade imaginar que fraudes possam ser bloqueadas com 100% de eficácia, porque os 'especialistas' são surpreendidos a cada dia pela engenhosidade dos invasores de celular. A postura do Procon é e sempre será de cautela máxima e prevenção, ainda que possa desagradar um ou outro 'especialista'".

"Os hackers conseguem acessar até dados da CIA, por que não vão conseguir acessar os dados de um celular?", diz Capez.

Diferenças de ligação de call center

Algumas pessoas podem pensar que este tipo de ligação partiu do telemarketing ou da própria operadora. Mas os call centers não conseguem alterar o número que irá aparecer na tela do consumidor, diz o presidente da Associação Brasileira de Telesserviços (ABT), John Anthony von Christian.

"É um número tronco. Se eu quero montar um call center, a primeira coisa que preciso é ir à operadora —Vivo, Embratel, Claro— e dizer: 'gostaria de um número pronto que possa agregar nele 100 ramais'. Ela (operadora) vai me dar um número e cada ligação feita será direcionada para uma pessoa", explica.

Além disso, as ligações que partem do telemarketing também costumam demorar um pouco mais para serem completadas. De acordo com o professor Angelo Sebastião Zanini, coordenador do curso de Engenharia de Computação do Instituto Mauá de Tecnologia, a espera acontece por conta da tecnologia aplicada às ligações.

"Primeiro o computador deve detectar que o destinatário atendeu a ligação e depois transfere a um atendente de telemarketing livre. Como a maioria das ligações não são atendidas, esse procedimento otimiza a alocação de pessoas", explica.

Não me perturbe

Para evitar as ligações de telemarketing, a Anatel possui um site chamado "Não Perturbe", que bloqueia as ligações das prestadoras de serviços e instituições financeiras. Após o cadastro, as instituições têm até 30 dias para parar com as ligações.

Mas o presidente da ABT afirma que, mesmo se o consumidor não for cadastrado no "Não me perturbe", ele pode denunciar as ligações abusivas que recebe.

"Tem algumas formas de fazer uma denúncia: a primeira é por meio da Anatel, que é muito eficiente nesse sentido. Se você sentir lesado, pode entrar em contato também pelo site consumidor.gov.br, um serviço para combater fraudes", diz.

SIGA TILT NAS REDES SOCIAIS