• Bloquei0
  • Posts
  • Quando Hackers Atendem Suas Ligações: A Ascensão dos Bots de Interceptação de OTP (E Como Você Pode Se Proteger)

Quando Hackers Atendem Suas Ligações: A Ascensão dos Bots de Interceptação de OTP (E Como Você Pode Se Proteger)

Author

Jorge G
4 de maio de 2025

Já recebeu alguma mensagem de texto no seu celular com um código aleatório?

Se você estava esperando, tudo bem. Mas e se não? Aí dá aquele frio na barriga e vem aquele monte de perguntas na cabeça para tentar descobrir por que recebeu aquela mensagem.

Espero que isso nunca tenha acontecido com você. Mas o celular, o mesmo aparelho que nos mantêm conectados, agora é alvo de golpistas cada vez mais sofisticados.

Os riscos são maiores do que você imagina

Imagine acordar e descobrir que sua conta bancária foi esvaziada. Ou perceber que alguém assumiu o controle das suas redes sociais e está tentando aplicar golpes nos seus contatos. E que tal descobrir que sua identidade foi roubada, e agora você precisa resolver essa bagunça e que isso vai demorar meses (ou anos)?

A pior parte? Tudo isso aconteceu por causa de uma única mensagem de texto e um momento de confusão.

Mas não se preocupe — a edição de hoje é sua chance de elevar seu conhecimento de segurança e aprender sobre uma ameaça que está evoluindo mais rápido do que a maioria das pessoas percebe.

História da semana: queda da OTP Agency, um negócio criminoso com planos de assinatura (além de suporte técnico e até serviços de coaching!)

Na caixa "Leia as notícias como um profissional de cibersegurança":

  • OTP

  • 2FA

  • Phishing e vishing

  • Spoofing de ligações

No plano de ação na seção "Segurança acima da média":

  1. Instalar um aplicativo autenticador e entender como funciona (basicamente)

  2. Parar de usar verificação por SMS e substituir por verificação por aplicativo autenticador (nas suas contas mais importantes)

  3. Criar um plano de "incidente de segurança" que inclua números de contato direto para suas instituições financeiras

Leia as notícias como um profissional de cibersegurança

OTP: siglas em inglês que significam “one-time password” (senha de uso único). São códigos aleatórios que misturam letras e números (às vezes são apenas números ou apenas letras) que só podem ser usados uma vez para validar o acesso a uma plataforma, como um aplicativo.

  • Exemplo: quando cadastramos um novo número de telefone no WhatsApp, o aplicativo envia um código por SMS para usarmos apenas uma vez e verificar o novo número.

2FA: “two (2) factor authentication”, ou autenticação de dois fatores. É um método de verificação de identidade que exige que a pessoa apresente duas provas para confirmar a identidade dela e obter acesso a uma conta ou outras informações.

  • A primeira prova geralmente é uma senha e a segunda pode ser uma OTP, um código para usar apenas uma vez.

Phishing: tipo de ataque cibernético que usa e-mails, mensagens de texto, telefonemas, ou sites fraudulentos para enganar as pessoas e levá-las a fazer coisas perigosas, como compartilhar informações confidenciais ou baixar programas maliciosos.

Vishing: tipo de phishing feito por meio da voz (voz + phishing = vishing), ou seja, por chamadas telefônicas. Em poucas palavras, é um golpe em que o criminoso tenta enganar a vítima por meio de uma ligação.

Spoofing: técnica de ataque cibernético que consiste em falsificar a identidade de uma fonte confiável com o objetivo de enganar a vítima.

  • Exemplo de spoofing de ligações: um cibercriminoso falsifica o número de telefone dele para parecer que é o telefone oficial do banco da vítima. Quando a vítima atende a ligação, o cibercriminoso finge ser um funcionário do banco.

O Que Realmente Aconteceu? 🔍

Apresentando a "OTP Agency" – uma organização criminosa (agora desmantelada) que elevou os golpes telefônicos a níveis industriais de eficiência. Não eram apenas hackers aleatórios; era um negócio criminoso completo, com planos de assinatura, suporte ao cliente e resultados assustadoramente eficazes.

Esses criminosos criaram sofisticados "bots de OTP" (bots de senha de uso único) que operavam como uma máquina bem lubrificada. Por apenas US$ 40 semanais (plano básico) ou US$ 500 mensais (plano premium), outros golpistas podiam assinar esse serviço e obter, dependendo do plano:

  • Acesso a convincentes sistemas de resposta de voz interativa que imitavam perfeitamente bancos e serviços legítimos

  • Scripts personalizáveis adaptados para instituições-alvo específicas

  • Orientação em tempo real sobre como manipular vítimas

  • Suporte técnico para suas "campanhas de fraude" (sim, sério mesmo)

A polícia britânica finalmente capturou os três responsáveis por trás da organização e gestão do serviço; três rapazes de 22, 21 e 19 anos (essa juventude de hoje, não é mesmo?). Eles se declararam culpados no dia 30 de agosto de 2024.

Veja como o golpe realmente funcionava:

  1. O golpista já tinha as informações pessoais e senha da vítima (de vazamentos de dados ou outras fontes)

  2. Eles iniciavam um login na conta bancária da vítima, disparando um código único legítimo para o telefone cadastrado na conta

  3. Simultaneamente, a vítima recebia uma ligação do que parecia ser o departamento antifraude do banco dela

  4. O bot de OTP criava uma sensação de urgência sobre "atividades suspeitas"

  5. Enquanto soava completamente legítimo com música de espera profissional e opções de menu, o bot enganava a vítima para que ela lesse o código de verificação

  6. O código era repassado ao golpista que aguardava, que completava a tomada da conta

A parte genial (e aterrorizante)? Este serviço automatizou e escalou o que antes exigia engenheiros sociais habilidosos, colocando poderosas ferramentas de fraude nas mãos de criminosos amadores. 🎮

“Beleza. Mas isso foi lá na Europa. O que isso tem a ver comigo?”

Isso poderia acontecer com qualquer pessoa. Ao contrário de técnicas de hacking complexas que exigem conhecimento técnico, esses golpes dependem de algo muito mais fundamental: psicologia humana e confiança.

Mesmo que você se considere conhecedor de tecnologia, esses golpes são projetados para criar urgência e medo — emoções que podem nublar o julgamento de qualquer um. E com o phishing por voz (vishing) se tornando mais sofisticado, até pessoas cuidadosas podem cair no golpe.

A dura verdade: algumas coisas estão além do seu controle

Sejamos honestos: alguns aspectos da segurança simplesmente estão fora do nosso controle. Empresas sofrem vazamentos. Bancos de dados são expostos. As nossas informações podem acabar vazando.

Mas aqui está o que você PODE controlar: o nível de preparação que você tem quando alguém tenta usar essas informações contra você.

Outro detalhe: percebeu que os criminosos, mesmo já tendo as senhas e informações pessoais das vítimas, precisavam de dar mais alguns passos para ter acesso às contas do banco? Mesmo que fosse relativamente simples, isso mostra que não confiar apenas nas nossas senhas pode nos dar mais uma “camada” de proteção. Mas não queremos que essa camada seja tão frágil a ponto de alguém ser capaz de nos enganar para entregarmos esses códigos únicos que verificam nossa identidade (OTP, lembra?).

Então, é aqui onde a fórmula proatividade + conhecimento = segurança se aplica de novo.

O conceito que você precisa conhecer: "Autenticação de Dois Fatores (2FA) Verdadeira"

A autenticação de dois fatores verdadeira exige que você apresente dois destes três elementos:

  • Algo que você possui (como seu celular ou uma chave de segurança)

  • Algo que você conhece (como uma senha)

  • Algo que você é (como sua impressão digital)

Quando você usa códigos SMS, eles são basicamente apenas outra coisa que você conhece: um código que muda. Mas com um aplicativo autenticador adequado que VOCÊ controla, esses códigos podem se transformar em algo que você realmente possui — porque você é o dono da semente criptográfica que os gera, armazenada com segurança no seu dispositivo. E esses códigos só devem ser inseridos nos sites ou aplicativos em que VOCÊ tiver iniciado o login. VOCÊ está no controle da situação.

Embora a 2FA por SMS seja melhor que nada, ela é mais vulnerável do que você pensa. Esses bots de OTP visam especificamente as fraquezas na verificação por SMS.

O que acontece quando você confia apenas na verificação por SMS? Golpistas podem contornar isso com táticas cada vez mais convincentes.

Claro, os códigos gerados por um aplicativo também podem ser obtidos usando engenharia social. Mas se estivermos bem preparados, informados e formos proativos, vamos ser alvos muito mais difíceis para esse tipo de golpistas.

Um dos melhores presentes que você pode dar para as pessoas que você ama é doar o seu tempo para ajudá-las a parar de usar verificação por SMS e seguir o plano de ação na caixa “Segurança acima da média” (depois que você tiver implementado o plano também, é claro 😉).

Quanto mais pessoas souberem como os cibercriminosos e golpistas agem, haverá menos “alvos fáceis”. Afinal, segurança se trata de proteger às pessoas importantes nas nossas vidas e a nós mesmos para podermos ter paz e continuar vivendo a vida.

Princípios de Segurança Sólida 🔐 

Para se proteger desses golpes sofisticados de OTP:

  1. Entenda a autenticação de dois fatores verdadeira: Certifique-se de que seu segundo fator seja algo que você controla fisicamente

  2. Nunca compartilhe códigos de verificação com ninguém; empresas legítimas nunca pedirão por telefone (nem SMS, e-mail, ou redes sociais ❌)

  3. Verifique independentemente: Desligue e ligue para o número oficial no seu cartão ou no site da empresa

  4. Desconfie de alertas de segurança urgentes: Bancos reais raramente criam o mesmo pânico que golpistas dependem

  5. Lembre-se que o identificador de chamadas pode ser falsificado: Só porque mostra o nome do seu banco não significa que seja legítimo

    • OTP Agency fornecia serviços de spoofing de ligações, o que facilitava a quem usava o serviço esconder o número de telefone real e dar a aparência de estar usando um número legítimo. (Sim, eu também fiquei chocado quando fiquei sabendo que isso é possível 🙀)

Desafio: “Mais uma etapa para fazer login nas minhas contas 🙄”

Pode ser que você ou alguém na sua família pense: "Ótimo, mais etapas de segurança para lembrar. Mais um aplicativo para instalar. Mais coisas para gerenciar."

É um ponto justo. Gerenciar segurança pode ser:

  • Demorado

  • Frustrante quando você fica bloqueado

  • Complexo para configurar inicialmente

  • Mais uma coisa para acompanhar

Office Monkey GIF

Gif by suitsusanetwork on Giphy

Seu Salvador: Aplicativo Autenticador

É aqui que um bom aplicativo autenticador se torna seu novo (segundo) melhor amigo (lembra do gerenciador de senhas? 😁) . Mas não qualquer aplicativo autenticador — você precisa de um que realmente sustente o princípio da autenticação de dois fatores verdadeira.

Os melhores aplicativos autenticadores devem atender a estes critérios essenciais:

  • Código aberto: Para que especialistas em segurança possam verificar que não há nada suspeito no código

  • Backups criptografados de ponta a ponta: Para que mesmo se seu backup for comprometido, seus códigos permaneçam seguros. E também para que possa ter acesso aos seus códigos em qualquer dispositivo, caso seu celular seja roubado ou pare de funcionar

  • Funcionalidade offline: Para que você ainda possa obter códigos quando o sinal estiver fraco

  • Sem conta necessária: Sua segurança não deve depender de mais uma senha

  • Importação/exportação fácil: Porque ficar preso a um aplicativo para sempre não é nada divertido

  • Sincronização entre dispositivos (recurso adicional interessante): Para acessar códigos de vários dispositivos

Aplicativos como Aegis Authenticator (Android) e Ente Auth (multiplataforma) atendem bem a esses requisitos.

A melhor parte? Eles realmente colocam VOCÊ no controle da sua segurança, não algum servidor distante enviando mensagens SMS que podem ser interceptadas facilmente. Ah, e são gratuitos.

Principais Lições

  • OTP Agency era um serviço criminoso que oferecia acesso por assinatura a sofisticadas ferramentas de phishing por voz

  • Sistemas de resposta de voz interativa podem ser transformados em armas para soar exatamente como empresas legítimas (um dos planos da OTP Agency oferecia a opção de escolher o sotaque que a voz usaria para enganar a vítima! 😯)

  • Autenticação de dois fatores verdadeira requer algo que você possui (não apenas outra coisa que você conhece)

  • Verificação baseada em SMS é fundamentalmente falha porque os códigos podem ser obtidos de você por engenharia social (e por vários outros motivos)

  • Aplicativos autenticadores transformam códigos OTP de "algo que você conhece" para "algo que você possui" quando implementados corretamente

  • Ferramentas de segurança de código aberto proporcionam transparência e geralmente são mais confiáveis que alternativas de código fechado

Segurança acima da média

Plano de ação para o final de semana:

  1. Pesquise um pouco mais sobre Aegis ou Ente Auth.

    • Na verdade, qualquer aplicativo autenticador vai ser melhor do que usar SMS. Então, se não gostar ou não quiser usar nenhum deles, há muitas outras opções disponíveis. Apenas escolha uma 😉

  2. Instale o aplicativo que escolheu.

  3. Vá no cofre do seu gerenciador de senhas. Se ainda não tiver criado seu cofre, pode usar o passo a passo da caixa do artigo anterior.

  4. Comece pelas contas mais importantes (bancos, e-mails, conta GOV, redes sociais).

  5. Nas configurações de segurança do site ou aplicativo, procure pelas configurações de segurança.

  6. Veja que opções de verificação ou autenticação em duas etapas são oferecidas.

  7. Selecione a opção de autenticar por meio de um aplicativo.

    • Se essa opção não estiver disponível, vale a pena seguir os passos 1 a 7 para proteger sua conta de e-mail com 2FA por aplicativo. Muitos sites e aplicativos oferecem a opção de enviar uma mensagem de verificação ao e-mail cadastrado; se ele estiver protegido com 2FA, você ainda vai ter um bom nível de segurança.

  8. Siga os passos indicados no site ou aplicativo que você quer proteger.

Dica: Neste vídeo do YouTube (um pouco longo, por sinal) há um tutorial bem completo para usar o Aegis Authenticator.

Na segunda metade do vídeo são mencionadas algumas configurações importantes do aplicativo.

Link do vídeo: https://www.youtube.com/watch?v=KCZJHbiX4sk

Lembre-se: Quando se trata de segurança, você não está apenas protegendo contas — está protegendo sua identidade digital. Escolha ferramentas que te deem tanto segurança QUANTO controle. Seu futuro eu agradecerá quando os golpistas ligarem — e eles ligarão.

O que achou da edição desta semana? Precisa de alguma ajuda adicional para implementar o plano de ação?

Pode me responder, ou deixar um comentário. Prometo ler e te retornar. Quem sabe? Pode até dar numa conversa interessante.