Um novo serviço clandestino batizado como ATHR está mudando a paisagem da fraude telefônica: combina automação, inteligência artificial e, quando é necessário, operadores humanos para executar fraudes por voz que extraem credenciais e códigos de verificação com eficiência que preocupa os pesquisadores. De acordo com a análise da empresa de segurança em e-mail Abnormal, esta plataforma coloca à disposição dos criminosos uma cadeia de ataque completa orientada para o telefone - desde o senhô inicial por e-mail até a interação por voz com a vítima - e o faz com ferramentas tradicionalmente fragmentadas e manuais.
A novidade não é apenas a sofisticação técnica, mas a “productização” da fraude: por cerca de 4.000 dólares mais uma comissão sobre o roubado, um comprador nos fóruns subterrâneos pode aceder a modelos de e-mail específicos por marca, mecanismos de suplantação para que a mensagem pareça legítima e um painel de controle que orquestra a campanha e entrega os dados sutraídos em tempo real. Abnormal documenta que, no momento de sua pesquisa, ATHR oferecia modelos para serviços muito usados como Google, Microsoft e várias plataformas de criptomoedas, entre elas Coinbase e Binance; também apareciam Yahoo e AOL.
O vetor inicial é geralmente um e-mail que aparenta ser um alerta de segurança ou uma notificação de conta: algo com urgência suficiente para empurrar o usuário para chamar, mas o bastante genérico para burlar filtros baseados em conteúdo. Quando a vítima marca o número incluído, a chamada se enruta através de sistemas como Asterisk e WebRTC para agentes de voz. Aqui é onde a plataforma destaca: esses agentes podem ser modelos de IA executados com prompts cuidadosamente elaborados para adotar o tom, o comportamento e o roteiro de uma equipe de suporte legítimo, com a opção de transferir a comunicação para um operador humano se a conversa o demanda.
Na prática, o roteiro trata de reproduzir processos legítimos, por exemplo a verificação ou a recuperação de uma conta. No caso de contas Google, os atacantes buscam que a vítima revele um código de seis dígitos que, fora de contexto, é precisamente a chave que permite resetear acessos ou completar processos de verificação. A ATHR também incorpora ferramentas para personalizar a mensagem a cada objetivo e falsificar cabeçalhos de e-mail, o que dificulta a detecção por indicadores convencionais.
O tabuleiro de controle da plataforma dá visibilidade e controle em tempo real: Desde então, o envio massivo de e-mails, o manejo de chamadas e o registro de resultados por vítima. Esse nível de integração reduz enormemente a quantidade de experiência técnica necessária para montar uma operação de "vishing" (phishing por voz), o que, alertam os pesquisadores, pode multiplicar a frequência e o alcance desses ataques ao colocar ao alcance de atores menos sofisticados.
A investigação de Abnormal, que pode ser consultada no seu relatório técnico, detalha como a automação abrange as diferentes fases do que a indústria denomina TOAD (telephone-oriented attack delivery), e por que isso representa um salto: quando os componentes já não precisam se montar um a um, a barreira de entrada baixa e a escala torna-se um risco real para organizações e particulares. Você pode ler seu relatório aqui: abnormal.ai — relatório sobre ATHR.
Meios de segurança generalistas já coletaram esses achados e alertaram sobre a proliferação de plataformas similares que vendem serviços de fraude como se fossem software legítimo; um exemplo de cobertura jornalística pode ser consultado em BleepingComputer, que amplia como estas ferramentas são comercializadas e operam.
Diante desse tipo de ameaças, os sinais tradicionais de phishing —erros ortográficos, domínios estranhos ou mensagens massivas fáceis de detectar— podem não ser suficientes, porque os e-mails são projetados para passar verificações básicas e emular cabeceiras legítimas. Por isso, os especialistas propõem uma abordagem diferente: monitorar e modelar o comportamento comunicativo habitual dentro de uma organização para detectar anomalias, por exemplo, várias mensagens com o mesmo padrão e um número de telefone em um curto intervalo, ou interações atípicas entre remetente e destinatário. As capacidades de detecção com ajuda de IA centradas em padrões comportamentais podem avisar antes que um empregado chegue a realizar a chamada.
Também convém recordar medidas práticas que reduzem o risco: questionar a urgência de mensagens inesperadas, evitar facilitar códigos ou senhas por telefone e verificar qualquer pedido de suporte através de canais oficiais - não os que aparecem no próprio e-mail suspeito. As autoridades e organismos de protecção do consumidor oferecem recursos e conselhos sobre fraudes por telefone que são úteis para o público geral; por exemplo, a Comissão Federal do Comércio dos EUA mantém guias sobre como reconhecer e agir contra fraudes telefónicas: FTC — Phone scams, e a Agência de Segurança Cibernética (CISA) publica recomendações sobre engenharia social e como se proteger: CISA — Social engineering tips.
O avanço que representa a ATHR obriga a repensar a defesa: já não basta com ferramentas que analisem o conteúdo do correio; é necessário entender o contexto das comunicações e implantar controlos que dificultem que um código temporário ou um dado de verificação sirvam de passaporte para aceder a recursos críticos. Para as empresas isso significa reforçar procedimentos de verificação em múltiplos canais, educar os funcionários sobre técnicas de vishing e considerar tecnologias que possam correlacionar eventos e detectar padrões anormais antes de uma chamada ocorrer.
O surgimento de plataformas como a ATHR não é o fim da história, mas sim uma chamada de atenção: a automação e a IA estão sendo incorporadas ao crime com a mesma lógica de economia de escala que impulsiona desenvolvimentos legítimos. Entender como funcionam essas ferramentas, compartilhar inteligência entre fornecedores e fortalecer a higiene digital individual e organizacional são passos necessários para conter uma ameaça que, por sua própria natureza, se alimenta de confiança mal dirigida e da pressa do dia a dia.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
Extensões maliciosas do VS Code: o ataque que expôs 3.800 repositórios internos
O GitHub confirmou que um dispositivo de um funcionário comprometido através de uma extensão maliciosa do Visual Studio Code permitiu a ex-filtração de centenas ou milhares de r...