No dia 18 de julho, recebi uma ligação e, ao verificar o identificador de chamadas, constatei que o número exibido no celular era do gerente responsável por minha conta corrente no Banco Bradesco. Após os cumprimentos iniciais, durante os quais o interlocutor dirigiu-se a mim pelo nome e indagou acerca do bem-estar da minha família, fui informado de que a senha do meu aplicativo bancário estaria supostamente comprometida. Em seguida, questionou-me se eu teria acessado minha conta por meio de um dispositivo estranho ao que eu normalmente utilizava.

Leia mais: Congresso Nacional do MP abre chamada de trabalhos com 30% de desconto para autores

Parceira da Amperj, Portfel é eleita melhor consultoria financeira do Brasil

Diante da minha negativa, o suposto gerente explicou que, apenas naquele dia, teriam ocorrido cerca de dez tentativas de fraude na mesma agência. Em tom de urgência, disse-me que minha senha seria preventivamente bloqueada e que eu deveria comparecer à agência. Após minha concordância, informou que me transferiria para a “central de segurança”, onde eu deveria digitar minha senha de acesso ao aplicativo. Então, percebi que estava prestes a ser vítima de um golpe: spoofing telefônico.

O spoofing telefônico é uma sofisticada ferramenta de fraude, caracterizada pela falsificação da identificação numérica de chamadas telefônicas. Trata-se de um recurso técnico que permite ao autor da ligação simular que a chamada se origina de um número diferente do seu, pertencente a uma vítima inocente ou a uma instituição legítima.

Nas próximas linhas, vamos esclarecer o funcionamento do spoofing, demonstrar como a técnica tem sido utilizada por criminosos para aplicar golpes e apresentar medidas preventivas que podem ser adotadas por indivíduos e empresas.

O termo spoofing provém do inglês to spoof, que significa enganar ou falsificar. No contexto das telecomunicações, o spoofing telefônico ocorre quando o autor da chamada altera o número de origem exibido no identificador do receptor, fazendo parecer que a ligação parte de uma fonte confiável ou conhecida. A falsificação pode ser realizada mediante o uso de softwares de VoIP (Voice-over Internet Protocol), servidores de chamadas manipuláveis, aplicativos específicos ou até serviços terceirizados que oferecem essa funcionalidade com fins diversos, inclusive ilícitos.

Importante destacar que, tecnicamente, o spoofing não exige o acesso ao telefone da vítima. O autor da fraude apenas insere o número desejado como sendo o identificador da chamada, fazendo com que o sistema de telefonia mostre esse número ao destinatário, mesmo que a ligação tenha sido originada de outro aparelho.

A prática tem sido largamente empregada por organizações criminosas especializadas em fraudes financeiras, extorsões, furtos de dados e engenharia social. Os casos mais recorrentes envolvem:

Golpe do falso funcionário de banco

O golpista entra em contato com a vítima simulando o número de uma instituição financeira. Identifica-se como funcionário do setor de segurança bancária e afirma que houve uma movimentação suspeita na conta da vítima. Por meio de perguntas e induções, obtém dados bancários, senhas ou códigos de autenticação. Essa prática é a narrada lá no início da nossa abordagem de hoje.

Falso contato de autoridades públicas

Em outros casos, criminosos se passam por policiais, promotores de Justiça ou servidores públicos, utilizando números que aparentam ser de órgãos oficiais. Alegam a existência de mandados, investigações ou pendências judiciais, induzindo a vítima ao pânico e à transferência de valores sob a falsa promessa de solução.

Falsas promoções ou prêmios

A vítima é contatada por uma suposta empresa conhecida e informada de que ganhou um prêmio ou benefício. Para recebê-lo, precisa informar dados ou pagar taxas antecipadas. O uso de números confiáveis aumenta a credibilidade do golpe. Muitas vezes, a vítima é “presenteada” com algum item, mas precisa arcar com o custo do frete.

A prática de spoofing com fins fraudulentos configura diversos ilícitos penais e civis. Entre eles, destacam-se: falsidade ideológica (art. 299 do Código Penal), falsa identidade (art. 307), estelionato (art. 171) e invasão de dispositivo informático (art. 154-A). Também pode violar a Lei Geral de Proteção de Dados (Lei n.º 13.709/2018) em caso de uso indevido de dados pessoais. Além disso, o agente pode responder civilmente por danos morais e materiais, inclusive de forma solidária com eventuais coautores ou partícipes.

Para o cidadão comum, a prevenção contra golpes envolvendo spoofing exige atenção redobrada e adoção de condutas prudentes. Desconfie sempre de ligações inesperadas, mesmo quando o número exibido aparenta ser conhecido ou institucional. Em nenhuma hipótese forneça seus dados pessoais, bancários ou senhas por telefone, especialmente diante de solicitações feitas sob pressão ou com alegações de urgência.

Allan Julianelli é gerente de TI da Associação do Ministério Público do Estado do Rio de Janeiro desde 1998 e policial civil do Estado do Rio de Janeiro desde 2002. Contato: allan.julianelli@amperj.org