Phishing de Voz Alimentado por IA Causa Mais de $20M em Perdas, Alvo de Executivos de Cripto

Os cibercriminosos estão, alegadamente, a empregar imitadores de voz profissionais e tecnologia de inteligência artificial de ponta (AI) para almejar executivos de criptomoeda dos EUA através de uma técnica conhecida como phishing por voz, ou "vishing."

Grupos de pesquisa descobriram que golpistas estão a recrutar profissionais para realizar chamadas telefónicas fraudulentas, enganando as vítimas para que divulguem dinheiro ou informações sensíveis que possam comprometer as suas contas.

A Comissão Federal de Comércio dos EUA (FTC) alerta que o vishing frequentemente começa com uma chamada ou mensagem de alguém que se faz passar por uma autoridade de confiança. A FTC cita exemplos onde os golpistas podem alegar que precisam comprar uma garantia estendida em seu nome, afirmar que seu computador está infectado e requer intervenção imediata de software, ou declarar que você deve dinheiro ao governo.

Em algumas instâncias, os chamadores podem se passar por colegas ou executivos da empresa, solicitando sutilmente credenciais para sistemas financeiros do local de trabalho sob a aparência de uma emergência.

"Os fraudadores podem alegar representar o IRS, o FBI ou até mesmo uma agência de cobrança," alerta a FTC em sua orientação ao consumidor. "Eles podem informá-lo de uma dívida em aberto que deve ser paga imediatamente para evitar multas ou prisão."

Ocasionalmente, os perpetradores de vishing utilizam detalhes pessoais, como moradas ou os últimos quatro dígitos dos números de Segurança Social, para dar credibilidade ao seu estratagema.

Vishing em Ação: Perdas Superior a $20 Milhões e a Crescer

A empresa de cibersegurança Right-Hand relata que o vishing habilitado por deepfake aumentou mais de 1.600% no Q1 de 2025 em comparação com o Q4 do ano anterior. A empresa destacou um caso em que um conglomerado energético europeu perdeu $25 milhões após criminosos clonarem a voz do diretor financeiro da empresa.

Um empregado relatou ao Right-Hand que a voz fraudulenta imitava perfeitamente o tom e a cadência do CFO, incluindo pausas precisas, enquanto instruía a iniciar uma transferência de dinheiro. Quando perceberam a fraude, horas já tinham passado, e de acordo com especialistas em segurança, a transação era irreversível.

A Right-Hand também observou um aumento de 680% nos golpes relacionados a deepfake e um aumento de 1.633% nas tentativas de vishing no início de 2025 em comparação ao final de 2024. As vítimas individuais sofreram perdas medianas de $1.400, enquanto os custos de recuperação foram em média de aproximadamente $1,5 milhões.

Das organizações entrevistadas, 70% relataram ter sido alvo, e quando cenários de teste foram aplicados, um em cada quatro funcionários falhou em detectar uma voz clonada.

Grupos Criminosos Intensificam Esforços de Phishing em 2025

Vários grupos organizados intensificaram as suas atividades em 2025, incluindo o UNC6040, um sindicato da Europa Oriental conhecido por desenvolver aplicações de violação de redes como software como serviço.

No início deste ano, foi relatado que operativos norte-coreanos, especificamente o Grupo Lazarus, criaram empresas falsas e utilizaram tecnologia deepfake durante entrevistas de emprego para infiltrar empresas de criptomoedas. Somente em 2024, atacantes ligados a Pyongyang alegadamente roubaram cerca de $1.34 bilhões em 47 incidentes separados, sem incluir o hack de $1.5 bilhões em março deste ano.

Os analistas observam que, ao contrário das transferências bancárias tradicionais, que permitem algum tempo para reverter transações ilícitas, as transferências baseadas em blockchain são rápidas e irreversíveis. Esta característica tornou a fraude baseada em voz particularmente eficaz em desviar ativos antes que um ataque seja detectado.

Há apenas duas semanas, o Google confirmou uma violação de segurança em uma de suas bases de dados internas ligada ao Salesforce, uma plataforma em nuvem para gerenciar contatos de negócios e interações com clientes, resultando no roubo de dados de clientes.