Como funciona por dentro um call center fraudulento

Quando recebes uma chamada fraudulenta não falas com um improvisador. Falas com um sistema. Por trás há um guião ensaiado, métricas de conversão, turnos e um "supervisor" que entra quando hesitas. Entender como está montada essa maquinaria é a melhor vacina: se reconheces o passo do guião em que estás, deixas de seguir o caminho que desenharam para ti.

Este artigo não é sobre um golpe concreto. É sobre a fábrica que os produz em série. Vamos desmontar a engenharia social peça a peça: como te escolhem, o que te dizem primeiro, como te sobem a tensão e porque quase sempre acabas a falar com um falso "departamento de segurança". Não te vamos meter medo. Vamos dar-te o mapa.

Porque é que um call center fraudulento funciona como uma empresa?

A imagem do burlão solitário numa cave está ultrapassada. As operações sérias de fraude telefónica parecem-se muito com um centro de atendimento ao cliente legítimo, só que com um objetivo inverso. Há divisão do trabalho, formação, e um roteiro que cada operador deve seguir.

Normalmente a operação divide-se em três camadas:

• Recolha de dados. Alguém consegue as listas: fugas de dados, compras em mercados negros, formulários falsos de prémios, ou simples chamada a frio. Quanto mais souberem de ti antes de marcar (o teu banco, a tua operadora, se esperas uma encomenda), mais credível será o primeiro contacto.
• Primeira linha (o "isco"). Operadores que fazem volume. O trabalho deles ainda não é roubar-te. É classificar-te: ver se atendes, se acreditas no motivo da chamada e se baixas a guarda. Se não funcionas, desligam e passam ao seguinte.
• Segunda linha (o "fecho"). Aqui entra o suposto especialista: o "agente do departamento de fraude", o "técnico de segurança", o "inspetor". É quem executa o roubo real. Só te transferem para ele quando já estás emocionalmente comprometido.

Esta estrutura explica algo que muita gente nota sem entender: porque é que o tom muda a meio da chamada. Não é por acaso. É uma passagem planeada de um elo para outro.

Se quiseres ver como isto se materializa num setor concreto, desmontamo-lo na nossa análise do vishing de banco a fazer-se passar pela tua instituição.

Qual é o guião que seguem, passo a passo?

Quase todas as chamadas fraudulentas percorrem a mesma sequência. Não porque os burlões sejam pouco criativos, mas porque esta estrutura funciona: está otimizada como um funil de vendas. Estes são os seis passos.

Repara que o dinheiro ou o dado sensível chega sempre no fim, no passo 6. Os cinco passos anteriores existem só para que, quando chegar, já estejas em modo "obedecer". Reconhecer em que degrau dessa escada te encontras é exatamente o que te permite quebrar o guião antes que seja tarde.

Como criam autoridade se não são quem dizem ser?

A autoridade é emprestada. O operador não a tem, por isso simula-a com três ferramentas.

A primeira é o identificador de chamada. Através de spoofing, conseguem fazer aparecer no teu ecrã o nome ou o número real do teu banco. Por isso a regra de ouro é nunca confiar no que mostra o ecrã.

A segunda é o vocabulário corporativo. Usam termos que soam internos: "o seu processo", "o protocolo de segurança", "o departamento antifraude". Memorizam frases que um cliente esperaria ouvir. Soa profissional porque está ensaiado, não porque seja verdade.

A terceira, cada vez mais, é a voz clonada com IA. Com poucos segundos de áudio conseguem recriar uma voz para reforçar um engano. O INCIBE alertou para casos em Espanha em que se clona a voz de um familiar para pedir dinheiro urgente. Tratamo-lo a fundo em voz clonada com IA em golpes telefónicos.

Porque é que a urgência é a arma principal?

Porque o teu cérebro tem dois modos de decidir. Um é lento, racional, comparador. O outro é rápido, emocional, reativo. A urgência tem um único objetivo: desligar o modo lento. Quando achas que vais perder dinheiro nos próximos sessenta segundos, deixas de fazer as perguntas que normalmente te salvariam.

Os operadores provocam-no com técnicas concretas:

• Contagem decrescente artificial. "Tem de confirmar nos próximos minutos ou o débito será definitivo." Esse relógio não existe. Inventam-no para que não desligues para verificar.
• Escalada do castigo. Começa por ser "um débito suspeito" e acaba por ser "a sua conta será bloqueada e perderá todas as suas poupanças". O castigo cresce para que o medo cresça.
• Proibição de consultar. "Não desligue nem fale com ninguém, poderia alertar o burlão." Isto isola-te. Uma instituição real nunca te impede de desligar e ligar tu pelo canal oficial.
• Reforço de obediência. "Muito bem, está a fazer tudo na perfeição, já está quase." Premeiam-te por seguir o guião, como em qualquer processo de venda.

A contramedida é simples e poderosa: a pressa é o golpe. Nenhuma gestão legítima do teu banco, das Finanças ou da tua operadora se parte porque demoras dez minutos a desligar e voltar a ligar por um número oficial. Se alguém te mete pressa para que não verifiques, já tens a tua resposta.

O que é exatamente o "departamento de segurança" para o qual te transferem?

É o truque psicológico mais eficaz de toda a operação, e merece a sua própria secção.

Quando o primeiro operador te tem assustado mas ainda em dúvida, diz-te: "Vou passá-lo ao nosso departamento de segurança / fraude / proteção de contas". Soa a que o banco está a levar o teu problema a sério. Na realidade, é uma transferência interna dentro do mesmo call center, do operador de isco para o operador de fecho.

Funciona por várias razões ao mesmo tempo:

• Reforça a ficção. Se há "departamentos", deve ser uma organização real. O teu cérebro interpreta-o como prova de legitimidade.
• Sobe a patente. O novo interlocutor fala com mais segurança, usa mais jargão e projeta mais autoridade. É o "especialista".
• Reinicia a tua resistência. Contaste a tua dúvida ao primeiro. Com o segundo começas do zero, mais cansado e com menos energia para discutir.
• Isola a decisão. Agora estás "nas mãos do especialista". Sentes que desligar seria mal-educado ou que perderias a ajuda. Essa culpa é fabricada.

Aqui está a regra que nunca falha: a passagem a um departamento de segurança que pede ações é, por si só, o sinal de alarme máximo. O teu banco real pode transferir-te entre departamentos, sim, mas nunca te pedirá nessa chamada que lhe dês um código, que movas dinheiro ou que instales uma aplicação. No momento em que chega o pedido (o passo 6 da tabela), desliga. Não é falta de educação desligar a um ladrão.

Como te pedem o dinheiro ou os dados no fim?

O passo final tem poucas variantes, e reconhecê-las blinda-te. Estes são os pedidos de fecho mais habituais:

• O código SMS. "Acabámos de lhe enviar um código de verificação, diga-mo para confirmar a sua identidade." Esse código costuma ser o segundo fator de autenticação de uma operação que eles estão a iniciar contra a tua conta. Se o leres em voz alta, autorizas o roubo. Nenhum funcionário legítimo precisa que lhe digas um código que chega ao teu telemóvel.
• A "conta segura". "Para proteger o seu dinheiro, vamos movê-lo para uma conta cofre temporária." Não existem contas seguras temporárias. É a conta do burlão.
• O acesso remoto. Na fraude de suporte técnico pedem-te para instalar AnyDesk, TeamViewer ou QuickAssist "para resolver o problema". Isso dá-lhes controlo do teu equipamento e do teu banco online. O INCIBE alertou para o reaparecimento das falsas chamadas do suposto suporte técnico da Microsoft.
• O link de pagamento. Mais comum combinado com SMS: mandam-te um link para "verificar" ou "libertar" algo e pagas uma quantia pequena que abre a porta a uma fraude maior.

Todos estes pedidos partilham uma característica: pedem-te a ti uma ação que só beneficia o atacante. É a prova dos nove. Se o que te pedem te prejudica e só faz sentido para quem liga, desliga.

O que fazer no meio da chamada e depois?

Durante a chamada, a tua única jogada vencedora é quebrar o guião. Não discutas, não tentes apanhá-los, não dês explicações. Desliga. Depois:

1. Verifica pelo canal oficial. Liga tu para o número no verso do teu cartão, entra na app oficial ou usa o telefone da tua operadora que já tenhas guardado. Nunca devolvas a chamada ao número que te ligou.
2. Não uses os dados que te deram. Nem telefones, nem links, nem "referências de processo". Tudo faz parte do cenário.
3. Se já deste algo, age depressa. Temos um guia passo a passo de o que fazer se já deste os teus dados num golpe que começa por bloquear o cartão e mudar palavras-passe.
4. Reporta o número. É o que transforma o teu mau momento em proteção para os outros.

Para denunciar e pedir ajuda em Espanha tens o 017 do INCIBE, que atende casos de vishing, smishing e links bancários fraudulentos. Se te fizeram passar pelas Finanças, verifica-o sempre no portal eletrónico da AEAT (com Cl@ve ou certificado), nunca por links de um SMS ou email; explicamo-lo em como verificar uma notificação das Finanças ou da Segurança Social.

Porque é que reportar faz mal à fábrica?

Um call center fraudulento vive da rentabilidade por chamada. Precisa de números que funcionem, listas de vítimas potenciais e a vantagem da surpresa. Quando um número é reportado e aparece marcado, perde eficácia: as apps bloqueiam-no, as pessoas procuram-no antes de atender e o operador tem de rodar linhas, o que lhe custa dinheiro. A defesa coletiva ataca diretamente o seu modelo de negócio.

No NoCall mantemos um diretório comunitário precisamente para isso: podes consultar e reportar números marcados como spam para que o próximo que receba essa chamada a reconheça a tempo.

A lição de fundo é esta: quando reconheces que estás dentro de um guião (autoridade emprestada, medo fabricado, urgência artificial e o famoso "departamento de segurança"), recuperas o controlo. A maquinaria depende de que não saibas que é uma maquinaria. Agora já o sabes.

Recebeste uma destas chamadas? Reporta-a em /numeros-spam e ajuda a que o próximo a reconheça a tempo.