{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreifz7cxglk2kjow4eyi5ofakvcfjdph5yorqer6ulwt6bkjftopmme",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mjnlrnzrrgz2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreih4t2pcryizoqzbiplqjx6nlgnaemfxsykoz4lcnf3txlsoiiwkqi"
},
"mimeType": "image/png",
"size": 915699
},
"path": "/seguranca/412465-plataforma-criminosa-que-pode-imitar-voz-de-assistentes-via-ia-e-lancada-na-dark-web.htm",
"publishedAt": "2026-04-16T22:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança"
],
"textContent": "Uma nova plataforma de cibercrime, chamada ATHR, obtém credenciais por meio de ataques de **phishing por voz (vishing)** totalmente automatizados. Nessa campanha, criminosos utilizam tanto operadores humanos quanto agentes de IA na fase de engenharia social.\n\nA operação é anunciada em fóruns clandestinos por US$ 4 mil e uma comissão de 10% sobre os lucros. Os criminosos alegam que o ATHR é capaz de roubar dados de login de vários serviços, incluindo Google, Microsoft e Coinbase.\n\nA automação abrange todas as etapas do ataque orientado por telefone (TOAD). Inclusive é capaz de atrair alvos por e-mail, realizar engenharia social baseada em voz e coletar credenciais de conta.\n\nDashboard em tempo real do ATHR consolida métricas de operação: sessões totais, chamadas ativas, agentes disponíveis e tempo médio de espera. Imagem: Abnormal.\n\n## Cadeia de ataque do ATHR é personalizável\n\nDe acordo com pesquisadores da empresa de segurança Abnormal, o ATHR é um gerador completo de ataques de phishing/vishing. Ele oferece modelos de e-mail específicos para marcas, personalização por alvo e mecanismos de spoofing para fazer parecer que a mensagem vem de um remetente confiável.\n\nNo momento da análise, os pesquisadores observaram que o ATHR se passava por oito empresas. São elas Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo e AOL.\n\nO ataque começa com a vítima recebendo um e-mail elaborado para passar por verificações e até mesmo por checagens de autenticação técnica.\n\nRoteiro de dez etapas orienta o agente de IA durante a ligação com a vítima. As seções cobrem desde a verificação do callback e a simulação de atividade suspeita até a extração do código de verificação de seis dígitos. Imagem: Abnormal.\n\n## Agentes de IA conduzem a engenharia social por voz\n\nAo ligar para o número de telefone indicado no e-mail, a vítima é encaminhada, por meio do Asterisk e do WebRTC, para agentes de voz com IA. Os agentes são controlados por mensagens cuidadosamente elaboradas que a orientam durante o processo de roubo de dados.\n\nOs agentes seguem um roteiro de várias etapas que simula um incidente de segurança. Para contas do Google, eles reproduzem o processo de recuperação e verificação da conta, utilizando prompts predefinidos.\n\nIsso é feito para que os agentes moldem seu tom, abordagem, personalidade e comportamento para imitar uma equipe de suporte profissional. O objetivo é fazer a vítima passar o código de verificação de seis dígitos que permite ao invasor obter acesso à sua conta.\n\nPainel de monitoramento exibe em tempo real as sessões abertas por vítima, com identificação da plataforma-alvo (Google, Coinbase, Gemini), endereço IP e horário da última atividade. Sessões marcadas como \"Inactive\" indicam alvos que abandonaram o fluxo antes de entregar as credenciais. Imagem: Abnormal.\n\n## Painel centraliza controle e dados em tempo real\n\nEmbora o ATHR ofereça a opção de encaminhar a chamada para um operador humano, a capacidade de usar um agente de IA é o seu diferencial. O painel do ATHR dá aos operadores controle sobre todo o processo e dados em tempo real para cada ataque por alvo.\n\nPor meio do painel, eles controlam a distribuição de e-mails, atendem chamadas e gerenciam operações de phishing. Além de conseguirem monitorar os resultados em tempo real e receber registros contendo os dados roubados.\n\nMódulo de disparo de e-mails do ATHR permite selecionar perfis de remetente que imitam Coinbase, Gemini e Binance. O template \"google-account-lockout\" gera automaticamente uma mensagem de alerta de segurança falsa, com campos personalizáveis como endereço IP, número de tentativas e e-mail de recuperação. Imagem: Abnormal.\n\nAtaques que usam esse tipo de serviço, conhecido como malware-as-a-service, faz com que o crime seja acessível até mesmo para quem não entende de tecnologia. Isso porque plataformas como o ATHR funcionam como um streaming, com todas as opções prontas, tudo que o cibercriminoso precisa fazer é clicar.\n\n## Como se proteger\n\nA defesa contra esse tipo de ataque requer uma abordagem diferente. Isso porque os e-mails de isca não apresentam indicadores confiáveis, são personalizados para se autenticarem corretamente e aparecem como notificações válidas.\n\nInterface de operação do ATHR mostra o espaço de trabalho de chamadas integrado ao sistema de voz Asterisk via WebRTC. O painel centraliza controles de ligação, fila de atendimento e acesso a ferramentas de phishing em uma única tela. Imagem: Abnormal.\n\nNo entanto, a detecção é possível ao verificar os padrões de comportamento de comunicação entre remetente e destinatário e identificando se iscas semelhantes com um número de telefone chegaram à organização em um curto espaço de tempo.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Plataforma criminosa que pode imitar voz de assistentes via IA é lançada na dark web"
}