Um grupo criminoso está comercializando infraestrutura de telefonia VoIP para aplicar golpes em larga escala contra usuários do Caixa Tem, aplicativo da Caixa Econômica Federal voltado a beneficiários de programas sociais. A operação foi identificada por uma investigação de fonte aberta (OSINT) conduzida pelo pesquisador de segurança Clandestine (@akaclandestine).Serviço é vendido no mercado undergroundO produto, chamado de "SIP Caixa Tem", inclui troncos SIP com spoofing de número, tecnologia que faz a chamada aparecer no celular da vítima como se viesse do 0800 726 0207, número oficial da Caixa. Os pacotes variam de 5 canais por R$ 1.500 a 100 canais por R$ 11.000, com minutos a R$ 0,10 cada.Por R$ 2.000 adicionais, o comprador tem acesso a um discador automático com até 50 chamadas simultâneas e transcrição de voz em tempo real. O operador lê as respostas da vítima na tela sem precisar ouvi-las.Esse tipo de operação funciona como um streaming, os criminosos pagam para usar e nem sempre é necessário ter um entendimento avançado do funcionamento da tecnologia.SIP e vishing: meio e conteúdoA infraestrutura SIP e o vishing funcionam de forma complementar. "A SIP é o “meio” (troncos VoIP brasileiros com spoofing do número oficial da Caixa + auto-dialer + transcrição em tempo real).O vishing é o “conteúdo” (o script de engenharia social que convence a vítima a abrir o app Caixa Tem ao vivo e entregar acesso)", explica ClandestineComo o golpe funcionaO discador dispara chamadas para bases de dados de beneficiários vazados. Quando a vítima atende, o criminoso informa que a conta está bloqueada ou com problema e pede que ela abra o aplicativo.O roteiro pode envolver compartilhamento de tela, fornecimento de códigos OTP ou alteração de e-mail, senha e telefone cadastrado. Com o acesso obtido, o saldo é transferido via PIX para contas laranjas.Tanto ao telefone quanto por chamada de vídeo, os criminosos fingem tentar ajudar a vítima a resolver problemas em suas contas.Base de dados vazados alimenta o esquemaOs criminosos utilizam números de bancos de dados de beneficiários vazados de pessoas com conta Caixa Tem vinculada a programas sociais. "Não é possível apontar um vazamento único e recente como origem dessa campanha específica, pois esses dados circulam há anos no mercado underground a partir de exposições históricas de CadÚnico, INSS e programas assistenciais", disse o pesquisador.A escala é industrialCom 100 canais SIP e 50 threads de discagem simultânea, uma única operação consegue realizar milhares de ligações por dia por operador. Não há como mensurar a escala de quantas pessoas podem ser atingidas pela campanha, mas todo o esquema é pensado para enganar o máximo de pessoas possível."A infraestrutura foi projetada exatamente para ataques em larga escala. O desenho do serviço deixa claro que o objetivo é volume industrial", afirmou o pesquisador.A Caixa Tem é o alvo porque, com dezenas de milhões de beneficiários, datas de crédito previsíveis e dados pessoais amplamente expostos em vazamentos históricos, a chance de ter sucesso no golpe é maior.Como se protegerA Caixa nunca solicita senhas, códigos ou autorização de transações por telefone. O número no visor pode ser falsificado — receber uma chamada do 0800 726 0207 não garante que ela é legítima.Em caso de ligação suspeita, desligue e contate a Caixa você mesmo pelo canal oficial. Denúncias podem ser feitas pelo aplicativo ou pelo 0800 726 0207.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.