O que é o ataque de vishing?
O vishing, ataque de phishing por voz, é o uso fraudulento de chamadas telefônicas e mensagens de voz, combinado com técnicas de engenharia social, para convencer a vítima a revelar informações privadas, como dados bancários e senhas. O ataque de vishing também pode ser direcionado a empresas quando um invasor finge ser um funcionário de TI para obter acesso a senhas e outras informações privadas dessa empresa.
O objetivo de um ataque de vishing é convencer o alvo a fornecer dados que o invasor pode usar para ganho financeiro. Isso varia de roubar um cartão de crédito até roubar a identidade de um indivíduo. Os objetivos do vishing ao atacar uma empresa são semelhantes (ganho financeiro), mas geralmente estão mais interessados em dados secretos de segurança para planejar ataques futuros.
Diferença entre phishing, vishing e smishing
Phishing: termo genérico que descreve ataques em que o invasor se passa por uma pessoa ou organização respeitável para roubar credenciais ou informações confidenciais. A forma mais popular de phishing é o realizado por e-mail, que muitas vezes tem como alvo CEOs e compromete contas de e-mail corporativas.
Smishing: tipo de ataque de phishing que interage com suas vítimas por meio de mensagens de texto fraudulentas.
Vishing: como explicado acima, é um tipo de ataque de phishing que interage com suas vítimas por meio de ligações telefônicas e mensagens de voz.
Como funciona um ataque de vishing?
O ataque vishing tende a seguir estes 3 passos:
1. Coleta de números de telefone
Normalmente, isso acontece por meio de outros métodos de phishing ou acessando dados privados armazenados por empresas onde as pessoas provavelmente forneceram seus números de telefone, como restaurantes ou lojas de varejo. Às vezes, o invasor usa um software que liga para várias pessoas usando um número de telefone com o mesmo código de área, esperando que alguém atenda e confirme o número. Quando ocorre um ataque de vishing, o perfil do identificador de chamadas é falso, fazendo com que a chamada pareça ser de um código de área local ou de uma organização confiável, como um banco.
2. Conquistar a confiança
Seja fingindo ser uma empresa de cartão de crédito, uma empresa de entrega ou um serviço de utilidade pública, a fraude é criada para ganhar confiança. Isso geralmente é combinado com uma solicitação urgente, do tipo "um usuário não autorizado usou seu cartão de crédito, confirme sua identidade agora para evitar cobranças indevidas". O objetivo dessas mensagens urgentes é causar pânico na vítima em potencial, fazendo-a responder sem checar as informações.
3. Roubar informações pessoais para obter ganhos financeiros
Se o ataque de vishing for bem-sucedido, o invasor usará as informações pessoais roubadas para obter ganhos financeiros. Isso pode incluir o uso dos dados de um cartão de crédito roubado para efetuar compras ou solicitar um novo cartão. Com as informações certas, o invasor pode roubar sua identidade ou esvaziar sua conta bancária. Ser capaz de reconhecer um ataque de vishing pode ajudar a evitar que seu dinheiro seja roubado.
Como reconhecer ataques de vishing
Para reconhecer um ataque de vishing, você precisa entender as maneiras como os invasores enganam as vítimas e os objetivos deles. Saber o que pode fazer de você um alvo, como um problema técnico recente na empresa ou um e-mail suspeito, pode ajudar você a ficar alerta. Ataques de vishing são concebidos para conseguir informações privadas e podem ter como alvo indivíduos ou empresas. Ser capaz de reconhecer uma tentativa de vishing é sua melhor defesa.
Sinais do ataque de vishing
- O principal sinal de alerta de um ataque de vishing é quando a pessoa que entra em contato pede informações privadas. Alguns invasores já têm informações parciais e as utilizam para convencer a vítima a compartilhar mais. Tenha sempre cuidado com quem liga pedindo informações bancárias, números de benefícios sociais ou outros dados privados.
- Uso de táticas psicológicas, como medo, ganância e senso de urgência. Ameaças de prisão iminente ou problemas urgentes com sua conta visam fazer você agir antes de verificar. Manter a calma e desligar ao receber essas ligações são as principais maneiras de evitar o ataque de vishing.
- Ligações alegando problemas na conta ou suporte técnico. Muitas vezes, mensagens aparecerão inadvertidamente no seu computador informando que seu dispositivo está infectado e que você deve ligar para um número gratuito fingindo ser de um suporte técnico.
Saiba mais
Quem são os principais alvos de ataques de vishing? Ao mirar uma empresa, os ataques de vishing focam em novos funcionários, departamentos de RH, de TI e call centers. Novos contratados e funcionários responsáveis por fazer ligações para outras organizações correm maior risco de serem alvos. Golpistas de vishing geralmente fingem ser técnicos de suporte e tentam convencer a vítima a fornecer acesso aos computadores. Às vezes, esses invasores fazem com que a vítima instale software com código malicioso para obter mais acesso à empresa. Quando miram indivíduos, os ataques de vishing geralmente focam em consumidores comuns que provavelmente têm conta em um grande banco ou serviço de entrega. Os ataques de vishing geralmente são vagos nos detalhes para evitar revelar a fraude. Afinal, convencer alguém de que sua conta bancária está em risco não funciona se o golpista errar o nome do banco. Os invasores usam o medo, o pânico ou a ganância para impedir que a vítima desconfie do golpe.
5 tipos de ataques de vishing
| Tipos | Descrição |
|---|---|
| 1. Wardialing | No vishing do tipo wardialing, os ciber criminosos ligam para códigos de área específicos e usam mensagens automáticas para assustar as vítimas. Eles fingem ser um banco local, uma empresa ou uma delegacia de polícia ligando para verificar se sua conta não foi comprometida e geralmente pedem informações confidenciais, como endereço de correspondência, dados bancários e até números de benefícios sociais. |
| 2. VoIP | O VoIP é uma das técnicas de vishing mais difíceis de identificar, pois os ciber criminosos se escondem atrás de um número falso. Geralmente são números 0800 ou números falsos com o código de área local da vítima. |
| 3. Dumpster diving | O dumpster diving é uma técnica que muitos não acreditam ser usada, mas acontece exatamente assim. Com esta técnica. Criminosos vasculham lixeiras de bancos ou outras organizações importantes para reunir informações suficientes para conduzir ataques direcionados. As informações que eles podem coletar incluem tipo de conta, número de telefone, e-mail, etc. que servem de base para aplicação das técnicas de engenharia social no ataque. |
| 4. Spoofing de ID de chamada | Este tipo de ataque de vishing é semelhante ao VoIP, com a diferença de que o identificador de chamadas, em vez de mostrar um número, mostra a mensagem "IRS" ou "Delegacia de polícia". |
| 5. Suporte técnico | Os golpistas fingem ser do suporte técnico de grandes empresas como Apple, Microsoft ou Bank of America. É importante lembrar que os bancos jamais solicitarão dados pessoais, como números de benefícios sociais, por telefone. |
Como evitar e prevenir ataques de vishing
O mais importante para evitar ataques de vishing é manter a calma e não divulgar informações privadas. Essa estratégia funciona bem contra o golpe de vishing porque evita seu objetivo principal: obter informações. Para uma empresa, há medidas adicionais que podem ser adotadas para garantir que os funcionários ajudem a proteger os negócios. Prevenir um ataque de vishing pode ser tão simples quanto desligar o telefone, mas existem medidas adicionais para ajudar a evitar esse risco.
4 dicas para evitar ataques de vishing
- Mantenha as informações em sigilo: não divulgue dados de login e senhas e jamais compartilhe informações do passaporte ou da CNH. Isso ajuda a manter sua conta e identidade mais seguras.
- Inscreva-se no sistema nacional de registro de números protegidos: é um serviço gratuito que remove seu número de telefone de listas de contato não autorizadas. Embora os ataques de vishing não sigam esta lista, as ligações de números desconhecidos terão menor probabilidade de serem interlocutores legítimos.
- Verifique os números desconhecidos: use aplicações móveis para verificar eventuais números desconhecidos.
- Encaminhe chamadas desconhecidas para o correio de voz: como alternativa, você pode enviar as chamadas desconhecidas para o correio de voz e, em seguida, retornar a ligação diretamente para a pessoa legítima. Se parecer que seu banco está ligando, mas você desconfiar, ligue diretamente para o banco e veja se ele entrou em contato com você. Ter cautela pode custar um tempo extra, mas esse custo é melhor do que revelar informações pessoais valiosas.
Como as empresas podem prevenir ataques de vishing
A melhor tática de negócios para prevenir o vishing é praticar uma boa cibersegurança. Isso pode começar com treinamento de conscientização de segurança para novos funcionários, explicando o perigo que o vishing representa para uma empresa. Certifique-se de que o funcionário saiba que não deve dar acesso ao computador, exceto a técnicos verificados.
Você pode evitar que um ataque de vishing seja bem-sucedido reportando a suspeita e desligando o telefone ao sentir o perigo. Ataques de vishing bem-sucedidos contra empresas podem levar a mais riscos de segurança, portanto, a prevenção é fundamental. No entanto, se você já sofreu um ataque de vishing, ainda há meios de se recuperar.
Expert Tip
Siga as dicas descritas neste guia sobre como implementar um programa completo de treinamento sobre cibersegurança para seus funcionários. É essencial que eles se mantenham atualizados sobre os ataques mais comuns que afetam o setor e como eles miram os funcionários para aprender a serem proativos em relação à segurança. Isso inclui treinamento sobre como detectar tentativas de phishing.
Leia: Como criar um programa abrangente de treinamento sobre cibersegurança para os funcionários
Como se recuperar de um ataque de vishing
O processo de recuperação de um ataque de vishing varia de acordo com o momento em que você percebe o golpe. Os melhores momentos para reagir são durante o ataque ou logo após ele, mas também é possível se recuperar depois que danos já foram causados. Reportar o crime é sempre um bom ponto de partida.
Medidas a serem tomadas enquanto o ataque de vishing estiver em andamento
Se você estiver em uma chamada telefônica e perceber que é um ataque de vishing, desligue. O golpista não poderá acessar seu computador ou informações pessoais se você não fornecer esses dados a ele. Você sempre pode reportar o número após desligar, principalmente se dados de negócios eram o objetivo.
Medidas a serem tomadas pelas vítimas de vishing
Para aqueles que já forneceram seus dados em resposta a um ataque de engenharia social, como vishing, ainda há o que fazer: A primeira coisa é alterar todas as suas senhas, ligar para sua instituição financeira e reportar o ocorrido. A Comissão Federal de Comércio deseja relatórios sobre vishing. Qualquer website ou serviço que contenha as informações que você forneceu precisa de atenção prioritária.
Algumas contas usam autenticação multifator e outras informam quando um novo dispositivo acessa a conta. Verifique essas medidas de segurança para ter certeza de que ainda estão funcionando. Você também deve entrar em contato com os provedores das suas informações comprometidas, como empresas de cartão de crédito e bancos. Adotar essas medidas ajuda a minimizar os danos causados pelo vishing.
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
