Por Jason Keenaghan, Director of Product Management da Thales
“Embora o e-mail ainda seja o mecanismo mais comum para engenharia social, observamos cada vez mais ataques via mídias sociais, plataformas como o WhatsApp, comprometimento físico, correspondência tradicional e chamadas telefônicas”, afirma o hacker ético FC em um blog.
A maioria das pessoas está familiarizada com o termo phishing, mas nem todos conhecem o vishing. Trata-se de uma atividade fraudulenta que se enquadra na categoria geral de phishing e tem como objetivo alcançar os mesmos objetivos. Os vishers utilizam software de alteração de voz, mensagens de texto, engenharia social e números de telefone fraudulentos para enganar os usuários e obter informações sensíveis. Ao contrário de outras formas de phishing, o vishing utiliza a voz como principal ferramenta de engano. Já o smishing é outra forma de phishing que utiliza mensagens de texto SMS para atingir os usuários, frequentemente em conjunto com chamadas de voz, dependendo dos métodos do atacante.
Como os vishers operam?
Os atacantes de phishing geralmente enviam inúmeras mensagens de e-mail para uma lista de alvos em potencial. Em geral, eles usam mensagens de e-mail convincentes para enganar os usuários, fazendo-os responder com informações sensíveis ou convencendo-os a clicar em um link que hospeda malware. Além disso, anexos maliciosos também são frequentemente usados em alguns ataques de phishing.
Os atacantes de vishing geralmente usam dois métodos para enganar suas vítimas. O primeiro método envolve o envio de uma mensagem de texto para grandes quantidades de vítimas em potencial a partir de uma longa lista de números de telefone. A mensagem pode pedir ao usuário que ligue para o número do atacante. O segundo método é criar uma mensagem automatizada e usar a robô-chamada para entrar em contato com vítimas em potencial. Mensagens de voz geradas por computador, sem sotaque, são usadas para ganhar confiança. A mensagem de voz então engana o usuário para se conectar a um agente humano que continua com o golpe, ou pode pedir ao usuário para abrir um site controlado pelo atacante.
Quando um criminoso cibernético tem alguém ao telefone, eles usam várias técnicas de engenharia social para apelar para os instintos básicos de confiança, medo, ganância e desejo de ajudar da vítima. O criminoso pode usar um ou todos esses métodos para convencer a vítima de que está fazendo a coisa certa, dependendo do esquema de vishing.
Por exemplo, golpistas podem se passar pela esposa de um funcionário, pedindo ao departamento de RH que entre em contato urgentemente com o número de telefone do funcionário. Outro exemplo típico é fingir ser um neto, pedindo dinheiro aos avós para ajudar em uma situação difícil.
Os golpistas são principalmente motivados financeiramente. Eles usarão todo o seu “charme” para convencer as vítimas a divulgar informações de conta bancária ou detalhes do cartão de crédito. Eles podem até mesmo pedir à vítima que tome medidas, como transferir fundos, enviar documentos confidenciais relacionados ao trabalho ou fornecer detalhes sobre seu empregador.
Como prevenir ataques de vishing
Uma tentativa de vishing é um ataque que requer tempo. O golpista precisa conquistar a confiança da vítima ou amplificar emoções de medo ou ganância para convencê-la a dar o próximo passo.
No entanto, a conscientização sobre esse método de engenharia social é o passo mais essencial para prevenir o vishing. As organizações devem educar os usuários para ajudá-los a reconhecer os ataques de vishing e denunciá-los. Além disso, as pessoas devem ter cautela ao fornecer informações pessoais a alguém que entre em contato por meio de mensagens de texto ou chamadas de voz. Qualquer instituição legítima fornecerá um número principal para ligar, permitindo que você verifique se a ligação é oficial antes de compartilhar qualquer detalhe sensível.
Outra maneira de se proteger contra o vishing é pensar racionalmente e identificar quando alguém está tentando mexer com nossas emoções inserindo pressão. A melhor maneira de fazer isso é pausar, pensar na conversa e depois agir. Lembre-se de que os bancos nunca pedirão que você divulgue dados financeiros. E se o golpista fingir ser seu filho ou filha, você sempre pode ligar de volta para verificar a validade da história.
Finalmente, uma precaução razoável é ignorar chamadas ou mensagens de números desconhecidos e bloquear essas chamadas em seu telefone celular. Se o golpista usar táticas sofisticadas, como falsificação do identificador de chamadas, nunca forneça informações sensíveis, independentemente de onde o chamador alega trabalhar.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.