Vishing: uma ameaça crescente contra as empresas
É bem provável que você já tenha ouvido o termo phishing por aí. É esse o nome que damos à técnica criminosa de enganar um internauta com uma mensagem falsa, geralmente com o intuito de incentivar a vítima a baixar um arquivo maligno ou informar dados sigilosos. Porém, nem todos conhecem o famoso vishing, uma fusão dos termos “voice” (voz) e “phishing” que denominam uma fraude efetuada por meio de ligações telefônicas.
Menos comum do que o “phishing tradicional”, o vishing sempre foi encarado pela comunidade de segurança da informação como uma tática mais focada em lesar o usuário final. Porém, ao longo dos últimos anos, foi possível observar um aumento no uso dessa modalidade em campanhas contra ambientes corporativos, geralmente com o intuito de roubar propriedades intelectuais ou extorquir dinheiro com supostas cobranças ao departamento financeiro. Até mesmo o Centro de Coordenação de Segurança Cibernética de Saúde dos EUA (HC3) emitiu um alerta sobre o assunto.
“O phishing de voz, também conhecido como vishing, é a prática de obter informações ou tentar influenciar ações por telefone. Ao longo de 2021, o HC3 notou um aumento acentuado desses ataques em todos os setores. As técnicas de engenharia social continuam sendo bem-sucedidas em fornecer acesso inicial a organizações e o setor de saúde deve permanecer alerta a esse cenário de ameaças em evolução, com ênfase no treinamento de conscientização do usuário”, enfatiza o órgão.
Há um porquê
Existem alguns fatores que explicam o aumento de ataques de vishing contra corporações, e o principal deles é a popularização do trabalho remoto. Com a equipe de colaboradores dispersa, muitas vezes um funcionário usa o próprio smartphone e número de telefone para receber ligações a respeito de suas atividades profissionais. Via de regra, o ser humano está mais suscetível a cair na lábia de um criminoso que emprega engenharia social durante uma conversa do que ao ler algo escrito na tela do computador. Afinal, em conversas, temos menos tempo para pensar e precisamos responder rápido.
Como dissemos anteriormente, as motivações por trás do golpista que efetua um vishing podem ser diversas. Esse tipo de ataque pode ser usado para entregar malwares, roubar dados, realizar fraudes financeiras ou simplesmente causar disrupções nas operações da empresa. Se combinado com a fraude do CEO ou com o comprometimento de e-mail corporativo (business email compromise ou BEC), o vishing também é uma arma poderosa para extorquir colaboradores, especialmente os de baixo nível hierárquico.
Aliás, falando em combinações com outras táticas maliciosas, é importante citar que o vishing pode ocorrer em duas vias. O mais comum é que a vítima receba a ligação do meliante, mas ela também pode ser incentivada — através do phishing convencional — a ligar por conta própria para os criminosos. Geralmente, os golpistas encontram alguma forma de convencer o alvo de que ele precisa entrar em contato com uma suposta central de atendimento ao cliente, suporte técnico de algum software usado no ambiente corporativo e assim por diante.
Como se proteger?
Felizmente, não é muito difícil identificar um ataque de vishing, uma vez que suas características são bem parecidas com as do phishing tradicional. Você deve ficar alerta caso perceba que, durante uma ligação telefônica, o interlocutor esteja transparecendo um senso de urgência, te apressando para “resolver um problema urgente”, ou solicitando informações em demasia. Além disso, lembre-se sempre de que bancos e instituições governamentais, por exemplo, jamais entram em contato requisitando senhas ou dados pessoais — logo, redobre a atenção contra supostos porta-vozes dessas empresas.