O que é vishing? Desmascarando golpes e técnicas de phishing por voz

Publicados: 2023-10-12
ataques de vishing explicados

Vishing, uma mistura insidiosa de comunicação por voz e táticas de phishing, apresenta um desafio formidável à medida que os golpistas refinam seus métodos com uma sofisticação alarmante. Neste artigo, investigamos a sua mecânica, a manipulação psicológica que emprega e as estratégias vitais de reconhecimento e prevenção, munindo os indivíduos com o conhecimento necessário para navegar nas águas precárias do ciberengano baseado na voz.

O que é vishing?

Vishing, ou phishing de voz, é uma forma de ataque de engenharia social em que os agentes de ameaças usam chamadas telefônicas ou mensagens de voz para induzir indivíduos a divulgar informações confidenciais, como senhas, detalhes de cartão de crédito ou números de Seguro Social. Ao explorar a tendência humana de confiar na comunicação por voz, os perpetradores de vishing criam uma falsa sensação de urgência ou medo, levando as vítimas a agir sem verificar a identidade de quem liga.

À medida que as pessoas continuam a preferir o envio de mensagens de texto, torna-se fundamental educá-las sobre o reconhecimento e o combate ao vishing, garantindo um cenário de comunicação seguro numa época em que um telefonema pode por vezes ser fora do comum. Equilibrar a conveniência das mensagens de texto com a consciência das ameaças baseadas na voz é essencial para promover canais de comunicação seguros e preferenciais.

Navegando no cenário do phishing-smishing-vishing

Originado na década de 1990, o termo “phishing” representava as táticas que os golpistas usavam como “iscas” para enganar as vítimas no mundo digital. Este termo persiste até hoje, representando fraudes que envolvem engenharia social para induzir indivíduos a caírem em armadilhas enganosas.

Com a progressão do crime cibernético, surgiram novas terminologias como “smishing” e “vishing”, enquadrando-se na categoria mais ampla de phishing. Os ataques smishing envolvem fraudadores enviando SMSs, com o objetivo de convencer os destinatários a clicar em um link malicioso ou compartilhar informações pessoais por meio de troca de texto.

Por outro lado, vishing incorpora comunicação de voz em algum estágio do ataque. O objetivo da mensagem inicial é convencer uma vítima em potencial a discar um número, permitindo que os invasores continuem enganando ou confirmem a propriedade do número contatado.

Como funciona a vishing?

Os ataques Vishing são operações complexas que envolvem muito mais do que apenas discar números aleatórios para ter sucesso. Mergulhe na jornada detalhada de quatro fases de um ataque vishing abaixo:

Como funciona um ataque de vishing infográfico

Fase 1: Investigação

O ataque começa com os atores da ameaça pesquisando exaustivamente seus alvos. Nesta fase, podem distribuir e-mails de phishing, antecipando respostas de potenciais vítimas dispostas a partilhar os seus dados de contacto. O emprego de software sofisticado permite-lhes ligar para uma multidão de pessoas, utilizando um número que partilha o código de área das suas vítimas.

Fase 2: Execução da chamada

Se uma vítima for enganada por um e-mail de phishing anterior, é provável que ela suspeite menos da chamada recebida. Dependendo da astúcia da tática de vishing, a vítima pode estar antecipando uma ligação, facilitando a vida dos hackers. Os invasores exploram a probabilidade de chamadas de códigos de área locais serem atendidas.

Fase 3: Persuasão

Ao estabelecer contacto, o objectivo do agente da ameaça passa a ser a manipulação dos instintos inerentes de confiança, medo, ganância e altruísmo da vítima. Empregando uma combinação destas técnicas de engenharia social, tranquilizam as vítimas e podem persuadi-las a:

  • Divulgue dados bancários e de cartão de crédito

  • Compartilhe endereços de e-mail

  • Transferir fundos

  • Encaminhar documentos confidenciais relacionados ao trabalho

  • Revele informações sobre seu empregador

Fase 4: Culminação

A jornada vishing não termina aqui. Armados com as informações adquiridas, os agentes maliciosos estão preparados para cometer crimes adicionais. Podem esgotar os recursos bancários da vítima, assumir a sua identidade e executar transações não autorizadas. Além disso, eles podem aproveitar o e-mail da vítima para enganar colegas de trabalho e fazê-los divulgar informações organizacionais confidenciais.

Métodos de vishing

Os Vishers empregam várias táticas para atingir seus objetivos enganosos. Os métodos comuns incluem:

  • Falsificação de identificador de chamadas : os invasores manipulam o identificador de chamadas para fazer parecer que uma entidade confiável, como um banco ou agência governamental, está ligando.

  • Pretexto : O invasor cria um cenário ou pretexto fabricado para extrair informações do alvo.

  • Phishing IVR : sistemas automatizados de resposta de voz interativa (IVR) imitam empresas legítimas para capturar dados confidenciais.

Exemplos comuns de vishing

À medida que estas fraudes se tornam cada vez mais sofisticadas, é essencial reconhecer padrões e cenários comuns. Antes de nos aprofundarmos nos vários exemplos de vishing, vamos nos familiarizar com algumas das táticas mais comuns para que você possa estar um passo à frente e proteger suas informações.

Golpe do IRS

As pessoas que ligam se fazem passar por agentes do IRS, alegando que a vítima deve impostos e pode ser presa, a menos que pague imediatamente, normalmente exigindo o pagamento por meio de cartões-presente ou transferências eletrônicas. Essa variante geralmente envolve mensagens automatizadas alegando discrepâncias nas declarações de impostos e ameaçando ações legais, juntamente com falsificação de identificador de chamadas para imitar o contato do IRS. É crucial verificar essas reivindicações diretamente com o IRS e evitar envolver-se com o golpista.

Golpe de suporte técnico

Os fraudadores se passam por agentes de suporte técnico de empresas respeitáveis, alegando que o computador da vítima contém um vírus. Eles pedem acesso remoto ou pagamento para resolver o problema inexistente.

Alerta de fraude bancária

Os golpistas fingem ser do banco da vítima, afirmando que há atividades suspeitas em sua conta. Eles pedem detalhes da conta e PINs para “verificar” a identidade da vítima e “proteger” a conta. Em vez de obedecer, é aconselhável encerrar a conversa e entrar em contato diretamente com o banco usando as informações de contato do site oficial.

Golpes de loteria ou prêmios

As vítimas recebem ligações informando que ganharam um prêmio ou loteria, mas precisam pagar impostos ou taxas antecipadamente para reivindicar a recompensa. Vigilância e verificação são fundamentais para evitar ser vítima de tais táticas.

Golpes de segurança social

As pessoas que ligam afirmam ser da Administração da Segurança Social, afirmando que o SSN da vítima foi suspenso devido a atividades suspeitas, e pedem informações pessoais para resolver o problema. Notavelmente, a Comissão Federal de Comércio identifica as chamadas telefónicas como o principal método utilizado pelos golpistas que visam os idosos.

Golpes de alerta médico/seguro

Os golpistas oferecem sistemas de alerta médico gratuitos ou fingem ser representantes de seguros de saúde para extrair informações pessoais e financeiras das vítimas, especialmente visando os idosos.

Golpe dos avós

A pessoa que ligou finge ser um neto em perigo, precisando de ajuda financeira imediata, e pede ao avô que não conte a outros familiares.

Golpes de serviços públicos

Fazendo-se passar por representantes de empresas de serviços públicos, os golpistas afirmam que o serviço da vítima será desconectado, a menos que um pagamento imediato seja feito.

Golpes de subsídios do governo

As vítimas são informadas de que foram selecionadas para receber um subsídio governamental e precisam pagar uma taxa de processamento ou fornecer detalhes de contas bancárias para receber os fundos.

Golpes de cobrança de dívidas

Os chamadores se passam por cobradores de dívidas, ameaçando com ações legais, a menos que a vítima pague uma dívida que na verdade não tem. É essencial permanecer cético, pois credores e investidores legítimos não operam dessa maneira nem iniciam contatos inesperados.

reconhecendo ataques de vishing

Como reconhecer ataques de vishing

Reconhecer o vishing pode ser fundamental para se proteger de ser vítima de tais práticas enganosas. Um aspecto importante ao qual prestar atenção é o áudio durante a chamada. A qualidade do áudio da chamada pode ser ruim, com ruídos de fundo que não combinam com um ambiente profissional.

Além disso, os ataques de vishing geralmente exibem sinais reveladores:

  • Urgência : Quem liga insiste em ação imediata, pressionando a vítima a compartilhar informações precipitadamente.

  • Solicitação de informações confidenciais : organizações legítimas raramente solicitam dados pessoais por telefone.

  • Chamador desconhecido : Receber chamadas de números desconhecidos ou inesperados pode ser um sinal de alerta.

Como prevenir a vishing

A defesa contra o vishing requer uma abordagem multifacetada. Para se proteger de se tornar uma vítima, siga as seguintes precauções:

Proteja informações confidenciais

Evite confirmar ou divulgar informações confidenciais por telefone. Lembre-se de que bancos ou agências governamentais autênticas nunca solicitarão dados pessoais por telefone.

Seja observador

Examine a linguagem e o comportamento do chamador. Permaneça vigilante para não revelar qualquer informação pessoal e tenha cuidado com quaisquer ameaças ou exigências urgentes feitas durante a chamada.

Filtre suas chamadas

Se um número desconhecido ligar, é mais seguro deixá-lo ir para o correio de voz. Os identificadores de chamadas podem ser manipulados, portanto, verifique a identidade do chamador ouvindo a mensagem antes de decidir se deseja retornar a chamada.

Limitar informações compartilhadas

Caso responda, evite revelar detalhes sobre você, seu local de trabalho ou sua localização.

Informe-se e verifique

Se o chamador estiver comercializando um produto ou oferecendo recompensas, exija prova de sua identidade e afiliação. Confirme as informações fornecidas antes de compartilhar qualquer uma das suas. Encerre a chamada se eles hesitarem em obedecer.

Registre-se no Do Not Call Registry

Inscrever seu número no Do Not Call Registry dissuadirá os operadores de telemarketing, tornando qualquer chamada dessas entidades suspeita, já que empresas legítimas geralmente respeitam essa lista.

Esteja atento às solicitações oficiais

Esteja ciente de que superiores legítimos ou representantes de RH não exigirão transferências de dinheiro, dados confidenciais ou envio de documentos através de canais pessoais.

Ignore comunicações suspeitas

Não responda a e-mails ou mensagens de redes sociais solicitando seu número de telefone. Essas comunicações podem ser precursoras de ataques direcionados. Relate quaisquer mensagens suspeitas à sua equipe de TI ou de suporte.

Eduque-se

Busque informações de forma proativa, participe de programas de conscientização e use recursos on-line para se familiarizar com as mais recentes ameaças e medidas de proteção.

As empresas que empregam marketing por SMS podem desempenhar um papel na educação dos consumidores sobre o vishing, fornecendo informações sobre como reconhecer e responder a potenciais fraudes e destacando as diferenças entre comunicação legítima e táticas enganosas.

Que etapas você deve seguir se for desejado?

Se você compartilhou involuntariamente seus dados bancários com um suposto golpista, uma ação imediata é essencial.

Entre em contato com seu banco, administradora de cartão de crédito, instituição financeira ou contato relevante do Medicare. Informe-se sobre a possibilidade de interromper transações suspeitas e evitar novas cobranças não autorizadas. Para aumentar a segurança e proteger contra acesso não autorizado, considere alterar os números da sua conta.

Posteriormente, apresente uma reclamação à Federal Trade Commission ou ao Internet Crime Complaint Center do FBI para tomar as medidas apropriadas.

Conclusão

Embora enganoso e potencialmente prejudicial, o vishing pode ser efetivamente mitigado por meio de vigilância, educação e uso criterioso da tecnologia. Mantendo-se informados e praticando cautela, indivíduos e organizações podem frustrar as tentativas dos vishers, garantindo a segurança de informações confidenciais.