O que é vishing?

Vishing, ou phishing por voz, é um ataque de phishing que usa chamadas telefônicas para induzi-lo a fornecer informações pessoais, confidenciais e sensíveis, geralmente detalhes financeiros.

DIGITALIZAÇÃO DE PEGADAS DIGITAIS

Você já deve ter ouvido falar deste cenário nos noticiários: alguém recebe um telefonema urgente da Receita Federal alegando que deve uma grande quantia em impostos não pagos e que um policial irá bater à sua porta se não pagar imediatamente. Em estado de pânico, o alvo do ataque de vishing envia imediatamente um pagamento eletrônico. Quando a vítima percebe o erro, já é tarde demais: sua instituição financeira informa que o dinheiro desapareceu.

O que é um ataque de vishing?

Um ataque de vishing é um tipo de ataque de phishing em que um agente de ameaças usa táticas de engenharia social por meio de comunicação de voz para enganar um alvo. A palavra "vishing" é uma combinação de "voz" ou "VoIP" (Voice over Internet Protocol) e "phishing". O golpista pode tentar convencer o alvo a enviar dinheiro ou compartilhar uma ou todas as informações confidenciais a seguir:

  • Nome
  • Endereço
  • Data de nascimento
  • Nomes de usuário
  • Senhas
  • Informações do cartão de crédito
  • Dados bancários
  • Números emitidos pelo governo (por exemplo, Social Security ou Social Insurance)

Qual é a diferença entre vishing, smishing, quishing e phishing?

O vishing, assim como o smishing e o quishing, pode ser considerado um ataque de phishing. Todos os três tipos de ataques diferem apenas pelos vetores de ameaça que empregam. O phishing existe pelo menos desde os primórdios do e-mail, e tanto o vishing quanto o smishing são combinações da palavra "phishing" e do método de comunicação usado. O vishing (phishing por voz) ocorre por meio de comunicação por voz, e o smishing (phishing por SMS) usa mensagens de texto SMS como meio de ataque. Quishing é um ataque de phishing por meio de códigos QR fraudulentos.

O que é um ataque de engenharia social?

Várias formas de phishing, inclusive o vishing, podem empregar táticas de engenharia social. Em termos de segurança cibernética, a engenharia social é a manipulação das emoções humanas para reduzir o pensamento racional de um alvo e tentar levá-lo a concluir uma ação questionável. Vejamos algumas maneiras pelas quais a engenharia social pode fortalecer um ataque de vishing:

  • Medo: durante um golpe do IRS, o golpista pode assustar o alvo para que ele pague impostos falsos com ameaças de prisão.
  • Ganância: um malfeitor pode contar a um alvo sobre um falso prêmio de loteria e pedir o pagamento antecipado de impostos e taxas.
  • Amor: Alguém de uma gangue criminosa pode se passar por um parceiro romântico para pedir dinheiro para uma viagem aérea ou uma emergência. Geralmente, esses golpes começam nas mídias sociais e depois se transformam em ataques de vishing.
  • Raiva: Um golpista pode manipular a raiva pedindo doações contra um candidato político impopular, por exemplo.
  • Compaixão: Uma instituição de caridade falsa pode ligar para as pessoas, esperando arrecadar dinheiro para um desastre, uma emergência ou outra causa aparentemente nobre. Da mesma forma, em um exemplo clássico de fraude contra idosos, os golpistas podem ter como alvo os idosos, fazendo-se passar por seus parentes ou conhecidos ao telefone.

Como é feito o vishing?

O vishing funciona combinando engenharia social com ferramentas de comunicação por voz. Um invasor pode empregar chamadas automáticas, números de telefone internacionais ou software VOIP ( Voice over Internet Protocol ) para lançar um ataque. Os golpistas também podem enviar mensagens de texto fraudulentas que direcionam as vítimas a ligar para eles por meio de links ou números de telefone. O vishing pode ter como alvo indivíduos e organizações. Um agente de ameaças pode usar esse tipo de ataque para coletar informações de uma empresa, por exemplo.

Exemplo de ataque de vishing

Infelizmente, muitas pessoas são pegas em golpes de vishing todos os anos. Muitas vezes, a ameaça de dever dinheiro a um órgão governamental é convincente e assustadora o suficiente para que as vítimas paguem. Nos Estados Unidos, os golpistas de vishing geralmente se fazem passar por funcionários do Internal Revenue Service (IRS) que ligam para cobrar impostos, ameaçando com prisão se a vítima não pagar o que supostamente deve.

O mesmo acontece no Canadá, onde vários canadenses foram "vitimados" por agentes de ameaças que alegam ser a Agência Canadense de Receitas (CRA). Uma vítima desse golpe descreveu como se sentiu tão estúpido por ter caído nele e disse que essa foi uma das partes mais difíceis de toda a situação para ele.

Às vezes, os ataques de vishing podem sair pela culatra, como quando Keniel Aeon Thomas, da Jamaica, escolheu o alvo errado. O golpista provavelmente pensou que tinha um alvo fácil quando William Webster, de 90 anos, atendeu o telefone. Thomas disse ao Sr. Webster que ele e sua esposa Lynda haviam ganhado US$ 15,5 milhões e um Mercedez-Benz. Mas antes que ele pudesse compartilhar o prêmio com eles, os Websters precisariam enviar uma transferência bancária de US$ 50.000 para cobrir os impostos. Mal sabia o extorsionário que Webster era ex-diretor da CIA, diretor do FBI e juiz federal. O casal entrou em contato com o FBI para que um agente pudesse ouvir as ligações e, por fim, o golpista acabou cumprindo pena graças ao raciocínio rápido do casal Webster.

Infelizmente, a maioria das histórias de vishing não termina tão bem. Antes de Thomas ser condenado, ele havia enganado 30 pessoas em centenas de milhares de dólares. Por isso, é importante reconhecer as tentativas de vishing ou de chamadas fraudulentas para se proteger caso receba a próxima ligação.

Como impedir o vishing

As pessoas que são vítimas de ataques de vishing podem estar bem informadas sobre o risco, mas simplesmente são pegas de surpresa. Os agentes de ameaças mudam suas táticas regularmente para tentar enganar as pessoas de novas maneiras. Você pode receber uma chamada durante um dia movimentado em que a última coisa que espera é um ataque de vishing, ou o autor da chamada pode usar informações que soam familiares o suficiente para serem convincentes. Para ficar alerta e estar preparado caso receba uma dessas chamadas, aqui estão algumas coisas que você deve lembrar:

  • Preste atenção ao tom da pessoa que está ligando. Os golpistas também podem usar um tom descortês ou impaciente para insinuar urgência ou criar medo, ao contrário dos funcionários treinados da organização que dizem representar.
  • Mantenha a calma e respire fundo. Os atacantes de vishing criam um falso senso de urgência explorando suas emoções. Não compartilhe informações confidenciais por telefone sem verificar a identidade do autor da chamada. Você pode pesquisar a organização e ligar diretamente para ela.
  • Mantenha a guarda alta mesmo que o autor da chamada tenha algumas de suas informações. Por exemplo, ele pode ter coletado alguns de seus dados disponíveis publicamente na Internet, como seu nome, local ou endereço IP.
  • Examine suas chamadas com o identificador de chamadas e não atenda a números desconhecidos ou suspeitos. Aguarde até que o autor da chamada deixe uma mensagem de voz para decidir se você deve retornar a ligação. Lembre-se de que muitos golpes de chamadas automáticas seguem um roteiro reconhecível.
  • Seja cauteloso e simplesmente desligue o telefone se suspeitar que se trata de um golpista.

Como faço para denunciar o vishing?

Nos EUA, entre em contato com a FTC e o FBI para denunciar qualquer golpe de vishing ou com a agência de aplicação da lei apropriada em seu país. Você também pode ligar para a organização que o golpista está usando para tentar manipulá-lo, como, por exemplo, entrar em contato com o IRS se suspeitar que está sendo alvo de um golpe do IRS. Se o autor da chamada disser que pertence a uma determinada organização, procure o número de telefone oficial dessa organização e ligue diretamente para ela para perguntar sobre as chamadas. 

Artigos relacionados