O que é vishing?

Vishing, ou voice phishing, é um ataque de phishing que usa chamadas telefônicas para enganá-lo a fornecer informações pessoais, confidenciais e sensíveis, frequentemente detalhes financeiros.

DIGITAL FOOTPRINT SCAN

Talvez você já tenha ouvido esse cenário nas notícias: Alguém recebe uma ligação urgente da Receita Federal dos EUA alegando que deve uma grande quantia em impostos não pagos e que um oficial virá à sua porta se não pagar imediatamente. Pegos em um estado de pânico, a vítima do ataque de vishing envia imediatamente um pagamento eletrônico. Quando a vítima finalmente percebe seu erro, já é tarde demais — sua instituição financeira informa que o dinheiro se foi.

O que é um ataque de vishing?

Um ataque de vishing é um tipo de ataque de phishing em que um agente mal-intencionado usa táticas de engenharia social por meio de comunicação por voz para enganar um alvo. A palavra “vishing” é uma combinação de “voice” ou “VoIP” (Voz sobre Protocolo de Internet) e “phishing”. O golpista pode tentar convencer o alvo a enviar dinheiro ou compartilhar qualquer uma das informações sensíveis a seguir:

  • Nome
  • Endereço
  • Data de nascimento
  • Nomes de usuário
  • Senhas
  • Informações de cartão de crédito
  • Dados bancários
  • Números emitidos pelo governo (por exemplo, Número de Segurança Social ou Seguro Social)

Qual é a diferença entre vishing, smishing, quishing e phishing?

Vishing, assim como smishing e quishing, pode ser considerado um ataque de phishing. Todos os três tipos de ataques diferem apenas pelos vetores de ameaça que empregam. Phishing existe desde pelo menos os primeiros dias do e-mail, e tanto vishing quanto smishing são combinações da palavra "phishing" com o método de comunicação utilizado. Vishing (voice phishing) ocorre através da comunicação por voz, e smishing (SMS phishing) usa mensagens de texto SMS como meio de ataque. Quishing é um ataque de phishing via códigos QR fraudulentos.

O que é um ataque de engenharia social?

Várias formas de phishing, incluindo vishing, podem empregar táticas de engenharia social. Em termos de cibersegurança, engenharia social é a manipulação das emoções humanas para reduzir o pensamento racional de um alvo para tentar levá-lo a realizar uma ação questionável. Vamos ver algumas maneiras de a engenharia social fortalecer um ataque de vishing:

  • Medo: Durante um golpe do IRS, um golpista pode assustar um alvo a pagar impostos falsos com ameaças de prisão.
  • Ganância: Um agente mal-intencionado pode contar a um alvo sobre um falso prêmio de loteria e pedir um pagamento antecipado para os impostos e taxas.
  • Amor: Alguém de uma gangue criminosa pode se passar por um parceiro romântico para pedir dinheiro para uma passagem aérea ou uma emergência. Frequentemente, esses golpes começam nas redes sociais e se transformam em ataques de vishing.
  • Raiva: Um golpista pode manipular a raiva pedindo doações contra um candidato político impopular, por exemplo.
  • Compaixão: Uma falsa instituição de caridade pode ligar para as pessoas, esperando coletar dinheiro para um desastre, emergência ou outra causa aparentemente nobre. Da mesma forma, em um exemplo clássico de fraude a idosos, golpistas podem mirar nos idosos passando-se por seus parentes ou conhecidos ao telefone.

Como o vishing é realizado?

O vishing funciona combinando engenharia social com ferramentas de comunicação por voz. Um atacante pode usar chamadas automáticas, números de telefone internacionais ou software de Voz sobre Protocolo de Internet (VoIP) para lançar um ataque. Golpistas também podem enviar mensagens de texto fraudulentas que direcionam as vítimas para ligá-los por meio de links ou números de telefone. O Vishing pode ter como alvo indivíduos e organizações. Um agente mal-intencionado pode usar tal ataque para reunir informações de uma empresa, por exemplo.

Exemplo de ataque de vishing

Infelizmente, muitas pessoas caem em golpes de vishing todos os anos. Muitas vezes, a ameaça de dever dinheiro a uma agência governamental é convincente e assustadora o suficiente para as vítimas pagarem. Nos EUA, golpistas de vishing frequentemente se passam por oficiais do IRS ligando para cobrar impostos, ameaçando prisão se a vítima não pagar o que supostamente deve.

O mesmo acontece no Canadá, onde muitos canadenses foram 'enganados' por agentes mal-intencionados afirmando ser da Agência de Receita do Canadá (CRA). Uma vítima desse golpe descreveu como se sentiu tão estúpida por cair nele e disse que essa foi uma das partes mais difíceis de toda a situação para ela.

Às vezes, ataques de vishing podem dar muito errado, como quando Keniel Aeon Thomas, da Jamaica, escolheu o alvo errado. O golpista provavelmente pensou que tinha um alvo fácil quando o noventa anos William Webster atendeu o telefone. Thomas disse ao Sr. Webster que ele e sua esposa Lynda haviam ganhado US $ 15,5 milhões e um Mercedes-Benz. Mas, antes de poder compartilhar os ganhos com eles, os Websters precisariam enviar uma transferência bancária de US $ 50.000 para cobrir os impostos. Mal sabia o extorsionista que Webster era ex-diretor da CIA, diretor do FBI e juiz federal. O casal contatou o FBI para que um agente pudesse ouvir as ligações, e, em última análise, o golpista acabou cumprindo pena graças ao rápido pensamento dos Websters.

Infelizmente, a maioria das histórias de vishing não termina tão bem. Antes de Thomas ser condenado, ele já havia enganado 30 pessoas, arrecadando centenas de milhares de dólares. É por isso que é importante reconhecer tentativas de vishing ou chamadas fraudulentas para se proteger caso receba a próxima ligação.

Como parar o vishing

Pessoas que caem em ataques de vishing podem estar bem informadas sobre o risco, mas simplesmente são pegas de surpresa. Agentes mal-intencionados mudam suas táticas regularmente para tentar enganar as pessoas de novas maneiras. Você pode atender uma ligação durante um dia corrido, quando a última coisa que espera é um ataque de vishing, ou o chamador pode usar informações que soem familiares o suficiente para serem convincentes. Para manter-se alerta e preparado caso receba uma dessas chamadas, aqui estão algumas coisas a lembrar:

  • Preste atenção ao tom do chamador. Golpistas também podem usar um tom descortês ou impaciente para implicar urgência ou criar medo, ao contrário dos funcionários treinados da organização que alegam representar.
  • Mantenha a calma e respire fundo. Os atacantes de vishing criam uma falsa sensação de urgência ao explorar suas emoções. Não compartilhe informações sensíveis pelo telefone sem verificar a identidade do chamador. Você pode procurar a organização deles e ligar diretamente.
  • Mantenha-se alerta mesmo se o chamador tiver algumas de suas informações. Por exemplo, eles podem ter reunido alguns de seus dados publicamente disponíveis na Internet, como seu nome, localização ou endereço IP.
  • Use identificador de chamadas para filtrar suas chamadas e não atenda números desconhecidos ou suspeitos. Espere o chamador deixar uma mensagem de voz para decidir se deve retornar a ligação. Lembre-se, muitos golpes de chamadas automáticas seguem um roteiro reconhecível.
  • Seja cauteloso e simplesmente desligue se suspeitar que seja um golpista.

Como faço para relatar o vishing?

Nos EUA, entre em contato com a FTC e o FBI para relatar qualquer golpe de vishing, ou a agência de aplicação da lei apropriada em seu país. Você também pode ligar para a organização que um golpista está usando para tentar manipulá-lo, como entrar em contato com o IRS se suspeitar que é o alvo de um golpe do IRS. Se o chamador disser que faz parte de uma certa organização, pesquise o número de telefone oficial dessa organização e ligue diretamente para perguntar sobre as chamadas. 

Artigos relacionados