O que é o vishing?

O vishing, ou phishing de voz, é um ataque de phishing que utiliza chamadas telefónicas para o induzir a fornecer informações pessoais, confidenciais e sensíveis, muitas vezes detalhes financeiros.

DIGITALIZAÇÃO DA PEGADA DIGITAL

É possível que já tenha ouvido falar deste cenário nas notícias: alguém recebe um telefonema urgente do IRS a dizer que deve uma grande quantia em impostos não pagos e que um agente irá bater à sua porta se não pagar imediatamente. Apanhado em estado de pânico, o alvo do ataque de vishing envia imediatamente um pagamento eletrónico. Quando a vítima se apercebe do seu erro, é demasiado tarde - a sua instituição financeira diz-lhe que o dinheiro desapareceu.

O que é um ataque de vishing?

Um ataque de vishing é um tipo de ataque de phishing em que um agente de ameaça utiliza tácticas de engenharia social através de comunicação de voz para enganar um alvo. A palavra "vishing" é uma combinação de "voz" ou "VoIP" (Voice over Internet Protocol) e "phishing". O burlão pode tentar convencer o alvo a enviar-lhe dinheiro ou a partilhar uma ou todas as seguintes informações sensíveis:

  • Nome
  • Endereço
  • Data de nascimento
  • Nomes de utilizador
  • Palavras-passe
  • Informações sobre o cartão de crédito
  • Dados bancários
  • Números emitidos pelo governo (por exemplo, Segurança Social ou Seguro Social)

Qual é a diferença entre vishing, smishing, quishing e phishing?

O vishing, tal como smishing e o quishing, pode ser considerado um ataque de phishing. Os três tipos de ataques diferem apenas pelos vectores de ameaça que empregam. O phishing existe pelo menos desde os primórdios do correio eletrónico e tanto o vishing como o smishing são combinações da palavra "phishing" e do método de comunicação utilizado. O vishing (phishing por voz) ocorre através de comunicação por voz e smishing (phishing por SMS) utiliza mensagens de texto SMS como meio de ataque. O quishing é um ataque de phishing através de códigos QR fraudulentos.

O que é um ataque de engenharia social?

Várias formas de phishing, incluindo o vishing, podem empregar tácticas de engenharia social. Em termos de cibersegurança, a engenharia social é a manipulação das emoções humanas para reduzir o pensamento racional de um alvo, tentando levá-lo a concluir uma ação questionável. Vejamos algumas formas como a engenharia social pode reforçar um ataque de vishing:

  • Medo: Durante uma burla do IRS, um burlão pode assustar o alvo para que este pague impostos falsos com ameaças de prisão.
  • Ganância: Um mau ator pode falar a um alvo sobre um falso prémio de lotaria e pedir-lhe o pagamento antecipado dos impostos e taxas.
  • Amor: Alguém de um grupo criminoso pode fazer-se passar por um parceiro romântico para pedir dinheiro para uma viagem de avião ou uma emergência. Muitas vezes, estas burlas começam nas redes sociais e, mais tarde, transformam-se em ataques de vishing.
  • Raiva: Um burlão pode manipular a raiva, pedindo donativos contra um candidato político impopular, por exemplo.
  • Compaixão: Uma falsa instituição de caridade pode telefonar a pessoas, na esperança de recolher dinheiro para uma catástrofe, uma emergência ou outra causa aparentemente nobre. Da mesma forma, num exemplo clássico de fraude contra idosos, os burlões podem visar os idosos fazendo-se passar por seus familiares ou conhecidos ao telefone.

Como é que o vishing é feito?

O vishing funciona através da combinação de engenharia social com ferramentas de comunicação por voz. Um atacante pode utilizar chamadas automáticas, números de telefone internacionais ou software Voice over Internet Protocol (VOIP) para lançar um ataque. Os burlões também podem enviar mensagens de texto fraudulentas que orientam as vítimas a telefonar-lhes através de ligações ou números de telefone. O vishing pode ter como alvo indivíduos e organizações. Um agente de ameaças pode utilizar este tipo de ataque para recolher informações de uma empresa, por exemplo.

Exemplo de ataque de vishing

Infelizmente, todos os anos, muitas pessoas são apanhadas em esquemas de vishing. Muitas vezes, a ameaça de dever dinheiro a uma agência governamental é suficientemente convincente e assustadora para que as vítimas paguem. Nos EUA, os burlões de vishing fazem-se muitas vezes passar por agentes do Internal Revenue Service (IRS) que telefonam para cobrar impostos, ameaçando com pena de prisão se a vítima não pagar o que supostamente deve.

O mesmo se passa no Canadá, onde vários canadianos foram "vished" por agentes de ameaças que alegam ser a Canadian Revenue Agency (CRA). Uma vítima deste esquema descreveu como se sentiu tão estúpido por ter caído no esquema e disse que essa foi uma das partes mais difíceis de toda a situação para ele.

Por vezes, os ataques de vishing podem sair pela culatra, como aconteceu quando Keniel Aeon Thomas, da Jamaica, escolheu o alvo errado. Provavelmente, o burlão pensou que tinha um alvo fácil quando William Webster, de 90 anos, pegou no telefone. Thomas disse ao Sr. Webster que ele e a sua mulher Lynda tinham ganho 15,5 milhões de dólares e um Mercedez-Benz. Mas antes que ele pudesse partilhar o prémio com eles, os Websters teriam de enviar uma transferência bancária de 50.000 dólares para cobrir os impostos. Mal sabia o extorsionário que Webster era um antigo diretor da CIA, diretor do FBI e juiz federal. O casal contactou o FBI para que um agente pudesse ouvir as chamadas e, por fim, o burlão acabou por cumprir pena graças ao raciocínio rápido dos Websters.

Infelizmente, a maioria das histórias de vishing não termina tão bem. Antes de Thomas ser condenado, ele tinha enganado 30 pessoas em centenas de milhares de dólares. É por isso que é importante reconhecer as tentativas de vishing ou de chamadas fraudulentas para se proteger se receber a próxima chamada.

Como acabar com o vishing

As pessoas que são vítimas de ataques de vishing podem estar bem informadas do risco, mas simplesmente são apanhadas desprevenidas. Os autores das ameaças mudam regularmente as suas tácticas para tentar enganar as pessoas de novas formas. Pode receber uma chamada durante um dia atarefado em que a última coisa que espera é um ataque de vishing, ou o autor da chamada pode utilizar informações que lhe pareçam suficientemente familiares para serem convincentes. Para se manter alerta e estar preparado se receber uma destas chamadas, eis algumas coisas a ter em conta:

  • Preste atenção ao tom de voz do autor da chamada. Os burlões também podem usar um tom descortês ou impaciente para insinuar urgência ou criar medo, ao contrário dos funcionários formados da organização que dizem representar.
  • Mantenha-se calmo e respire fundo. Os atacantes de vishing criam uma falsa sensação de urgência explorando as suas emoções. Não partilhe informações sensíveis por telefone sem verificar a identidade do autor da chamada. Pode procurar a sua organização e telefonar-lhe diretamente.
  • Mantenha-se vigilante, mesmo que a pessoa que lhe liga tenha algumas das suas informações. Por exemplo, pode ter recolhido alguns dos seus dados publicamente disponíveis na Internet, como o seu nome, localização ou endereço IP.
  • Faça uma triagem das suas chamadas com o identificador de chamadas e não atenda números desconhecidos ou suspeitos. Aguarde que o autor da chamada lhe deixe uma mensagem de voz para decidir se deve voltar a ligar. Lembre-se que muitas das burlas de chamadas automáticas seguem um guião reconhecível.
  • Tenha cuidado e desligue o telefone se suspeitar que se trata de um burlão.

Como é que denuncio o vishing?

Nos EUA, contacte a FTC e o FBI para denunciar qualquer esquema de vishing, ou a agência de aplicação da lei adequada no seu país. Também pode contactar a organização que o burlão está a utilizar para o tentar manipular, como por exemplo, contactar o IRS se suspeitar que é alvo de uma burla do IRS. Se o autor da chamada disser que pertence a uma determinada organização, procure o número de telefone oficial dessa organização e contacte-a diretamente para perguntar sobre as chamadas. 

Artigos relacionados