O que é o vishing?
Vishing é uma forma de ataque que tenta enganar as vítimas para que desistam de informações pessoais sensíveis pelo telefone. Enquanto isso faz parecer um esquema antiquado, os ataques de vishing têm elementos de alta tecnologia: eles envolvem tecnologia de simulação de voz automatizada, por exemplo, ou o golpista pode usar informações pessoais sobre a vítima colhida em ataques cibernéticos anteriores para colocá-la à vontade.
Não importa qual tecnologia seja usada, a configuração para o ataque segue um script de engenharia social familiar: Um atacante cria um cenário para predar emoções humanas, geralmente ganância ou medo, e convence a vítima a revelar informações sensíveis, como números de cartão de crédito ou senhas. Nesse sentido, as técnicas de vishing espelham os esquemas de phishing que existem desde os anos 90. Mas as chamadas de vishing exploram o fato de que é mais provável que confiemos numa voz humana – e podem ter como alvo os idosos e os tecnófobos que são ingênuos e não têm experiência com esses tipos de golpes.
Estatísticas de pesca
Esses números notáveis oferecem uma sensação do estado de vishing e por que pode ser um negócio lucrativo para os atacantes.
- Ataques de pesca têm vindo a aumentar nos últimos anos. Em 2018, as chamadas fraudulentas representavam quase 30% de todas as chamadas móveis recebidas.
- Por isso não deve ser surpresa que este termo estranho esteja começando a ser mais amplamente reconhecido. O relatório da Proofpoint sobre o estado da Phish em 2020 revelou que 25% dos trabalhadores em sua pesquisa mundial poderiam definir corretamente o termo.
- 75% das vítimas do esquema informam que os vishers já tinham alguma informação pessoal sobre eles, que eles usavam para atingi-los e obter ainda mais informações.
- De pessoas que relatam esquemas de vishing impostores do governo à FTC, apenas 6% tinham realmente perdido dinheiro – mas aqueles que perderam bastante, sendo a perda mediana de $960.
Vishing vs. phishing vs. smishing: Qual é a diferença?
Phishing é o avô de todos eles, e CSO tem um explicador completo com todos os detalhes, mas em essência envolve o envio de mensagens de e-mail direcionadas para enganar os destinatários. “Phish” é pronunciado como se soletra, ou seja, como a palavra “fish” – a analogia é de um pescador lançar um anzol com isca (o email de phishing) e esperar que você morda. O termo surgiu em meados dos anos 90 entre os hackers com o objetivo de enganar os usuários da AOL para que eles abrissem mão de suas informações de login. O “ph” é parte de uma tradição de grafia caprichosa de hackers, e foi provavelmente influenciado pelo termo “phreaking”, abreviação para “phone phreaking”, uma forma precoce de hacking que envolvia tocar tons de som em aparelhos de telefone para obter chamadas telefônicas gratuitas.
Vishing é, essencialmente, phishing através de chamadas telefônicas. Assim como o phishing é considerado um subconjunto de spam, também o vishing é um crescimento do spam VoIP, também conhecido como spam sobre telefonia, ou SPIT. O próprio termo “vishing” existe desde os finais de ’00s.
“Smishing” é um tipo similar de ataque que usa mensagens de texto em vez de emails ou chamadas de voz; a palavra é um portmanteau de “SMS” e “phishing”. Para mais informações sobre smishing, veja nosso explicador sobre o assunto.
Técnicas de pesca
A maioria dos ataques de vishing tem algumas coisas em comum. As chamadas telefônicas são inicialmente colocadas via serviços de voz sobre IP (VoIP), o que as torna mais fáceis para os vishers automatizarem parte ou a totalidade do processo e mais difíceis para as vítimas ou para as autoridades policiais de rastrear. E o objetivo final dos atacantes é lucrar com você de alguma forma – seja colhendo informações de contas bancárias ou outros detalhes pessoais que eles possam usar para acessar suas contas bancárias, ou enganando-o para pagá-las diretamente.
Mas dentro do universo dos esquemas de vishing, há uma ampla gama de técnicas e estratégias. Elas executam a gama de ataques amplamente automatizados de “shotgun”, visando muitas vítimas potenciais na esperança de algumas mordidas, até golpes focados em laser que visam um alvo específico de alto valor.
Talvez a forma mais difundida de vishing comece com o chamado “wardialing” – ou seja, centenas ou milhares de chamadas automatizadas para centenas ou milhares de números. A vítima potencial (ou seu correio de voz) receberá uma gravação destinada a assustá-los ou enganá-los para que iniciem eles mesmos uma chamada telefônica de volta para os golpistas. Muitas vezes os vishers alegarão ser do IRS ou de alguma outra agência governamental, ou de um banco ou união de crédito. O wardialing meu foco em um código de área específica e usar o nome de uma instituição local na esperança de encontrar clientes reais.
Uma variação nesta técnica envolve usar janelas popup no seu computador, muitas vezes plantadas por malware, para simular um aviso do seu sistema operacional sobre algum problema técnico. A vítima é informada de que precisa ligar para o “Suporte Microsoft” ou algo similar e recebe um número de telefone. Isto coloca-os em linha com o vishador, que pode acabar usando uma combinação de respostas de voz reais e automáticas durante a sua conversa – mais uma vez, o objetivo aqui é obter o máximo retorno com pouco esforço.
Spear vishing
Nesses tipos de ataques de caçadeira, os vishadores geralmente não sabem quase nada sobre você e precisarão blefar para que você pense que eles dizem ser quem eles são; por causa disso, eles podem ser relativamente facilmente avistados. Muito mais preocupantes, no entanto, são os vishers que estão alcançando você especificamente. Esta técnica é conhecida como “vishing spear”; como o phishing spear, requer que os atacantes já tenham alguns dados sobre o seu alvo. Por exemplo, um vishador de lança pode já saber o seu endereço de casa e com quem você faz o banco antes de ligar para você, tornando mais fácil para eles enganá-lo para dizer-lhes o seu PIN.
Mas como é que eles já sabem tanto sobre você? “Muitos destes dados vêm da web escura, que muitas vezes tem origem em violações de dados”, diz Paige Schaffer, CEO da Global Identity and Cyber Protection services for Generali Global Assistance (GGA). Portanto, quando você ler sobre grandes violações de dados, saiba que elas podem ajudar a facilitar muito a visita. Pode parecer estranho que um atacante que já tem suas informações pessoais esteja ansioso para obter mais, mas como Schaffer aponta, “quanto mais informações um golpista tem, mais danos eles podem fazer”. Por que ficar satisfeito com os últimos quatro dígitos do SSN quando eles podem fazer com que você entregue os outros cinco? Um SSN completo permite que eles abram cartões de crédito, empréstimos e muito mais fraudulentos”
Se tudo isso parece muito mais trabalho do que fazer wardialing em alguém e dizer-lhes que você é do IRS, você está certo. Mas a maioria das pessoas – especialmente alvos de alto valor, que muitas vezes são mais instruídos e cibernéticos – verá através desses golpes mais simples. Se a recompensa for grande o suficiente, pode valer a pena o tempo para construir uma identidade convincente para sacudir informações soltas da vítima. “Um hacker pode ter trabalhado pacientemente para adquirir informações ao longo do tempo da vítima através de e-mails de phishing, ou capturá-las através de malware”, diz Schaffer. “Quando os vishers de lança vão atrás de ‘peixes’ maiores (por assim dizer) como os CEOs, nós chamamos isso de ‘caça à baleia'”. E à medida que as técnicas de simulação de voz melhoram, os baleeiros têm ainda mais ferramentas no seu arsenal, com a capacidade de imitar pessoas específicas para tentar enganar as suas vítimas.
Exemplos de pesca
Até agora, temos sido um pouco vagos quanto aos vishers específicos que vão puxar para obter o seu dinheiro ou informações pessoais. HashedOut divide estes em quatro grandes categorias:
Fraude de telemarketing. Estes tipos de fraudes são honestamente anteriores à era do vishing, mas adotaram muitas de suas técnicas. O visher vai te ligar sem nenhum conhecimento de fundo sobre quem você é e fazer uma oferta que é boa demais para ser verdade: você ganhou alguma loteria que você nunca entrou, você recebeu uma oferta de férias Marriott grátis, você pode reduzir os juros no seu cartão de crédito, etc. Normalmente há um custo inicial para obter o seu dinheiro “grátis”, e claro que a isca que lhe foi prometida nunca chega.
Fersonificações governamentais. Um esquema comum envolve insinuar que um problema é bloquear os benefícios que a vítima deve receber, tais como Medicare ou pagamentos do Seguro Social; oferecer para “consertar” o problema abre a porta para persuadir a vítima a entregar informações pessoais, como números da Segurança Social ou da conta bancária. Uma versão mais agressiva disto vem de “investigadores” falsos do IRS, que muitas vezes alegam que as vítimas devem pagar impostos e ameaçam-nas com multas ou prisão. Este vídeo mostra um policial interagindo com um destes golpistas.
Não é incomum que estes tipos de golpistas exijam ser pagos pela vítima comprando cartões-presente da Amazon e depois lendo os números na parte de trás, já que as compras com cartão não podem ser rastreadas. Esta é uma boa dica de que você não está lidando com uma agência governamental!
Fraude de suporte técnico. Nós discutimos isso um pouco acima – os golpistas podem tirar vantagem dos tecnologicamente ingênuos e suas preocupações sobre ser hackeados, usando anúncios popup ou malware mascarados como um aviso do sistema operacional para enganar as vítimas a chamarem os vishers. Kapersky avisa sobre uma variante desse esquema que é basicamente um tipo de ransomware: malware bloqueia um PC mas fornece um número de “suporte técnico”, onde um tipo de “técnico” – realmente parte da gangue que instalou o malware em primeiro lugar – vai consertar seu computador, por um preço, deixando você pensando que eles realmente o ajudaram.
Ataques de vishing em contas bancárias. Obter acesso às suas informações bancárias é, naturalmente, o Santo Graal de um visher. E se um atacante já tem acesso a alguns dos seus dados pessoais de outra fonte como discutimos anteriormente, eles podem facilmente imitar o tipo de chamadas legítimas que se espera receber de sua instituição financeira, de uma forma que pode enganar até mesmo os mais sábios entre nós. O fundador da Panic Inc., Caleb Sasser, contou a Krebs on Security um relato assustador de um ataque quase bem sucedido de visões. O atacante conseguiu falsificar com sucesso seu número de telefone para corresponder ao da Wells Fargo, o banco de Sasser, e alegou estar acompanhando algumas acusações potencialmente fraudulentas. Como o “banco” estava se oferecendo para enviar um novo cartão ATM, Sasser quase foi ao ponto de inserir um novo PIN em seu telefone antes de recuar no último minuto; se ele tivesse feito isso, os vishers teriam sido capazes de clonar seu cartão e usá-lo livremente.
Esses tipos de golpistas são mais propensos a ir à caça de baleias, procurando por alvos de valor muito alto para ajudá-los a ficar ricos rapidamente. Uma variante ficou conhecida como o “esquema de sexta-feira à tarde”, no qual os vishers ligam para uma empresa de investimento ou outro alvo rico no final da semana de trabalho, contando que a pessoa que atende o telefone esteja cansada e distraída e baixando a guarda.
Como evitar vishing
Se você está procurando identificar e evitar vishing, esperemos que o material que cobrimos até agora o ajude a saber o que procurar. A FTC tem um bom resumo dos pontos-chave que todos devem saber:
- Desconfie de um telefonema que afirma ser de uma agência governamental a pedir dinheiro ou informações. As agências governamentais nunca o chamam do nada exigindo – ou oferecendo – dinheiro. Quando em dúvida, desligue, procure independentemente o número real da agência, e ligue-lhes para saber se estão a tentar contactá-lo.
- Nunca pague nada com um cartão presente ou uma transferência bancária. Isso é um sinal forte de um esquema.
- Não confie no identificador de chamadas. É muito fácil falsificar.
Kapersky tem outra boa regra de ouro: uma coisa que todo esquema visceral tem em comum é uma tentativa de criar um falso senso de urgência, fazendo você pensar que está em apuros ou prestes a perder uma oportunidade e precisa agir agora mesmo. Nunca dói tomar um momento para pausar, escrever informações sobre a pessoa que telefona sem oferecer nenhuma de suas próprias informações, e depois ligar de volta depois de fazer uma pesquisa.
Se você quiser tomar medidas proativas para proteger sua organização, você pode querer incluir o vishing como parte de um treinamento de conscientização de segurança. Vários fornecedores oferecem plataformas de vishing simuladas que podem ajudá-lo a descobrir vulnerabilidades nas atitudes do pessoal e demonstrar a natureza da ameaça aos seus funcionários.