Phishing por voz: proteja-se contra o vishing
O phishing continua a ser hoje um dos principais meios de ataque informático, mas uma variante está a ganhar terreno rapidamente: o vishing.
Também conhecido como «phishing por voz» ou «phishing por telefone», o vishing consiste em manipular uma vítima por telefone com o objetivo de lhe extrair informações confidenciais.
Embora a utilização do telefone para fins fraudulentos não seja novidade, tem-se observado, nos últimos anos, um aperfeiçoamento dos métodos que conduz a uma verdadeira mudança de dimensão.
Este fenómeno deve-se à evolução tecnológica e à proliferação de informações pessoais disponíveis online. Os cibercriminosos exploram esses dados para personalizar os seus ataques, tornando a sua abordagem cada vez mais convincente e, por isso, perigosa.
O sucesso do phishing por voz deve-se à sua facilidade de execução e à sua eficácia impressionante. Aproveitando-se da confiança, da urgência ou do medo, os atacantes manipulam psicologicamente os seus alvos para obter informações confidenciais, como credenciais, palavras-passe ou dados bancários.
Compreender os mecanismos desta ameaça crescente é, portanto, essencial para nos protegermos e evitar tornarmo-nos a próxima vítima.
Phishing por voz: definição e contexto
O que é o vishing?
O termo «vishing» resulta da contração das palavras inglesas «voice» (voz) e «phishing» (phishing). O vishing é, portanto, o equivalente vocal do phishing, que se baseia em mensagens eletrónicas. É por isso que, por vezes, é chamado de phishing telefónico.
Mas então, em que consiste o phishing por voz? O objetivo continua a ser o mesmo: roubar dados pessoais, informações financeiras ou acesso a sistemas informáticos confidenciais.
Para o conseguir, os piratas informáticos recorrem a técnicas de engenharia social. Trata-se de um método que se baseia na manipulação psicológica da vítima, explorando emoções como o medo, o respeito pela autoridade, a urgência, a empatia ou ainda a confiança.
Em geral, o sucesso do vishing depende da capacidade do atacante de inspirar confiança. Para tal, o fraudador recolhe informações sobre o seu alvo, a fim de tornar o seu discurso credível e evitar levantar suspeitas.
Os vishers apresentam-se frequentemente como profissionais ou representantes de autoridades administrativas, o que reforça a aparente legitimidade das suas práticas fraudulentas.
Na verdade, os ataques de phishing por voz mais comuns são as fraudes que se fazem passar por serviços de assistência técnica e por consultores bancários.
Por que é que o phishing por voz está a crescer rapidamente?
Os especialistas em cibersegurança têm vindo a observar um forte aumento dos ataques de phishing por voz ao longo dos últimos anos.
No entanto, as estatísticas sobre o vishing são difíceis de distinguir de outros ataques de engenharia social e são frequentemente agrupadas com os ataques de phishing. Tanto mais que os ataques de vishing são frequentemente híbridos e utilizam como ponto de entrada um e-mail de phishing.
A pandemia da COVID-19 teve provavelmente um papel significativo no desenvolvimento e na proliferação do phishing por voz. Com a adoção generalizada do teletrabalho, muitas empresas e particulares tiveram de se adaptar rapidamente, muitas vezes sem implementar medidas de segurança adequadas.
Os cibercriminosos aproveitaram-se desta transição, tirando partido das vulnerabilidades associadas ao isolamento dos funcionários e à descentralização dos sistemas de segurança.
A evolução dos hábitos de comunicação e os avanços tecnológicos são também fatores que contribuem para o aumento do phishing por voz. Os fraudadores têm agora acesso muito mais fácil a ferramentas sofisticadas. Ferramentas que, ao mesmo tempo, se tornam mais poderosas, mais fáceis de utilizar e mais baratas.
Além disso, a proliferação de informações pessoais disponíveis online, muitas vezes resultantes de fugas de dados ou da divulgação nas redes sociais, permite aos cibercriminosos personalizar os seus ataques para parecerem mais credíveis.
No entanto, se os ataques de phishing por voz estão a aumentar, é precisamente porque são muito eficazes. É certo que exigem um maior empenho por parte dos atacantes, que têm de elaborar cenários credíveis e informar-se sobre a vítima, mas o jogo vale a pena.
De facto, a Comissão Federal do Comércio dos EUA constata que os ataques de phishing por voz causam prejuízos financeiros às vítimas quase três vezes superiores aos dos ataques de phishing tradicionais.
O desenrolar típico de um ataque de vishing
O vishing engloba uma variedade de métodos e meios. No entanto, um ataque típico decorre em quatro etapas.
1. Identificação do alvo: Os burlões recolhem informações sobre o seu alvo através das redes sociais, de diretórios de empresas ou associações acessíveis online ou provenientes de fugas de dados.
2. Contacto inicial: A chamada pode ser automatizada ou efetuada por um burlão em pessoa. Em alguns casos, os burlões enviam previamente um e-mail de phishing a pedir à vítima que ligue para um número.
3. Manipulação emocional: O interlocutor invoca frequentemente uma situação de urgência (custos em dívida, problema de segurança, atualização de software) ou faz-se passar por uma entidade de confiança (banco, administração pública, prestador de serviços informáticos) para obter os dados pretendidos.
4. Exploração das informações: Os dados obtidos são utilizados para fraudes imediatas ou futuras, transferências financeiras ou ataques mais complexos.4
Quem pode ser vítima de vishing?
Os particulares, alvo tradicional do phishing por voz
Os particulares são alvos privilegiados do phishing por voz. Muitas vezes, têm pouca consciência dos riscos e, por definição, têm acesso direto aos seus dados pessoais, nomeadamente aos dados bancários.
De facto, de acordo com o relatório anual de atividades de 2023 do Cybermalveillance.gouv.fr, os ataques que envolvem falso suporte técnico representam cerca de 10% das denúncias apresentadas por particulares.
Por sua vez, os esquemas fraudulentos envolvendo falsos consultores bancários aumentaram 78% entre 2022 e 2023, depois de terem sido classificados em 2022 como «novas formas de cibercriminalidade».
No entanto, o vishing não se limita ao âmbito privado, sendo o mundo profissional hoje em dia igualmente alvo deste fenómeno, embora poucas organizações tenham plena consciência disso.
O mundo profissional: o novo Eldorado do vishing
Os profissionais, em especial aqueles que ocupam cargos com acesso a dados financeiros ou estratégicos nas organizações, são particularmente vulneráveis.
As administrações, as autarquias locais e outros organismos públicos são, também, alvos atraentes devido às informações críticas que detêm e aos fundos que gerem, por vezes com procedimentos de segurança menos rigorosos.
Os atacantes fazem-se frequentemente passar por fornecedores, solicitando a alteração dos dados de pagamento de faturas, ou por quadros superiores ou dirigentes da empresa, a fim de autorizar transferências bancárias fraudulentas sob o pretexto de uma situação de urgência.
Os serviços informáticos também são alvo de usurpação, com os fraudadores a tentarem obter palavras-passe ou informações de acesso confidenciais para penetrar nos sistemas da empresa e, posteriormente, lançar ataques direcionados.
IA e vishing: quando a sua voz se torna uma ameaça
Como reconhecer uma tentativa de vishing?
Ninguém pode afirmar estar imune ao phishing por voz. Atualmente, os ataques são tão precisos e conduzidos com tal profissionalismo que qualquer pessoa pode potencialmente tornar-se vítima.
Para evitar cair nessa armadilha, há alguns sinais de alerta que devem levá-lo a reagir durante uma chamada.
1. Número oculto, externo ou desconhecido
A chamada provém frequentemente de um número oculto, desconhecido, de um número externo à empresa ou de um número falsificado que se assemelha ao de uma empresa legítima. É importante manter-se cético ao atender a chamada.
2. Sensação de urgência, de pressão, de medo, …
O fraudador recorre a técnicas de engenharia social para o levar a reagir rapidamente e impedir que reflita (por exemplo, alegando um problema técnico que tem de ser resolvido o mais rapidamente possível).
3. Pedido de informações sensíveis ou invulgares
O atacante solicita dados confidenciais, como as suas palavras-passe, os seus códigos PIN ou o número do seu cartão de crédito, sob o pretexto de realizar verificações. Tenha em mente que estas informações nunca devem ser comunicadas (nem, portanto, solicitadas) por telefone.
4. Conquistar a confiança do interlocutor
Para ganhar a sua confiança, o atacante pode utilizar informações pessoais que tenha encontrado nas redes sociais, em organogramas empresariais ou na sequência de fugas de dados. Mantenha a distância em relação ao interlocutor e não considere essas informações como um sinal de confiança.
O que fazer se for vítima de uma tentativa de phishing por voz?
Os sinais de alerta detetados durante uma conversa levam-no a suspeitar que se trata de uma tentativa de vishing? Interrompa imediatamente a conversa e avise os seus colegas e o departamento de segurança sobre a tentativa. Em caso de dúvida, continue a conversa com cautela e tendo em mente estes princípios fundamentais:
1. Verifique a identidade da pessoa com quem está a falar
Tente descobrir quem está a ligar-lhe, fazendo perguntas ao seu interlocutor. Se for alguém que o conhece realmente, saberá responder a perguntas específicas, ao contrário de um impostor.
Em caso de dúvida, pode também sugerir que ligue de volta para o interlocutor através de um número fiável e conhecido, de preferência a partir de outro telefone.
2. Mantenha a calma e reflita
Os fraudadores aproveitam-se frequentemente do pânico ou da pressa. Reserve um momento para refletir antes de responder ou agir. O seu instinto e a capacidade de ouvir as suas emoções são aliados na luta contra o vishing. Se sentir que algo é suspeito, pare para verificar a sua intuição.
3. Evite divulgar informações espontaneamente
Em caso de dúvida, fale o mínimo possível e deixe que seja o seu interlocutor a revelar-se. Nunca partilhe os seus dados pessoais, mesmo que o interlocutor pareça saber muito sobre si e mesmo que insista na urgência da ação a tomar.
4. Recuse-se a realizar qualquer ação que lhe pareça suspeita
Em caso de dúvida, evite realizar ações suspeitas, como clicar num link, introduzir o seu nome de utilizador ou palavra-passe, alterar uma configuração no seu computador, etc. Mais uma vez, pare para pensar antes de agir.
Conclusão: como proteger-se do phishing por voz?
Como vimos, o vishing é um tipo de ataque relativamente simples de executar, mas muito eficaz, e que tende a crescer de forma preocupante.
Tal como acontece com qualquer ataque de engenharia social, a melhor defesa é estar ciente do perigo que o vishing representa. Manter a distância, ser cético e cauteloso pode permitir-lhe frustrar uma tentativa de phishing por voz.
Tenhamos em mente que o sucesso deste ataque depende, em grande parte, das informações recolhidas pelo atacante, que lhe permitirão legitimar a sua abordagem e ganhar a sua confiança.
Por conseguinte, evite ao máximo publicar as suas informações pessoais ou profissionais nas redes sociais e na Internet (newsletters, programas de fidelização, etc.) e limite ao estritamente necessário as informações partilhadas (por exemplo, a inscrição numa newsletter não deve implicar a divulgação do seu número de telefone ou endereço postal).
Ao seguir este conselho, estará a cortar o fluxo de informações que um indivíduo mal-intencionado possa potencialmente recolher sobre si e, assim, reduzirá de facto a sua exposição a técnicas de engenharia social.
Por fim, a melhor forma de avaliar o nível de risco da sua organização face ao vishing é realizar uma simulação para testar, em condições reais, os reflexos dos seus colaboradores. Assim, poderá ajustar os seus procedimentos de acordo com as recomendações fornecidas no final da simulação de vishing.
Descubra se a sua organização está preparada para enfrentar um ataque de vishing com AntesdeClique.
