Vishing (Voice Phishing)

O que é vishing?

Vishing, ou phishing por voz, é um ato de fraude que utiliza táticas baseadas em voz como isca para tentar roubar informações pessoais.

Vishing é semelhante a phishing e smishing na medida em que é uma forma de engano usada por cibercriminosos para roubar detalhes de cartões de crédito ou outras informações sensíveis. Enquanto o smishing (também conhecido como phishing por SMS) utiliza mensagens de texto e o phishing usa principalmente e-mails ou sites falsos para enganar as vítimas, os atacantes de vishing disfarçam-se como organizações de confiança ou pessoas respeitáveis em comunicações de voz.

Com o vishing, os cibercriminosos utilizam scripts urgentes ou alarmantes para levar as potenciais vítimas a divulgar as suas informações pessoais. Os atacantes frequentemente usam táticas enganosas, como falsificar informações de identificação de chamadas, para que as interações pareçam ser de organizações ou empresas legítimas.

O vishing é popular entre os cibercriminosos porque lhes permite roubar informações financeiras e pessoais sensíveis sem terem que ultrapassar as defesas de segurança de um computador ou rede.

Pontos chave

  • Vishing, ou phishing por voz, é uma forma de fraude em que os atacantes usam chamadas telefónicas para se fazerem passar por organizações de confiança e enganam as vítimas para que revelem informações sensíveis.
  • Cenários comuns de vishing incluem a personificação de bancos, esquemas de suporte técnico e clonagem de voz, frequentemente aproveitando táticas de urgência e medo para manipular as vítimas.
  • Prevenir ataques de vishing requer formação abrangente em consciencialização de segurança, protocolos de comunicação claros e a implementação de verificação avançada de identificação de chamadas e tecnologias de autenticação de voz.

Qual é a diferença entre phishing, vishing e smishing?

Phishing, vishing e smishing são todos ataques de engenharia social concebidos para enganar indivíduos a revelar informações sensíveis ou a tomar ações prejudiciais. As suas principais diferenças residem no meio de ataque:

  • Phishing: Um dos tipos de ameaças de email mais comuns, phishing é um ataque cibernético em que os atacantes se fazem passar por entidades legítimas para atrair indivíduos a divulgarem informações sensíveis, como credenciais de login, detalhes financeiros ou dados pessoais. Normalmente, utilizam email ou websites fraudulentos para enganar as suas vítimas.
  • Vishing: Vishing é uma forma de engenharia social que utiliza a comunicação por voz (geralmente chamadas telefónicas) para manipular pessoas a revelar informações confidenciais ou a tomar ações que comprometem a segurança. Os atacantes frequentemente fazem-se passar por representantes de entidades como bancos ou agências governamentais.
  • Smishing: Esta ameaça cibernética combina técnicas de SMS (mensagens de texto) e phishing. Os atacantes enviam mensagens de texto que alegam ser de fontes respeitáveis, muitas vezes incluindo links para sites maliciosos ou incitando os destinatários a ligar para números de telefone fraudulentos.

Cenários comuns de vishing

O phishing por voz pode enganar até os colaboradores mais conscientes em termos de segurança na sua equipa. Os executivos de nível C devem ser vigilantes em relação às suas medidas de segurança de linha de frente para se manterem à frente destes ataques. Aqui estão alguns cenários comuns de vishing contra os quais deve estar em alerta: 

Imitação de banco

Um atacante, fingindo ser um regulador financeiro sénior, liga para o diretor financeiro (CFO) de um banco fora do horário de expediente, alegando que é necessária uma ação urgente em relação a suspeitas de lavagem de dinheiro em transações internacionais. O interlocutor solicita a verificação imediata de grandes transações e números de conta, enfatizando a confidencialidade e as potenciais repercussões reputacionais de não agir. Criam credibilidade ao referenciar conhecimentos da indústria e pressionam o CFO com ameaças de congelamento operacional por não conformidade. O objetivo é explorar a autoridade e a urgência do CFO para obter informações financeiras sensíveis ou iniciar transferências não autorizadas.

Esquema de suporte técnico

O atacante, fingindo ser o chefe de segurança de TI de uma grande empresa de cibersegurança com a qual a empresa é parceira, liga para a linha direta do CEO. Ele afirma ter detectado um ataque cibernético sofisticado e em curso, direcionado às contas executivas da empresa. O interlocutor alega que é necessária uma ação imediata para prevenir o roubo de dados e solicita acesso remoto ao computador do CEO para "instalar patches de segurança críticos". Criam urgência mencionando possíveis violações de dados em empresas concorrentes e o risco de multas regulatórias.

O burlão pretende obter acesso remoto ao dispositivo do executivo, potencialmente instalando malware ou roubando dados corporativos sensíveis. Este cenário explora a autoridade do executivo e o seu conhecimento técnico limitado para contornar os protocolos de TI padrão em emergências percebidas.

Esquema de clonagem de voz

Num esquema de vishing com clonagem de voz visando executivos de nível C, um atacante usa IA para clonar a voz do CEO e liga para o telefone do CFO, alegando que há uma oportunidade de aquisição urgente e confidencial que requer ação imediata. O falso CEO insiste na discrição devido a preocupações de negociação com informação privilegiada e pressiona o CFO a iniciar uma grande transferência bancária para garantir o negócio. O atacante fornece detalhes plausíveis e refere eventos recentes da empresa para parecer credível. 

Este método de ataque explora a confiança na voz do CEO, a urgência de uma oportunidade lucrativa e a autoridade do CFO para contornar os controlos financeiros normais, tornando-o altamente convincente e difícil de detetar.

Esquema de entrega

Um cibercriminoso liga para o diretor de operações (COO) de uma empresa, afirmando ser de um serviço de correio premium responsável por uma encomenda urgente e confidencial para o CEO. O interlocutor diz que a alfândega está retendo a encomenda, que contém documentos sensíveis relacionados a uma fusão iminente, devido a documentação incompleta. Alegam que é necessária uma ação imediata para evitar atrasos que possam comprometer o negócio.

O burlão solicita as informações do cartão de crédito do COO para pagar uma pequena "taxa de processamento" para acelerar a liberação. Eles enfatizam a discrição, alertando que envolver outros funcionários pode violar acordos de confidencialidade. O objetivo é explorar a autoridade do executivo e o medo de interromper operações comerciais importantes para roubar informações financeiras ou autorizar cobranças fraudulentas.

Esquema de Segurança Social ou Medicare

Um vigarista de vishing finge ser um alto funcionário da Segurança Social ou do Medicare. Afirmam que as informações pessoais da vítima foram comprometidas numa recente violação de dados, colocando em risco a suspensão dos benefícios. O interlocutor solicita urgentemente a verificação do número de Segurança Social ou do ID do Medicare da vítima para "proteger" a sua conta, citando recentes violações publicadas para credibilidade. Dizem que os benefícios da vítima podem ser suspensos ou ameaçam com potenciais problemas legais sem ação imediata.

Esta burla tira partido da preocupação do executivo com as suas finanças pessoais e reputação profissional, com o objetivo de obter informações sensíveis para usar em esquemas de roubo de identidade ou fraude financeira.

Imitação da IRS

Numa burla de vishing de personificação do IRS, um atacante faz-se passar por um agente do IRS. Afirmam que o alvo tem impostos em atraso que devem ser pagos imediatamente para evitar consequências graves, como prisão ou deportação. O burlão cria urgência e medo e fornece um número de identificação falso para parecer credível. Também falsificam um número de telefone do IRS e mencionam detalhes específicos relacionados com impostos.

O interlocutor exige pagamento imediato através de métodos não convencionais, como cartões-presente ou transferências bancárias, e solicita informações pessoais sensíveis. Este esquema explora o medo das pessoas do IRS e de questões fiscais. Mas note que o verdadeiro IRS normalmente inicia o contacto através de correio, não de chamadas telefónicas, e nunca exige pagamento imediato ou ameaça com ação legal instantânea.

Impactos do vishing

Na superfície, os ataques de vishing podem parecer mais um incómodo do que qualquer outra coisa. Mas são bastante sérios, representando um risco significativo para a infraestrutura digital de uma organização. Aqui está uma amostra dos danos que um ataque de vishing pode causar:

  • Perda financeira: Os ataques de vishing podem resultar em perdas financeiras significativas, uma vez que os atacantes frequentemente enganam os funcionários para transferirem fundos ou fornecerem informações financeiras sensíveis.
  • Perda de dados: Os atacantes podem ter acesso a dados empresariais sensíveis, incluindo credenciais de login, informações proprietárias e detalhes de clientes. Podem então explorar estas informações ou vendê-las na dark web.
  • Dano reputacional: Os ataques de vishing podem manchar a reputação de uma empresa, erodindo a confiança dos clientes e custando à organização potenciais oportunidades de negócio.
  • Interrupção operacional: Ataques de vishing bem-sucedidos podem interromper as operações comerciais ao comprometer sistemas críticos. Também há perda de produtividade, pois os funcionários passam tempo a lidar com as consequências do ataque em vez de realizarem as suas tarefas regulares.
  • Consequências legais e regulamentares: As empresas podem enfrentar repercussões legais e regulamentares se os ataques de vishing resultarem em violações de dados ou não conformidade com as leis de proteção de dados. Isso pode significar multas e maior escrutínio por parte dos órgãos reguladores.

Como detetar um esquema de vishing

Como líder da empresa, promover programas educacionais para os seus gestores e colaboradores é um dos melhores investimentos que pode fazer nos seus esforços de cibersegurança. Mesmo com um arsenal das ferramentas de segurança mais recentes e avançadas, a deteção precoce é a melhor proteção contra vishing. Aqui estão alguns sinais a ter em atenção:

Táticas de urgência e/ou medo

Táticas de urgência e medo são sinais característicos de ataques de vishing. Os atacantes frequentemente criam cenários que induzem medo, como ameaçar com ações legais ou suspensão de contas, para manipular as vítimas a agirem rapidamente.

O antídoto para estas táticas é manter a calma e não fornecer informações pessoais. Em vez disso, desligue a chamada e verifique independentemente as alegações do interlocutor, contactando diretamente a organização utilizando as informações de contacto oficiais.

Pedidos de informações pessoais

Os cibercriminosos costumam fingir ser representantes de bancos, agências governamentais ou empresas de suporte técnico, solicitando dados sensíveis como números de Segurança Social, detalhes de contas bancárias, informações de cartões de crédito, palavras-passe ou PINs. Podem apresentar cenários urgentes que exigem a divulgação imediata desta informação, como verificação de conta ou prevenção de fraude. No entanto, as organizações legítimas raramente pedem tais detalhes sensíveis por telefone, especialmente durante chamadas não solicitadas.

A melhor ação a tomar é não fornecer qualquer informação. Em vez disso, termine a chamada e contacte diretamente a organização através dos seus canais oficiais.

Exigência de pagamento

Os atacantes frequentemente apresentam cenários urgentes, alegando que a vítima deve dinheiro e deve pagar imediatamente para evitar consequências graves, como ação legal, prisão ou desconexão de serviços. Eles normalmente insistem em pagamento imediato através de métodos não convencionais, como cartões de oferta ou transferências bancárias, que são difíceis de rastrear.

A melhor forma de contrariar é manter a calma e evitar tomar decisões precipitadas. Lembre-se de que as organizações legítimas normalmente não exigem pagamento imediato por telefone nem usam ameaças para coagir ao pagamento.

Chamadas não solicitadas

Chamadas de vishing são frequentemente não solicitadas — e muitas vezes de indivíduos que afirmam representar organizações respeitáveis. Entidades legítimas normalmente não iniciam contacto através de chamadas não solicitadas ou solicitam informações pessoais de forma inesperada.

A melhor resposta é ser cauteloso e abster-se de partilhar informações pessoais ou financeiras. Tal como em outras situações de alerta vermelho, normalmente é melhor desligar e verificar de forma independente as alegações do interlocutor, contactando diretamente a organização utilizando informações de contacto oficiais do seu website ou de outras fontes fidedignas.

Pedidos para descarregar software

Os pedidos para descarregar software podem indicar um possível ataque de vishing. Os burlões podem fazer-se passar por entidades de confiança, como o suporte técnico ou empresas de segurança, e alegar que o computador da vítima está comprometido ou em risco.

Eles podem alegar que é necessária uma ação imediata para prevenir a perda de dados ou falhas de segurança e instruir a vítima a descarregar e instalar software específico para resolver o problema. No entanto, este software é muitas vezes malicioso, desenhado para roubar informações pessoais, instalar malware ou fornecer acesso remoto aos atacantes.

Os funcionários devem desligar e verificar a situação de forma independente, contactando diretamente a suposta organização usando informações de contacto oficiais de uma fonte confiável. Além disso, contacte o seu departamento de TI interno ou um serviço de suporte técnico confiável.

Como responder a ataques de vishing

Aprender a reconhecer os sinais de alerta e a detetar ataques de vishing cedo é uma ótima primeira linha de defesa. Mas não é infalível. Se um ataque de vishing does passar despercebido, siga estes passos:

  1. Relate o incidente imediatamente: Notifique a equipa de segurança informática da sua empresa ou o ponto de contacto designado, fornecendo o máximo de detalhes possível. Se dispositivos pessoais estiverem envolvidos, informe o seu banco pessoal e as empresas de cartão de crédito.
  2. Alterar credenciais comprometidas: Mude imediatamente as senhas de quaisquer contas que possam ter sido comprometidas. Use senhas fortes e únicas para cada conta. Se tiver utilizado a mesma senha noutro lugar, altere essa também.
  3. Documente o incidente: Anote tudo o que se lembra sobre a chamada enquanto está fresco na sua memória. Inclua o número de telefone, quaisquer nomes utilizados e detalhes da conversa. Guarde quaisquer emails, mensagens de texto ou mensagens de voz relacionadas.
    • Coopere com a investigação: Esteja preparado para fornecer um relato detalhado à sua equipa de segurança de TI ou às autoridades. Responda às perguntas honestamente, mesmo que se sinta envergonhado por ter caído no esquema.
  4. Monitorize as suas contas: Fique atento às suas contas financeiras para qualquer atividade suspeita.
  5. Participar em formação adicional de segurança: Fazer qualquer curso de atualização oferecido sobre as melhores práticas de cibersegurança. Além disso, considere partilhar a sua experiência (anonimamente, se preferir) para ajudar a educar os colegas.
  6. Ajude a fortalecer as defesas da empresa: Forneça feedback sobre os protocolos de segurança atuais e sugira melhorias. Isso pode incluir encorajar a implementação de medidas de proteção, como sistemas de autenticação por voz.

Como prevenir vishing

Além das suas ferramentas de cibersegurança e deteção precoce, as seguintes táticas podem complementar a pilha de proteção da sua organização:

  • Implementar formação abrangente em consciência de segurança: Estas sessões devem incorporar exemplos do mundo real e simulações para ajudar os funcionários a reconhecer e responder eficazmente a tentativas de vishing.
  • Estabelecer protocolos de comunicação claros: Criar e aplicar rigorosamente políticas que definam como lidar e verificar informações sensíveis dentro da organização.
  • Implementar salvaguardas técnicas: Implementar sistemas avançados de verificação de identificação de chamadas, e considerar o uso de tecnologia de autenticação por voz para transações sensíveis ou acesso a sistemas críticos.
  • Teste e avalie regularmente as vulnerabilidades: Conduza simulações periódicas de vishing para testar a prontidão dos funcionários. Além disso, realize auditorias de segurança regulares dos sistemas telefónicos e da infraestrutura relacionada para garantir que estão atualizados e seguros.
  • Crie uma cultura de segurança: Incentive os funcionários de todos os níveis a questionar pedidos incomuns e verificar identidades, mesmo que possa parecer indelicado ou desnecessário.

Como a Barracuda pode ajudá-lo a prevenir o vishing

Os ataques de vishing podem ser complicados de gerir e representam uma ameaça significativa para a sua organização. Mesmo o colaborador mais experiente pode ser enganado. Como executivo de nível C ou líder na sua organização, forneça à sua equipa as ferramentas e a formação necessárias para lidar com o vishing e outras ameaças de engenharia social.

Isso inclui as ferramentas certas de proteção cibernética. Mas, com tantas opções disponíveis, pesquisar e comprar a solução certa pode parecer avassalador. Felizmente, a Barracuda está aqui para ajudar.

Quer precise de proteção contra vishing ou phishing, um especialista em cibersegurança da Barracuda pode ajudá-lo a encontrar as ferramentas para proteger os ativos digitais da sua empresa. O nosso conjunto de ferramentas e formação em cibersegurança pode ajudá-lo a proteger-se contra o phishing por voz. E, se o phishing tradicional for uma preocupação, as nossas soluções de proteção de email podem ser adequadas para si.

Experimente Formação em Sensibilização para a Segurança hoje, e descubra como trabalhar com ferramentas desenvolvidas por especialistas em cibersegurança pode transformar o seu negócio.

Contacte-nos com quaisquer perguntas ou pedidos de apoio.