O que é um ataque de vishing?
Vishing é a prática de enganar as pessoas para que compartilhem informações confidenciais por meio de ligações telefônicas. As vítimas de vishing são levadas a acreditar que estão compartilhando informações confidenciais com uma entidade confiável, como autoridade fiscal, seu empregador, uma companhia aérea que usam, ou alguém que conhecem pessoalmente. O vishing também é conhecido como "phishing de voz".
Phishing é o termo geral para a prática de tentar roubar informações confidenciais, fingindo ser uma parte respeitável. Existem diferentes formas de phishing, incluindo phishing por e-mail (que às vezes é chamado apenas de 'phishing'), phishing de voz ou vishing, whaling, e spear phishing.
Embora os ataques de vishing sejam mais difíceis de detectar ou monitorar, é importante entender que os invasores geralmente tentam obter acesso às informações por diferentes meios ao mesmo tempo. Portanto, um aumento significativo nos ataques de phishing por e-mail, pode ser considerado um sinal de que tentativas de phishing de voz também podem estar ocorrendo. As organizações devem educar seus funcionários sobre esses incidentes, porque funcionários alertas são o melhor escudo contra esses ataques.
Qual é a relação entre vishing e engenharia social?
Vishing é uma forma de engenharia social. Os invasores convencem a vítima a fazer algo que ela não faria, como compartilhar detalhes do cartão de crédito em uma ligação telefônica não solicitada. O invasor joga com emoções humanas básicas, como ganância, medo ou desejo de ajudar. Os invasores podem fingir ser um amigo em uma emergência e levar a vítima a transferir dinheiro. Ou eles podem se passar por um membro do departamento de TI de um empregador para obter nome de usuário e senha para acesso à rede da empresa.
Como funcionam os ataques de vishing?
Os ataques de vishing podem assumir diversas formas, mas muitas vezes envolvem algumas das seguintes táticas:
- Um elemento surpresa: a pessoa que liga pode afirmar que faz parte de uma organização que normalmente não ligaria, como as autoridades fiscais, uma empresa, ou a loteria nacional. Essa pessoa também podem alegar ser alguém familiar à vítima, que está telefonando em circunstâncias incomuns.
- Um senso de urgência e medo: a pessoa que liga pode sugerir ou ameaçar consequências negativas se uma determinada ação não for tomada rapidamente. Essas consequências podem incluir uma penalidade — como medo de prisão se uma dívida fiscal não for liquidada imediatamente — ou perder uma oportunidade — como não ter acesso a um prêmio de loteria a menos que as informações pessoais sejam compartilhadas imediatamente.
- Um pedido de informações: a pessoa que liga solicitará informações confidenciais ou pessoais, como nome completo, endereço, data de nascimento, número do passaporte ou detalhes do cartão de crédito. O invasor pode já possuir algumas das informações e tentar completá-las ou verificá-las.
- Um elemento de atualidade: os ataques de vishing geralmente estão ligados a eventos atuais. Por exemplo, no início da pandemia de Covid-19, os invasores ligaram para funcionários que haviam acabado de começar a trabalhar em casa e alegaram ser membros de seu departamento de TI. Eles pediram nomes de usuário e senhas para poder conceder acesso a aplicativos e dados corporativos. Esses ataques aconteceram internacionalmente e envolveram uma variedade de organizações. Agências governamentais e ONGs foram visadas, juntamente com empresas de manufatura, desenvolvedores de software e companhias aéreas.
Como não se tornar uma vítima de vishing
As pessoas podem seguir uma série de práticas para se protegerem do phishing. Incluindo:
- Desconfiar de qualquer pessoa que peça dinheiro ou informações sensíveis pelo telefone: (sejam informações pessoais ou informações sobre uma organização da qual o destinatário faz parte). A maioria das autoridades não pediria tais informações por telefone.
- Estar ciente das possibilidades técnicas de estabelecer uma identidade falsa em chamadas telefônicas: não é difícil falsificar números de telefone ou usar um número regional específico usando a tecnologia VoIP. Por esse motivo, não se deve confiar em chamadas recebidas baseadas em identificadores de chamadas ou números regionais.
- Ser cético em relação a urgência: é prudente não confiar em ninguém que pareça criar um senso de urgência ou encoraje uma ação imediata. Em vez disso, fique calmo e considere as possíveis consequências.
- Não confiar implicitamente na identidade da pessoa que liga: verificar a identidade da pessoa que liga, procurando um número de telefone publicamente disponível da empresa e ligando para ele é importante. Se a pessoa que liga fornece um número de retorno de chamada, ele não deve ser usado, pois poderia fazer parte do esquema. Se a pessoa que liga afirma ser um amigo ou membro da família, procure essa pessoa através de outros meios de comunicação ou entre em contato com conexões mútuas para verificar a reivindicação.
Como proteger uma organização de ataques de vishing
Há várias medidas que as empresas podem tomar em níveis culturais e tecnológicos para se protegerem de ataques de vishing.
Educação: é importante educar os funcionários sobre as tendências atuais de vishing, bem como suas características gerais. Dessa forma, os funcionários poderão detectar ataques com base em seu conhecimento de um cenário específico ou ter cautela se perceberem que características de ataques de vishing estão presentes. Também é útil se os líderes lembrarem seus funcionários sobre os casos em que eles vão ou não entrar em contato com eles. Por exemplo, um CEO não ligaria para os funcionários para pedir informações privadas ou fazer uma transferência bancária. Por mais óbvio que isso possa parecer, ainda é bom que o CEO comunique isso regularmente.
Cultura: as organizações devem trabalhar para que seus funcionários se sintam à vontade para relatar que foram vítimas de um ataque de vishing. Se possível, as organizações devem ter um processo em vigor para esses casos, certifique-se de que a equipe esteja ciente disso e crie uma atmosfera de confiança na qual os funcionários não temam repercussões por relatar incidentes prontamente.
Tecnologia: os ataques de vishing que ocorrem por meio de chamadas telefônicas são mais difíceis de detectar e evitar do que os ataques de phishing em e-mails. No entanto, certas medidas podem ser tomadas para controle e monitoramento de danos.
- Autenticação multifator: se dois ou mais fatores de verificação forem necessários para acessar sistemas e informações internas, será difícil para os invasores obterem acesso simplesmente roubando as credenciais de login por telefone.
- Princípio do menor privilégio: se um funcionário for vítima de um ataque de vishing e seu dispositivo for comprometido, garante que o dano seja o mínimo possível. É fundamental garantir que os funcionários tenham acesso apenas aos sistemas e às informações de que precisam para sua função. A tecnologia de acesso à rede Zero Trust, como os serviços Zero Trust da Cloudflare, pode ajudar a gerenciar esse acesso.
- Registros de acesso: é importante ter sistemas instalados que detectem e monitorem atividades incomuns. A tecnologia Zero Trust ajuda as organizações a fazer isso também.
- Usar a segurança de e-mail como um sensor: os invasores geralmente usam várias formas de engenharia social ao mesmo tempo. Ao usar a tecnologia de segurança de e-mail da Cloudflare, as tentativas de phishing por e-mail serão impedidas e a organização será alertada sobre um aumento nas tentativas. O aumento do phishing por e-mail geralmente implica um aumento do phishing de voz.