O que é um ataque de Vishing?

Os ataques Vishing – uma mala de viagem de voz e phishing – são realizados por telefone e são considerados um tipo de ataque de engenharia social, pois usam a psicologia para induzir as vítimas a entregar informações confidenciais ou a realizar alguma ação em nome do invasor.

Solicite uma demo Leia o e-book

O que é um ataque de Vishing?

Como funciona a visão

Uma tática comum é o uso da autoridade. Por exemplo, o invasor pode fingir ser do IRS, fingindo estar ligando para cobrar impostos não pagos. O medo de ser preso pode fazer com que as vítimas façam o que o agressor lhes manda. Esses tipos de ataques também envolvem comumente pagamentos via cartão-presente e custaram às vítimas US$ 124 milhões em 2020, somente nos EUA.

Qual é a diferença entre vishing e phishing?

Embora vishing e phishing sejam tipos de ataques de engenharia social e usem muitas das mesmas táticas, a principal diferença entre eles é o meio usado para realizar os ataques.

Conforme mencionado acima, vishing usa o telefone para realizar um ataque. O invasor ligará para a vítima – ou enganará a vítima para que ligue para ela – e tentará verbalmente induzi-la a fazer algo. Os phishers, por outro lado, usam formas de comunicação eletrônicas baseadas em texto para realizar seus ataques. Embora o e-mail seja o meio de phishing mais comum e conhecido, os invasores também podem usar mensagens de texto (chamadas smishing), aplicativos de comunicação corporativa (Slack, Microsoft Teams, etc.), aplicativos de mensagens (Telegram, Signal, WhatsApp, etc.), ou redes sociais (Facebook, Instagram, etc.) para realizar seus ataques.

Tipos de scamVishing

Os ataques de vishing podem ser tão variados quanto os ataques de phishing. Alguns dos pretextos mais comuns usados em vishing incluem:

  • Problema de conta: um visher pode fingir ser de um banco ou outro provedor de serviços, alegando que existe um problema com a conta de um cliente. Eles então solicitarão informações pessoais para “verificar a identidade do cliente”.
  • Representante do Governo: Um ataque de vishing pode incluir um invasor disfarçado de representante de uma agência governamental, como o Internal Revenue Service (IRS) ou a Social Security Administration (SSA). Esses ataques normalmente são projetados para roubar informações pessoais ou induzir a vítima a enviar dinheiro ao invasor.
  • Suporte Técnico: Os engenheiros sociais podem fingir ser suporte técnico de empresas grandes e conhecidas como Microsoft ou Google. Esses invasores fingem ajudar a corrigir um problema no computador ou navegador da vítima, mas na verdade instalam malware.

Como prevenir ataques de vishing

Tal como outros ataques de engenharia social, a sensibilização dos utilizadores é essencial para a prevenção e proteção. Alguns pontos importantes a serem incluídos no treinamento de conscientização sobre segurança cibernética são:

  • Nunca divulgue dados pessoais: Os ataques Vishing são comumente projetados para enganar o alvo, fazendo-o entregar informações pessoais que podem ser usadas para fraudes ou outros ataques. Nunca forneça senha, número de Autenticação Multifatorial (MFA), dados financeiros ou informações semelhantes por telefone.
  • Sempre verifique os números de telefone: Vishers ligarão fingindo ser de uma organização legítima. Antes de fornecer qualquer dado pessoal ou fazer qualquer coisa que o invasor diga, obtenha o nome de quem ligou e ligue de volta usando o número oficial do site da empresa. Se o chamador tentar convencê-lo a não fazer isso, provavelmente é uma scam.
  • Ninguém quer cartões-presente: os Vishers geralmente exigem o pagamento de impostos não pagos ou outras taxas em cartões-presente ou cartões Visa pré-pagos. Nenhuma organização legítima solicitará um cartão-presente ou crédito pré-pago como forma de pagamento.
  • Nunca forneça acesso remoto ao computador: Vishers pode solicitar acesso remoto ao seu computador para “remover malware” ou corrigir algum outro problema. Nunca forneça acesso ao seu computador a ninguém, exceto a membros verificados do departamento de TI.
  • Relatar incidentes suspeitos: Vishers geralmente tentarão usar o mesmo scam em vários alvos diferentes. Relate qualquer suspeita de ataque de vishing à TI ou às autoridades para que possam tomar medidas para proteger outras pessoas contra ele.

Assim como os ataques de phishing, a prevenção de vishing baseada em treinamento é imperfeita. Sempre existe a possibilidade de um ataque escapar. No entanto, ao contrário do phishing, o vishing é difícil de prevenir usando tecnologia. Como o vishing ocorre por telefone, a detecção de possíveis ataques exigiria escutar todas as chamadas telefônicas e observar sinais de alerta.

Por esta razão, as organizações devem abordar os ataques vishing implementando a defesa em profundidade e concentrando-se nos objectivos do atacante. Em um contexto corporativo, um ataque vishing pode ser projetado para infectar o sistema de um funcionário com malware ou fornecer ao invasor acesso a dados corporativos confidenciais. O impacto de um ataque de vishing pode ser mitigado através da implementação de soluções que impeçam um invasor de atingir esses objetivos, mesmo que o vetor de ataque inicial (ou seja, o telefonema de vishing) seja indetectável.

A Check Point oferece uma gama de soluções que podem ajudar as organizações a mitigar ataques de vishing, phishing e outros ataques relacionados. O Harmony Email and Office da Check Point inclui proteções Anti-phishing e pode ajudar a detectar tentativas de exfiltração de dados inspiradas em um ataque vishing. Para saber mais sobre como a Check Point pode proteger a sua organização contra ameaças de engenharia social, solicite hoje mesmo uma demo gratuita.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK