Todos já ouvimos falar do phishing, o golpe clássico por e-mail que imita fontes confiáveis para enganar as vítimas e levá-las a fornecer informações sensíveis ou instalar malwares. Pois bem, o vishing é a versão por chamadas de voz desse mesmo golpe. É uma armadilha com diversas variações, capaz de atingir tanto indivíduos quanto empresas, com consequências potencialmente devastadoras.
Mas, afinal, como funcionam os golpes de vishing, quais os seus impactos e como se proteger desse tipo de ameaça?
O problema da engenharia social
O vishing funciona tanto no universo dos consumidores quanto no mundo corporativo por um motivo simples: erro humano. No centro das ações dos cibercriminosos está a engenharia social, que nada mais é do que a arte da persuasão.
A engenharia social consiste em se passar por uma autoridade confiável, como seu banco, um fabricante de tecnologia, uma repartição do governo ou até um técnico de TI, e criar um senso de urgência ou medo que anule qualquer cautela ou desconfiança que a vítima normalmente teria.
Essas técnicas são amplamente usadas em e-mails de phishing e em mensagens de texto falsas (conhecidas como smishing). Mas talvez sua forma mais eficaz seja quando aplicadas ao vivo, por telefone.
Os golpistas que praticam vishing contam com uma série de táticas e ferramentas adicionais para tornar suas fraudes ainda mais convincentes, como:
- Ferramentas de falsificação de identificador de chamadas (Caller ID spoofing): permitem esconder a localização real do golpista e até se fazer passar por números de telefone de organizações confiáveis. No ano passado, por exemplo, clientes do hotel Ritz London tiveram seus dados pessoais roubados durante uma violação de segurança. Os golpistas usaram essas informações para realizar ataques de engenharia social altamente convincentes, inclusive falsificando o número oficial do hotel.
- Golpes multicanais: podem começar com uma mensagem de texto (smishing), um e-mail de phishing ou até um correio de voz, incentivando a vítima a ligar para um número. Ao fazer isso, ela é colocada diretamente em contato com o golpista.
- Coleta de dados em redes sociais e pesquisas em fontes abertas: fornecem aos criminosos uma grande quantidade de informações sobre suas vítimas. Esses dados podem ser usados para atacar alvos específicos, como funcionários com acesso privilegiado em empresas, e tornar o golpe ainda mais criminoso. Por exemplo, o golpista pode repetir detalhes pessoais da vítima durante a chamada, fazendo com que ela se sinta segura e revele ainda mais informações.
O impacto do vishing no ambiente de trabalho
No contexto corporativo, o vishing é frequentemente utilizado para roubar credenciais privilegiadas. O FBI já emitiu diversos alertas sobre esse tipo de ataque. Recentemente, a agência detalhou uma campanha criminosa envolvendo mensagens de texto e de voz, nas quais os golpistas se passavam por autoridades do governo dos EUA. Durante a fraude, os cibercriminosos utilizaram mensagens de voz geradas por Inteligência Artificial (IA) para tornar o golpe mais convincente.
Como o vishing pode afetar sua família
Infelizmente, os golpistas que aplicam golpes de vishing também têm atuado fortemente contra consumidores. Nesses ataques, o objetivo final é obter dinheiro da vítima, seja roubando diretamente informações bancárias ou de cartões, seja enganando a pessoa para que forneça dados pessoais e credenciais de acesso que possam ser usados para invadir essas contas.
Como mencionado pelo FBI e observado em casos recentes, os criminosos têm utilizado áudios gerados por Inteligência Artificial (IA) em campanhas de vishing, fingindo ser figuras públicas ou até mesmo amigos e familiares das vítimas, o que aumenta significativamente a credibilidade do golpe.
Alguns golpes comuns
Golpes de suporte técnico
No golpe de suporte técnico, as vítimas costumam receber chamadas frias de pessoas que fingem ser de um provedor de internet (ISP) ou de um fornecedor conhecido de software ou hardware. Elas afirmam ter identificado um problema inexistente no seu computador e, em seguida, solicitam pagamento (e os dados do seu cartão) para resolver a suposta falha, às vezes instalando malwares durante o processo. Esses golpes também podem começar com uma janela pop-up que incentiva o usuário a ligar para um número de atendimento.
Wardialing
Trata-se da prática de enviar mensagens de correio de voz automáticas para um grande número de vítimas, geralmente tentando assustá-las para que retornem a ligação, por exemplo, alegando que têm contas de impostos ou multas pendentes.
Telemarketing
Outra tática popular é ligar para a pessoa afirmando que ela ganhou um prêmio incrível. A única "pegadinha" é que é necessário pagar uma taxa antecipada para que a vítima possa receber o prêmio.
Phishing/Smishing
Como mencionado, os golpes podem começar com um e-mail falso ou uma mensagem SMS falsa, incentivando o usuário a ligar para um número. Um exemplo comum é um e-mail "falso da Amazon" alegando que há um problema em um pedido recente. Ao ligar para o número, a vítima é colocada em contato direto com um golpista especializado em vishing.
Como prevenir o vishing
Embora alguns desses golpes estejam cada vez mais sofisticados, há várias ações que você pode tomar para reduzir o risco de ser vítima. Algumas medidas básicas incluem:
- Mantenha seu número fora de listas públicas, evitando que ele não fique disponível publicamente;
- Não informe seu número de telefone em formulários on-line (por exemplo, ao fazer compras pela internet);
- Desconfie de pedidos por informações bancárias, pessoais ou qualquer outro dado sensível feitos por celular;
- Tenha cautela, não interaja com chamadas não solicitadas, especialmente se pedirem para confirmar dados sensíveis;
- Nunca retorne ligações deixadas por correio de voz. Sempre entre em contato diretamente com a empresa;
- Use autenticação multifator (MFA) em todas as suas contas on-line;
- Mantenha seus sistemas de e-mail e segurança web atualizados e com recursos anti-phishing ativados.
