O que é vishing?
Vishing significa “voice phishing” em inglês (phishing por voz) e refere-se ao uso fraudulento de chamadas telefônicas e serviços de mensagens de voz para convencer alguém a revelar dados confidenciais, como dados bancários, número de identidade, senhas ou outras informações pessoais. Assim como os ataques de phishing em geral, os ataques de vishing usam técnicas de engenharia social para manipular as pessoas a caírem no golpe.
Phishing ou vishing: qual é a diferença?
Phishing é quando os golpistas se fazem passar por fontes legítimas para manipular a vítima e fazê-la compartilhar informações pessoais ou clicar em um link malicioso, geralmente por e-mail ou mensagem de texto. O vishing, por outro lado, usa chamadas telefônicas ou mensagens de voz, em vez de e-mails e mensagens de texto, para fazer phishing e roubar dados confidenciais.
Outros tipos de ataques de phishing incluem spear phishing, smishing (phishing por meio de uma mensagem de texto falsa), pharming e phishing de rede social (por exemplo, alguns tipos de golpes no Instagram).
Apesar de suas diferenças, todos os ataques de phishing, inclusive o vishing, têm objetivos semelhantes: obter informações pessoais a fim de roubar dinheiro, cometer roubo de identidade, fraudar o cartão de crédito ou extorquir a vítima. Em quase todos os casos, seja a vítima um indivíduo ou uma empresa, o golpista faz isso por dinheiro.
Mas há outros motivos pelos quais um golpista de vishing, ou “visher”, aplica o golpe, como chantagear indivíduos por motivos políticos. Quando uma empresa é o alvo, o visher pode querer roubar informações de segurança para usar em um ataque de cibercrime em grande escala.
Como funciona um ataque de vishing?
Etapa 1: o disfarce
Os golpistas de vishing geralmente se disfarçam com o spoofing de um número de telefone local ou um número comercial confiável para entrar em contato com você. O spoofing telefônico é o uso de identificadores de chamadas falsos para disfarçar a verdadeira origem da chamada, de modo que os fraudadores possam se passar por uma organização ou empresa legítima.
Etapa 2: a manipulação
O golpista usa chamadas telefônicas ou serviços de mensagens de voz para se passar pela pessoa ou empresa de boa reputação que escolheu como disfarce. Por exemplo, o golpista de vishing pode representar falsamente um banco, uma empresa de entregas ou uma agência governamental, como a Receita Federal. No exemplo popular do “golpe da garantia estendida do carro”, o visher pode até ter informações sobre seu veículo, o que o ajuda a parecer mais legítimo.
Os vishers geralmente falam que estão resolvendo um problema para ganhar confiança. Por exemplo, o golpista pode dizer que seu cartão de crédito foi comprometido e que ele entrou em contato para ajudar a proteger sua conta.
Etapa 3: o pedido
O golpista então pedirá algumas credenciais suas. Por exemplo, ele pode pedir que você confirme sua senha e os detalhes da conta. As respostas certas são o objetivo do ataque de vishing, pois, se você as fornece, o golpista obtém as informações necessárias para acessar sua conta.
Em um ataque de vishing, o golpista ganha confiança antes de pedir informações pessoais.
Técnicas comuns de golpes de vishing
Há várias técnicas e métodos que os golpistas usam para aplicar ataques de vishing. Quanto mais você souber como os golpistas operam, mais preparo você terá para identificar uma chamada fraudulenta e se proteger contra o vishing.
Spoofing do identificador de chamadas
O spoofing do identificador de chamadas envolve imitar o número de telefone de uma organização respeitável e confiável, como uma instituição financeira ou agência governamental, para induzir a vítima a pensar que a chamada vem de uma fonte confiável.
Wardialing
O Wardialing usa um software que verifica automaticamente listas de números de telefone e faz chamadas. Normalmente, o programa é configurado para desligar após um determinado número de toques, se o chamador atender ou a chamada cair no correio de voz.
Os hackers podem usar o wardialing para fazer pesquisas antes de fazer um ataque maior e planejado.
VoIP
A telefonia VoIP (Voice over Internet Protocol) funciona exclusivamente pela Internet, o que significa que os golpistas dependem menos de uma localização geográfica específica do que quando usam um número de celular ou telefone fixo.
Desde que haja uma conexão com a Internet, um golpista pode usar o mesmo número para fazer várias chamadas telefônicas no mundo todo, ocultando sua localização e identidade reais, o que facilita o “trabalho” do golpista.
Dumpster diving
“Dumpster diving”, em inglês, significa vasculhar o lixo de outra pessoa para encontrar documentos que contenham informações pessoais, como nomes, números de telefone, dados de cartão de crédito, informações de contas etc.
Os vishers podem usar os dados coletados pelo “dumpster diving” para fazer a chamada de telefone parecer mais legítima, compartilhando algumas informações que você esperaria que somente uma agência ou empresa confiável soubesse.
Exemplos de ataques de vishing
Veja alguns exemplos reais de ataques de vishing. Alguns podem parecer familiares:
Golpes bancários e de cartão de crédito
Golpes bancários e de cartão de crédito são comuns. A segurança financeira geralmente desperta emoções muito fortes nas pessoas, que é exatamente o que os vishers procuram.
Nesse cenário, um visher pode se passar por um representante de uma instituição financeira para convencer você a compartilhar os dados da sua conta bancária ou do seu cartão de crédito para confirmar sua identidade, a fim de resolver um suposto problema com sua conta. Se o golpista conseguir o que precisa, ele poderá obter acesso à sua conta bancária ou ao seu cartão de crédito. Se você estiver nessa situação, bloqueie seu crédito e seus cartões imediatamente.
Golpes de assistência médica ou previdência social
Os vishers que se disfarçam de representantes da assistência médica ou da previdência social são outro exemplo comum de ataque de vishing. Por exemplo, eles podem ligar ou deixar uma mensagem de voz para dizer que seu número de identidade foi suspenso devido à suspeita de atividade ilegal. Eles pedirão que você confirme seus dados pessoais com urgência para manter seu cadastro ativo e limpar seu nome.
Golpes de imposto ou da Receita Federal
Os golpes de imposto ou da Receita Federal envolvem agentes mal-intencionados que se fazem passar por funcionários do governo para informar sobre um problema com sua declaração de imposto de renda. Eles podem dizer que você deve mais impostos ou que pagou impostos a mais e tem valores a receber.
Esses golpistas tentarão te assustar para que compartilhe dados pessoais, ameaçando falsamente prender você ou remover determinados benefícios. As informações que você compartilha podem ser usadas para roubar dinheiro ou cometer fraude de identidade fiscal.
Empréstimos e golpes de enriquecimento rápido
Alguns vishers oferecem esquemas de enriquecimento rápido, grandes prêmios ou empréstimos irrealistas. Depois de explicar a proposta, o visher pode pedir algum tipo de taxa inicial ou solicitar informações pessoais e dados financeiros para preparar tudo. Lembre-se, se a esmola é demais, o santo desconfia.
Golpes de suporte técnico
Outro exemplo de vishing é o golpe de suporte técnico. Nesse ataque de vishing, o golpista liga para você informando que há um problema com seu dispositivo e que ele está trabalhando para corrigi-lo. Em alguns casos, uma janela pop-up na tela indicará um problema aparente com o computador, como um pop-up de scareware informando sobre uma suposta infecção por malware, e pedirá para você ligar para a equipe de suporte (falsa).
Antes ou depois de o problema ter sido “corrigido”, ele pedirá que você compartilhe seus dados financeiros para que possa pagá-los pela correção do problema inexistente.
Em um golpe de suporte técnico, o golpista pode pedir para o usuário ligar para um falso departamento de suporte de TI.
Como detectar um ataque de vishing
Os vishers são mestres da manipulação, e um ataque de vishing bem direcionado pode ser difícil de detectar. Para ajudar a evitar ser vítima de um ataque de vishing, observe os seguintes sinais:
A chamada é inesperada
Tenha cuidado se receber uma ligação não solicitada de um órgão ou empresa do governo e começarem a pedir dados pessoais. Receber o contato de um problema com sua conta ou computador pode te pegar de surpresa.
Não forneça nenhuma informação e desligue o telefone imediatamente. Entre em contato com a empresa por meio de um canal oficial para verificar se ela precisa de algum dos dados solicitados na chamada. Na maioria dos casos, a ajuda oficial deve ser solicitada por você, e não o contrário. Se você receber uma ligação não solicitada, é muito provável que seja um golpe.
Há uma certa urgência
Os vishers geralmente usam engenharia social e táticas psicológicas para provocar medo ou ansiedade. Isso torna mais provável que o alvo aja rapidamente antes de questionar ou verificar o autor da chamada.
Os golpistas de vishing costumam enfatizar a pressa e a seriedade do problema para pressionar o alvo e persuadi-lo a passar os dados rapidamente. Se você passar por algo parecido, mantenha a calma, pense de forma crítica e desligue o telefone.
Pedem para você retornar a ligação
Para plantar a semente da preocupação na mente do alvo, os phishers podem deixar uma mensagem de voz ou enviar mensagens de texto de spam descrevendo o problema e incluindo um número de telefone para contato.
Por exemplo, um visher pode deixar uma mensagem de voz dizendo que uma pessoa não autorizada tentou acessar sua conta bancária. O visher pode então enviar uma mensagem em seguida dizendo que a conta bancária está bloqueada devido a atividades suspeitas e que, para confirmar sua identidade e desbloquear sua conta, você precisa ligar para o número fornecido.
Nunca responda a mensagens como essa e nunca ligue para o número fornecido. É muito provável que seja um golpe. Entre em contato com uma organização somente pelo número de telefone oficial.
Como evitar ataques de vishing
Felizmente, você pode ajudar a se proteger contra golpes de phishing de voz. Siga estas dicas para ter mais segurança na Internet (e no telefone):
-
Nunca compartilhe informações pessoais ou dados confidenciais por telefone.
-
Sempre verifique a legitimidade dos números de telefone para confirmar a identidade de quem está ligando.
-
Nunca permita o acesso remoto ao computador.
-
Denuncie incidentes suspeitos imediatamente.
-
Não atenda a chamadas telefônicas de números suspeitos ou que você não reconheça.
-
Se algo não parecer certo, desligue.
-
Cadastre-se no Não Me Perturbe do Brasil para restringir o acesso ao seu número.
Ajude a proteger seus dados com Avast
Manter seus dados privados seguros está cada vez mais difícil. É aí que entra o poderoso software de segurança online. O Avast Free Antivirus oferece uma poderosa proteção online, mantendo seus dados, privacidade e informações pessoais confidenciais mais seguros.