A Check Point alerta os usuários sobre a volta do vishing como um novo golpe do telefone. Segundo a empresa de segurança, esse golpe ocorre a partir de uma prática “old school”. Os pesquisadores em cibersegurança que os ataques de vishing têm como foco as forças de trabalho remotas. Assim, os atacantes usam nomes de funcionários existentes para encobrir histórias a enganar as vítimas. A ideia é fazer com que elas compartilhem informações pessoais que levem a fundos de investimento roubados ou entrega de malware.
Os pesquisadores identificaram duas transcrições de ataques de vishing, as quais eles capturaram recentemente, para orientar os colaboradores remotos a reconhecer e se protegerem contra esses golpes.
Os fatores-chave para uma operação de vishing bem-sucedida começa com o atacante reunindo a inteligência do LinkedIn para determinar quais colaboradores têm acesso à maioria dos recursos. Então, eles recrutam pessoas que falam inglês com proficiência para fazer ligações fraudulentas, fornecendo a eles uma transcrição para leitura. Além disso, mudam o número de telefone de seus chamadores regularmente, a fim de evitar serem classificados como fonte de chamadas fraudulentas.
Cuidado com o Vishing, novo golpe aplicado por telefone
O vishing, uma combinação de Voz sobre IP (VoIP) e phishing, é um golpe por telefone fixo ou móvel criado para fazer uma pessoa compartilhar informações pessoais. Durante a ligação, os atacantes imitam os representantes da empresa, geralmente de departamentos financeiros, de RH ou jurídicos. Eles utilizam técnicas de engenharia social para induzir as vítimas a compartilhar as informações pessoais ou financeiras privativas das pessoas ou de empresas.
Assim, alguns atacantes foram além dos golpes de e-mail usuais e reviveram a técnica tradicional de vishing. Eles atualizaram esse golpe “old school” com alguns novos truques para ajudá-los a superar as suspeitas e aumentar suas chances de sucesso.
Este alerta dos pesquisadores da Check Point coincide com um comunicado conjunto emitido em agosto de 2020 pela Agência de Segurança Cibernética e Infraestrutura (CISA) e o FBI. Neste arquivo, eles falam sobre uma onda de ataques de vishing visando empresas do setor privado nos Estados Unidos. De acordo com o comunicado, os atacantes normalmente ligam para os funcionários que trabalham em home office para coletar credenciais de login para redes corporativas. Então, mais tarde, eles monetizam com a venda do acesso a outros grupos.
A primeira chamada
Um atacante ligou para o centro de suporte técnico da empresa por meio de um número disponível publicamente, pedindo para falar com um representante. Essa atacante se apresentou como uma funcionária da empresa, cuja aparência e sotaque combinavam com a autora da chamada. Durante a ligação, a atacante solicitou o número de telefone de dois outros colaboradores – ambos funcionários reais da empresa. A solicitação foi feita de maneira educada e acompanhada da grafia do nome sendo que, depois disso, foi sugerido ao destinatário a instalação do TeamViewer – um aplicativo de acesso remoto – supostamente para ajudá-lo a localizar o número de telefone desejado.
Os pesquisadores supõem que a “chamadora” foi cuidadosamente selecionada para corresponder à descrição da colaboradora usada como cobertura e que os atacantes verificaram que essa pessoa ainda estava trabalhando na empresa.
A segunda chamada
De forma semelhante ao incidente reportado acima, o atacante também entrou em contato com o centro de suporte técnico da empresa por meio de um número disponível publicamente. Então, solicitou para falar com um representante. Nesse caso, o atacante compartilhou uma história de fachada, envolvendo uma grande empresa de telecomunicações. Desta vez, usou um número de telefone sem nenhum relatório de spam conhecido encontrado on-line.
Os ataques de vishing estão entre as maiores ciberameaças que os trabalhadores remotos enfrentam atualmente, pois esses tipos de ataque são claramente uma tendência impactante de 2020. Nesses ataques, o cibercriminoso controla seus canais de informação, deixando a pessoa sem uma fonte confiável. Uma pessoa não pode dizer o que é real ou falso. Estamos vendo que cada vez mais ciberataques em várias etapas incorporando chamadas de vishing como parte de suas cadeias de infecção, por uma série de razões, informa Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point.
Etapas do ataque
Segundo Finkelsteen, a primeira delas é que os ataques de vishing ajudam os atacantes em sua fase de reconhecimento, quando podem aprender mais sobre seus alvos. A segunda razão refere-se ao fato de que esse tipo de ataque insere a fase de phishing, pois combinar uma chamada com uma mensagem SMS aprofunda o engano, por exemplo. A terceira é que esses ataques se tornam o núcleo dos principais ciberataques, como enganar as vítimas para entregar códigos de autenticação de dois fatores (2FA) enviados por SMS ou conceder acesso a um determinado sistema. Portanto, foi o que aconteceu no sequestro de conta do Twitter no início deste ano.
“Os colaboradores remotos em todos os lugares devem aprender a não compartilhar em excesso e a verificar constantemente a autenticidade de quem quer que esteja ao telefone”, alerta o diretor da Check Point.
Orientações para proteção contra vishing
1. Não compartilhar informações demais. A menos que a pessoa tenha certeza com quem está falando, nunca deverá fornecer informações pessoais pelo telefone, especialmente detalhes financeiros e de pagamento.
2. Verificar a autenticidade. Se não houver certeza sobre a identidade de quem está ligando, solicitar o número e ligar de volta. Ainda ao telefone, a pessoa procura pelo número na Internet para verificar a autenticidade.
3. Não efetuar qualquer transferência bancária para desconhecidos. Nunca concordar em realizar transferências eletrônicas ou pagamentos “virtuais” para ligações de quem não se conhece.
4. Manter-se informado. Conhecimento e educação são fundamentais. Quanto mais alerta se está para esses tipos de golpes, menor será a probabilidade de tornar-se vítima deles.
5. Desligar chamadas suspeitas ou sem verificação.