Para entender o que é o vishing através de um exemplo, imagine que após um longo dia de trabalho alguém enviou para o seu celular uma mensagem de voz: “Bom dia! Meu nome é Pedro Gonçalves e trabalho na empresa responsável pela segurança digital do seu computador. Deixaremos de oferecer nossos serviços na próxima semana, por isso estamos gerando um reembolso de R$1.600. Ligue para este número de segunda a sexta-feira durante o horário comercial..."
O que você faria? Retornaria a ligação ou pensaria um pouco mais, já que poderia ser uma situação muito suspeita? E se eles não fossem dólares, mas a moeda do seu país? E se eles mencionassem uma empresa de antivírus que você usa?
Este exemplo descreve o que é o vishing, um tipo de ataque perigosamente eficaz que se apoia em técnicas de engenharia social e em que o invasor se comunica por telefone ou mensagem de voz se fazendo passar por uma empresa ou instituição confiável com a intenção de enganar a vítima e convencê-la a tomar uma ação que vai contra seus interesses.
A palavra vishing nasce da união de voice e phishing, ou seja, engloba aqueles ataques de phishing que envolvem uma voz, seja ela robótica ou humana. Nestes casos, os invasores podem chegar à vítima por meio de chamadas telefônicas massivas, como um call center corporativo, ou deixando mensagens de voz. Além disso, entre os tópicos favoritos escolhidos por golpistas para essas comunicações, encontramos referências a problemas financeiros ou de segurança de nosso computador ou dispositivo móvel, ou o roubo de identidade de um suposto membro da família ou conhecido, etc.
Embora essa técnica possa representar um custo bem mais elevado e trabalho por parte dos cibercriminosos, ela é mais eficaz do que outras formas semelhantes de ataque, como o phishing: através de uma ligação telefônica é possível estabelecer comunicação mais pessoal que por meio um e-mail, por isso é mais fácil realizar a manipulação emocional. Em casos extremos, o atacante simula tristeza ou choro diante de um suposto problema que se apresenta a ele e que só a vítima pode resolver.
Métodos de engano utilizados através do vishing
Por ser um tipo de ataque semelhante ao phishing, o uso do vishing como recurso por criminosos pode ser observado em diferentes esquemas de golpes. Alguns dos mais comuns podem ser:
Suporte técnico/Infecção por malware:
Nesse modelo de fraude, quem se comunica com a vítima afirma ser de uma empresa com nome genérico, supostamente especializada em segurança digital, que garante para a vítima que presta serviços de proteção em seu computador. Usando a engenharia social, o invasor convence o indivíduo a permitir que ele acesse seu computador usando ferramentas de acesso remoto, como o TeamViewer, que até permite controlar o dispositivo acessado, mesmo quando o dono do dispositivo está ausente.
Em seguida, executando aplicativos geralmente instalados de fábrica no computador da vítima ou mostrando arquivos supostamente corrompidos, eles descobrem - falsos - sinais de uma infecção. Um exemplo de ferramenta que pode ser usada para isso é o Visualizador de Eventos do Windows: geralmente contém mensagens de aviso ou erros comuns em um computador saudável, que geralmente não afetam sua funcionalidade, mas são usados por invasores para preocupar a vítima e fazer com que ela acredite que seu dispositivo foi comprometido.
Uma vez que os atacantes considerem que o usuário está suficientemente preocupado, eles intimidam a vítima a comprar um suposto antivírus ou solução semelhante por uma grande quantia em dinheiro para resolver os problemas.
Imagem 1. Exemplo de um visualizador de eventos em um computador não infectado, que pode ser usado para engenharia social.
Reembolso de serviço digital:
Ao contrário do esquema anterior, este modelo de ataque se aproveita da boa vontade das vítimas. Os criminosos estabelecem uma primeira comunicação telefônica para informar uma suposta devolução de dinheiro por um serviço que o usuário contratou anos atrás e que a suposta empresa deixou de oferecê-lo. Assim, o golpista convence a vítima para que primeiro instale um software de acesso remoto em seu computador que permitirá ao atacante ter acesso ao computador da vítima e, em seguida, solicitar que acesse a sua conta bancária em seu computador e, paralelamente, simular a realização de transferências através de um site falso ou do mesmo terminal do sistema operacional. Simulando essa transferência falsa, eles permitem que o usuário insira a quantia que foram previamente instruídos a devolver e, uma vez que o valor é inserido, os golpistas modificam rapidamente a quantia para fazer parecer que o usuário cometeu um erro, inseriu um valor diferente, e você ganha mais dinheiro do que a sua parte. Desta forma, o usuário se sente pressionado a agir de boa fé e devolver o dinheiro em excesso supostamente transferido, e é aí que ocorre o golpe.
Problemas financeiros/Problemas jurídicos/Roubo de identidade de orgão estadual:
Talvez esta seja uma das formas mais chamativas do vishing. Aqui, os atacantes não recorrem a grandes conhecimentos de tecnologia da informação, mas se fazem passar pela voz de uma instituição como a polícia, um banco ou um escritório de advogados para comunicar um problema ou movimento falso associado à vítima. Com essa desculpa, os atacantes solicitam a entrega de informações pessoais e em alguns casos até o acesso ao computador do usuário, podendo acessar credenciais sigilosas neste último cenário.
Imagem 2: Transcrição de uma mensagem de correio de voz alegando a suspensão do Número de Seguro Social (SSN), identificador nos Estados Unidos. Fonte: Twitter
Alguém conhecido envolvido em problemas:
Por fim, o último grupo de ataques enfoca o apelo à necessidade de urgência ou vínculo da vítima. Fazendo-se passar por conhecidos, os criminosos solicitam com urgência ao destinatário da ligação a entrega do dinheiro, seja fisicamente ou por meio de uma conta bancária que será disponibilizada pelo mesmo canal de comunicação. Em várias ocasiões, métodos agressivos de manipulação emocional são usados, como um choro falso ou o apelo a um incidente sofrido pela suposta vítima conhecida, para garantir credibilidade ao engano.
Recomendações
Além de perdas monetárias, os ataques de vishing podem ter consequências que não são tão óbvias para a vítima, como o uso de sua identidade para enganar outros usuários no futuro.
As principais recomendações para evitar ser vítima desse tipo de golpe são: ao receber uma ligação suspeita, verifique sua origem. Se for algum conhecido, entre em contato com ele e, se for um suposto banco, verifique o motivo da ligação ou se você conta com um serviço associado. Também é importante desconfiar da fonte e em caso de dúvida, encerrar a comunicação o mais rápido possível. Se a pessoa que contacta afirmou ser de uma empresa com a qual você está associado, é aconselhável comunicar-se com a empresa através dos canais de comunicação oficiais.
