+351 914 132 130 info@growunder.com
Descubra o que é vishing (a nova ameaça ao trabalho remoto)

Descubra o que é vishing (a nova ameaça ao trabalho remoto)

O ano de 2020 recuperou um velho termo do léxico da cibersegurança. Venha descobrir o que é vishing e saber como se pode proteger...

O vishing foi um dos tipos de ataques informáticos mais frequentes durante o ano de 2020.

O termo resulta da união entre as palavras "voice" e "phishing". Portanto, é fácil perceber que o vishing funciona como o phishing, visando recolher dados pessoais sensíveis, mas recorrendo a tecnologia de voz.

Este tipo de ataques ganhou força devido ao crescimento de trabalhadores remotos, fruto das restrições impostas pela pandemia de covid-19.

Com cada vez mais pessoas a trabalharem a partir de casa e a concentração de operações vitais no trabalho remoto, os piratas informáticos encontraram uma oportunidade para falsear identidades, com o intuito de aceder a informações relevantes.

Mas venha entender melhor como funciona este tipo de ataque informático...

O que é vishing 

O vishing é uma forma de phishing que recorre à técnica de VoIP (Voice over Internet Protocol), usando chamadas telefónicas para roubar dados pessoais. 

O esquema funciona através de um email ou de uma chamada telefónica que aparenta ser de uma empresa ou de um Banco legítimo. O alvo do ataque é convidado a telefonar para um certo número de modo a resolver algum assunto. 

Logo que as vítimas fazem esse telefonema, acreditando que estão a telefonar para o seu Banco, por exemplo, são confrontadas com um atendedor automático que pede uma série de dados pessoais para "verificação de segurança".

Desta forma, os hackers conseguem obter credenciais e/ou dados pessoais para roubarem dinheiro ou instalarem malware nos equipamentos informáticos das suas vítimas. 

Diferença entre phishing e vishing

Como já vimos, o phishing e o vishing visam roubar informação confidencial, nomeadamente credenciais de login, detalhes sobre cartões de crédito ou outros dados sensíveis. 

Mas vamos apontar algumas características específicas de cada uma das técnicas, para ficar a entender melhor as diferenças entre phishing e vishing.

Principais características do phishing

  • Tem como alvo um leque alargado de pessoas através de emails.
  • Vítimas dos ataques têm de clicar num link malicioso.
  • Trata-se de um ataque automatizado. 
  • Um único hacker pode enviar vários emails ao mesmo tempo.
  • É mais preciso.
  • Mais frequente atualmente.
  • Feito por cibercriminosos ou hackers profissionais.
  • O alvo são passwords e demais credenciais de login (por exemplo, em Bancos).

Principais características do vishing

  • Tem como alvo um leque alargado de pessoas através de comunicações de voz.
  • Vítimas têm de revelar elas próprias os dados alvo dos ataques. 
  • É um ataque manual.
  • As chamadas de voz para os alvos são feitas uma de cada vez pelo hacker.
  • Tem menor precisão.
  • Era mais utilizado há uns anos, mas voltou em força com o crescimento do trabalho remoto motivado pela pandemia. 
  • Atacantes podem não ser especialistas em pirataria informática. 
  • O alvo são sobretudo PINs para transações bancárias ou pagamentos.

Como são os ataques de vishing?

Os piratas começam por recolher informação sobre a empresa que pretendem atacar e, portanto, investigam também os perfis dos seus colaboradores - até porque serão estes os alvos dos seus ataques.

Podem recorrer ao LinkedIn para esse efeito, procurando entender a orgânica da empresa, bem como a função dos colaboradores.

Depois, telefonam para a empresa a pedir o contacto de outros colaboradores, fazendo-se passar por funcionários reais. Com o trabalho remoto a ser algo novo, as desconfianças são afastadas.

Técnicas de vishing utilizadas

Além do contacto direto com as vítimas, com o intuito de obter dados pessoais, também as podem convencer a instalar certos softwares.

Um exemplo é o programa TeamViewer, um software de gestão de trabalho remoto, com a desculpa de que será preciso ter acesso a determinada informação. Deste modo, conseguem aceder à rede empresarial.

Por outro lado, podem fingir que são do seu banco e que o seu dinheiro está em risco, por uma ou outra razão, e que, por isso, tem de ceder determinados dados.

Outra técnica passa por se fazerem passar por alguém da companhia que fornece a Internet a avisar que a sua conta vai ser encerrada por causa de um valor por pagar e que, por isso, tem de ligar para um certo número.

O objetivo é forçar as pessoas a agirem sem pensarem demasiado, incitando-as a ligarem para o número facultado de onde responderá um atendedor de chamadas que solicitará dados pessoais a título de "verificação de segurança". Mas é um puro engodo.

Porque é fácil cair na armadilha

Os ataques de vishing recorrem à tecnologia VoIP (Voice over Internet Protocol) que permite fazer chamadas telefónicas através de uma ligação de Internet de banda larga. 

Assim, torna-se complicado detetar a sua localização, pois podem ser feitas através de um computador em qualquer local do mundo.

Além disso, há apps que permitem alterar o número de telefone, de modo que seja impossível ao destinatário de uma chamada perceber quem lhe está a ligar. Desta forma, as chamadas fraudulentas parecem autênticas.

Por outro lado, os hackers podem ter na sua posse dados autênticos relativos ao alvo do ataque, o que leva as vítimas a acreditarem que são pessoas legítimas, associadas a empresas ou bancos a que estão ligados.

Como pode proteger-se contra o vishing?

Perante estes riscos, há que estar especialmente atento e procurar informação sobre a melhor forma de proteção contra ataques de vishing.

Para ajudar neste âmbito, deixamos de seguida algumas recomendações para que possa proteger-se contra este tipo de ataques:

  • Nunca revele dados pessoais por telefone (nem os Bancos, nem as empresas legítimas solicitam informações como códigos PIN, números de cartão de crédito, de Cartão de Cidadão ou da Segurança Social pelo telefone).
  • Antes de ligar para números desconhecidos pesquise informação sobre os mesmos.
  • Quando receber uma chamada suspeita, desligue de imediato.
  • Se for contactado pelo seu Banco ou pela sua empresa, com a indicação de um número de telefone para onde ligar, procure confirmar se o número é mesmo real antes de ligar.
  • Nunca faça transferências bancárias para desconhecidos.
  • Perante uma situação suspeite, faça denúncia às autoridades, à sua empresa ou ao seu Banco.

Além destes conselhos, é importante que pense duas vezes antes de fazer o que quer que seja.

Evite tomar decisões precipitadas, movido pela urgência ou pelo medo. Esse é o modus operandis dos hackers que fazem uso da pressa e da ansiedade das vítimas para as roubar.

Agora que já sabe o que é vishing e que ficou a conhecer algumas dicas para se proteger, só tem de agir com bom senso e cautela. Lembre-se daquelas palavras sábias das nossas avós: prudência e caldos de galinha nunca fizeram mal a ninguém.

Aproveite também para descobrir dicas para aumentar segurança de site Joomla.

logo growunder white 223x45px

Somos uma empresa formada por colaboradores que trabalham remotamente, focada e especializada na consultoria e administração de websites.

Contactos

Av da República 6-1Esq
1050-191 Lisboa
Portugal