11 Fev O que é vishing (voice phishing)?
Vishing (voice phishing) é uma variante de um ataque de phishing que é realizada através de telefone. Num ataque de vishing, o atacante liga para o alvo a fazer-se passar por outrem, com o objectivo de tentar obter acesso a informação privada. As chamadas de vishing podem ser realizadas por uma pessoa ou por um sistema automatizado. A típica chamada de vishing aparenta estar a ser feita por uma entidade legítima, como uma empresa ou uma instituição financeira. O atacante diz que existe um problema com a conta (por exemplo, do site da empresa ou do banco) e pede a informação privada do utilizador – como, por exemplo, a password, o número da conta, o PIN e o número de cartão de crédito – para verificar a informação da conta e resolver o suposto problema. Noutros casos, o objectivo de uma chamada de vishing é fazer com que o utilizador instale malware no seu computador, com o intuito de obter acesso à sua informação privada ou com outros intuitos. Por exemplo, num dos ataques de vishing mais comuns, o atacante liga para o utilizador fazendo-se passar por um representante de uma empresa de software, como a Microsoft, e diz que existe um problema com o seu computador, propondo-se em seguida a resolvê-lo. O atacante poderá até falsificar o número de telefone que aparece no telefone do utilizador como remetente da chamada de forma a mostrar o verdadeiro número de assistência técnica da empresa. Para resolver o suposto problema, o falso técnico da Microsoft pede ao utilizador para instalar um programa para lhe dar acesso remoto ao seu computador. No entanto, com acesso remoto ao seu computador, o suposto técnico não irá resolver nenhum problema, mas sim roubar a sua informação privada ou instalar um ransomware para encriptar os seus dados e depois exigir dinheiro para os recuperar. Conforme explica a Microsoft, a empresa não faz “chamadas não solicitadas para pedir informação pessoal ou financeira, ou para arranjar o seu computador” e qualquer comunicação com a empresa tem que ser iniciada pelo utilizador.
O vishing tira partido da confiança que os utilizadores têm na rede telefónica. Em circunstâncias normais, a maior parte dos utilizadores nunca irá ver informação errada sobre a origem de uma chamada telefónica. Após anos a ver repetidamente informação correta nos seus telefones, os utilizadores confiam totalmente nos números que são mostrados nos ecrãs. No entanto, a verdade é que, recorrendo a tecnologia Voice Over IP (VoIP), o atacante pode falsificar um número de telefone, fazendo com que a chamada aparente ser originária de um número de telefone conhecido.
Infelizmente, muitos dos mecanismos de filtragem que são eficazes nos emails não são eficazes na tecnologia VoIP, por diversas razões. Em primeiro lugar, um email chega ao servidor antes de ver visto pelo utilizador. Como tal, o servidor pode aplicar várias estratégias de filtragem. Pelo contrário, na tecnologia VoIP, são transmitidas vozes humanas ao invés de texto. Reconhecer as vozes e determinar se uma mensagem é ou não phishing é uma tarefa muito difícil para o sistema. O destinatário de uma chamada só descobre o assunto da mesma quando a está a ouvir. Mesmo se o conteúdo da mensagem estiver armazenado no correio de voz, é difícil para as actuais tecnologias de reconhecimento de voz perceber o contexto da mensagem o suficiente para determinar se uma mensagem é ou não phishing. Tal como no phishing, a melhor forma de proteger os utilizadores contra o vishing é sensibilizá-los para esta ameaça. Neste sentido, eis algumas recomendações:
- Suspeitar de chamadas não solicitadas, especialmente se a pessoa que está a ligar lhe pedir informação privada
- Não fornecer informação privada, mesmo que a pessoa que está a ligar alegue que pertence a uma empresa ou a um banco de que é cliente: O seu banco nunca iria pedir a sua password, o seu PIN ou o seu número de cartão de crédito por telefone.
- Não fazer o download de nenhum programa a pedido da pessoa que está a ligar
- Ter a noção de que o número que aparece no seu telefone como remetente de uma chamada pode ser facilmente falsificado de forma a que a chamada aparente ser originária de um número de telefone conhecido
- Em caso de dúvida, desligue a chamada e ligue directamente para a entidade que supostamente lhe ligou (através dos contactos disponíveis no seu site oficial ou num documento que já tenha em sua posse, como um cartão ou uma factura) para confirmar a informação pedida