Vishing: conheça golpe com ligações telefônicas ou mensagens de voz

Vishing é um tipo de ataque por meio de ligações telefônicas ou mensagens de voz que usa engenharia social para enganar vítimas e roubar dados.

Esta semana, a empresa de segurança da informação Eset alertou sobre um novo golpe, ao qual devemos estar todos atentos: o vishing. Você já recebeu alguma ligação ou mensagem de voz com algo como Bom dia! Meu nome é Pedro Gonçalves e trabalho na empresa responsável pela segurança digital do seu computador. Deixaremos de oferecer nossos serviços na próxima semana, por isso estamos gerando um reembolso de R$ 1,6 mil. Ligue para este número de segunda a sexta-feira durante o horário comercial…? O que você faria?

Este exemplo descreve o que é o vishing, um tipo de ataque perigosamente eficaz que se apoia em técnicas de engenharia social e em que o invasor se comunica por telefone ou mensagem de voz se fazendo passar por uma empresa ou instituição confiável com a intenção de enganar a vítima e convencê-la a tomar uma ação que vai contra seus interesses.

Vishing: golpe por meio de ligações telefônicas ou mensagens de voz

Vishing é a união de voice e phishing, ou seja, engloba os tipos de ataque phishing, podem envolver uma voz robótica ou humana. Os golpistas chegam às vítimas por meio de chamadas telefônicas massivas, como um call center, por exemplo, e sempre com alguma conversa convincente sobre problemas financeiros ou de segurança, roubo de identidade de um parente ou amigo, entre outras.

Conheça alguns dos métodos de engano utilizados por meio do vishing:

  • Suporte técnico/infecção por malware: nesse método, quem se comunica com a vítima afirma ser de uma suposta empresa especializada em segurança digital. Usando a engenharia social, o invasor convence o indivíduo a permitir que ele acesse seu computador usando ferramentas de acesso remoto, que permite controlar o dispositivo acessado mesmo quando o dono do dispositivo está ausente, e o convence de uma infecção. Daí, eles intimidam a vítima a comprar um suposto antivírus ou solução semelhante por uma grande quantia em dinheiro para resolver os problemas;
  • Reembolso de serviço digital: este modelo de ataque se aproveita da boa vontade das vítimas. Os criminosos estabelecem uma primeira comunicação para informar uma suposta devolução de dinheiro por um serviço que o usuário contratou anos atrás e que a suposta empresa deixou de oferecê-lo. Assim, o golpista convence a vítima para que primeiro instale um software de acesso remoto e, em seguida, que a vítima acesse sua conta bancária em seu computador e, paralelamente, simular a realização de transferências por meio de um site falso ou do mesmo terminal do sistema operacional. Simulando a falsa transferência, eles permitem que o usuário insira a quantia que fora previamente instruído a devolver e, uma vez que o valor é inserido, os golpistas modificam rapidamente a quantia para fazer parecer que o usuário cometeu um erro, inseriu um valor diferente, e você ganha mais dinheiro do que a sua parte. Desta forma, o usuário se sente pressionado a agir de boa fé e devolver o dinheiro em excesso supostamente transferido, e é aí que ocorre o golpe.
  • Problemas financeiros, jurídicos ou roubo de identidade de órgão estadual: talvez esta seja uma das formas mais chamativas do vishing. Neste caso, os golpistas não recorrem a grandes conhecimentos de tecnologia da informação, mas se fazem passar pela voz de uma instituição como a polícia, banco ou um escritório de advogados para comunicar um problema ou movimento falso associado à vítima. Com a desculpa, eles solicitam a entrega de informações pessoais e em alguns casos até o acesso ao computador do usuário, podendo acessar credenciais sigilosas.
  • Alguém conhecido envolvido em problemas: por fim, o último grupo de ataques enfoca o apelo à necessidade de urgência ou vínculo da vítima. Fazendo-se passar por conhecidos, os criminosos solicitam com urgência ao destinatário da ligação a entrega do dinheiro, seja fisicamente ou por meio de uma conta bancária que será disponibilizada pelo mesmo canal de comunicação. Em várias ocasiões, métodos agressivos de manipulação emocional são usados, como um choro falso ou o apelo a um incidente sofrido pela suposta vítima conhecida, para garantir credibilidade ao engano.

Entre as recomendações para evitar ser vítima do vishing, estão: ao receber uma ligação suspeita, verifique sua origem; se for algum conhecido, entre em contato com ele e, se for um suposto banco, verifique o motivo da ligação ou se você conta com um serviço associado; desconfie da fonte e em caso de dúvida, encerrar a comunicação o mais rápido possível; se a pessoa que contata afirmou ser de uma empresa com a qual você está associado, é aconselhável comunicar-se com a empresa por meio dos canais de comunicação oficiais.

Com informações da Eset

Leia outros destaques do Blog do Maurício Araya. Gostou do conteúdo? Deixe seu comentário e enriqueça o debate. Siga o Blog do Maurício Araya no Facebook, no Twitter, no Pinterest, no Instagram, LinkedIn e YouTube.

Sobre o autor: Jornalista profissional (DRT-MA nº 1.139), com ênfase em produção de conteúdo para Web, edição de fotos e vídeos e desenvolvimento de infográficos; com passagem pelas redações do Imirante.com e G1 no Maranhão; e vencedor, por dois anos (2014 e 2015), da etapa estadual do Prêmio Sebrae de Jornalismo, na categoria Webjornalismo. Saiba mais