Engenharia Social: O que é o Vishing?

“Vishing” é uma mala de palavras formada pela combinação da palavra “voz” e a palavra “phishing”. Refere-se a golpes de phishing feitos por telefone. As vítimas são obrigadas a divulgar informações financeiras ou pessoais importantes. O Vishing funciona como phishing, mas nem sempre funciona na Internet e usa tecnologia de voz.
Engenharia Social: O que é o Vishing?

PUBLICADO EM 28 DE MAIO DE 2018 · ATUALIZADO EM 27 DE JUNHO DE 2018

As técnicas mais usadas:

Hackers / hackers experientes colocam tudo no lugar para parecer legítimo:

  • A informação correta: eles já têm seu nome, endereço, número de telefone e dados bancários. De fato, eles têm toda a informação que um interlocutor sincero poderia ter.
  • Urgência: Você é levado a acreditar que seu dinheiro está em perigo e que você deve agir rapidamente. O medo geralmente leva as pessoas a agir sem pensar.
  • Experiência de telefone: O número de telefone aparece como se viesse de outro lugar (falsificando a apresentação do número, consulte spoofing de identificação de chamadas [link . in English]))). Então você pega o telefone confiando a priori para o chamador porque o número lhe dá confiança.
  • Um ambiente de negócios: você ouve um monte de ruído de fundo, que se parece com um call center, ao invés de uma chamada individual em um porão. Os hackers têm um call center ou transmitem efeitos sonoros.
    Se a vítima cair na armadilha e fornecer informações pessoais, ela acaba se tornando uma vítima de roubo de identidade.

Cenário realista N ° 1

Você chega em casa do trabalho e verifica seu correio de voz para ver se alguém ligou. Você inicia seu correio de voz e ouve a seguinte mensagem:

“Olá, sou Eva da ABC Telecommunications. Estou ligando para confirmar o fechamento da sua conta. A sua ligação à Internet e o seu telefone fixo serão suspensos amanhã de manhã, 6 de maio, às 8:00. Nossa contabilidade indica que você tem um saldo pendente. Por favor, ligue para o nosso serviço ao cliente em 00- … para liquidar o saldo da sua conta. ”

Essa mensagem tem como objetivo criar um senso de urgência e forçá-lo a pegar seu telefone para ligar para o número mostrado. A empresa ABC Telecommunications responde a você e fornece um procedimento automatizado para evitar o fechamento de sua conta. Você deve fornecer seu número de segurança social ou seu número de identificação e seu número de cartão de crédito para verificar se você é o proprietário de sua conta. Você corre, e a linha é cortada de repente logo em seguida.

Cenário realista N ° 2

Você está assistindo TV em sua sala de estar às 8:00 quando o telefone toca. Você verifica o número do chamador e é o do seu banco. Você pega o telefone.

“Olá, este é o banco XYZ. Na última hora, você teve três tentativas malsucedidas de acessar sua conta. Para proteger sua conta e proteger suas informações pessoais, o ABC Bank bloqueou sua conta. Queremos fazer todos os esforços para garantir que suas transações on-line sejam seguras. Por favor, ligue para o nosso departamento de segurança em 1-800- etc. “Você sabe que não fez “três tentativas mal-sucedidas de acessar sua conta na última hora”. Em vez disso, você estava na sua sala de estar assistindo TV. Novamente, o objetivo é assustar você e forçar você a ligar para o número mostrado. Você corre e é recebido com uma mensagem como esta:

“Obrigado por ligar para o XYZ Bank. Por motivos de qualidade, sua chamada pode ser gravada. Para ser redirecionado para o serviço apropriado, por favor, siga o menu. ”

  • Para verificar o saldo da sua conta corrente ou da sua conta poupança, marque 1.
  • Para ativar um cartão bancário, disque 2.
  •  Para se opor a um cheque, ligue para 3.
  • Para ser redirecionado para um serviço específico, disque 4.

. …

  • Para qualquer outro pedido, disque 0.

Você disca 4 e o sistema automatizado pede para você fazer o login.

“A segurança de nossos clientes é essencial para nós. Antes de podermos responder ao seu pedido, confirme a sua identidade. Por favor, insira o número da sua conta bancária, seguido da tecla da libra. ”

Você insere o número da sua conta bancária e ouve o seguinte aviso:

“Obrigado. Agora, por favor, digite o seu número de segurança social ou o número do seu cartão de identificação, seguido do sinal de libra “.

Você insere o seu número de segurança social ou o número do seu cartão de identidade e recebe um aviso automático do sistema novamente:

“Obrigado. Agora, por favor, digite seu PIN seguido da tecla da libra. ”

Você digita seu PIN e ouve:

“Obrigado”. A linha é cortada, ou – pior ainda – você é transferido para o banco real da XYZ, conversa com um funcionário genuíno e descobre que acaba de ser vítima de um ataque de vishing.

Como e por que é tão fácil?

ataques de vishing são difíceis de localizar, porque eles usam principalmente o VoIP (Voice over Internet Protocol), o que significa que eles estão lançando a chamada e termina em um computador que pode ser localizado em qualquer lugar no mundo.

E como é que o número de telefone da sua empresa de telecomunicações ou do seu banco aparece durante a apresentação do número do interlocutor, quando na verdade é um pirata? Porque eles usurparam isso (link em inglês). Alguns serviços, como o Spoofcard, o Burner (aplicativo móvel gratuito), permitem que você altere seu número de telefone para que a pessoa para quem você liga não saiba que você está ligando. Você pode exibir o número desejado. Isso permite que os ataques vishing pareçam perfeitamente legítimos ao apresentar o número. Substituto outro número, por vezes, pode ser legal (como parte da luta contra o spam, por razões de confidencialidade, etc.) ou não (fraude on-line, etc.) de acordo com as leis e regulamentos locais.

Como se proteger contra o Vishing?

  • Nunca ligue para o número que lhe foi dado ou exibido no número do interlocutor (a menos que seja o número de um amigo, o número de um dos pais, etc.) . Aproveite o tempo para procurar o número legítimo e chamá-lo.
  • Nunca revele informações pessoais – para ninguém! Isso se aplica a qualquer tipo de solicitação de informações pessoais. Para sua informação: Empresas reais não reivindicam seu número de segurança social, número de identificação, número de cartão de crédito ou código PIN por telefone.
  • Desligue se você receber uma ligação suspeita. Antes de lembrar o número real da empresa, pesquise na internet. Muito provavelmente, outras vítimas já terão publicado informações sobre o assunto.

Você também pode denunciar qualquer roubo de identidade em: https://www.identitytheft.gov/

Acima de tudo, use o bom senso. Alguns sinais devem alertá-lo. Pense duas vezes antes de agir!

O Mailfence é um serviço de mensagens seguro e privado. Leia nosso curso de conscientização de segurança e privacidade de e-mail para ajudar a protegê-lo das ameaças cibernéticas emergentes de hoje!

Tem perguntas sobre engenharia social: o que é o Vishing e como se proteger? Não hesite em contatar-nos (suporte em mailfence ponto com).

Obtenha suas mensagens seguras !

Você pode gostar...