Engenharia Social: O que é o Vishing?

Vishing é uma combinação da palavra “voz” e da palavra “phishing”. Portanto, refere-se a phishing golpes feitos por telefone. Os indivíduos são levados a revelar informações financeiras ou pessoais críticas. Vishing funciona como phishing, mas nem sempre ocorre na Internet e é realizado por meio de tecnologia de voz. Outra forma de phishing é smishing que usa SMS para fazer phishing.

PUBLICADO EM 28 DE MAIO DE 2018 · ATUALIZADO EM 27 DE JUNHO DE 2018

As técnicas mais usadas:

Hackers / hackers experientes colocam tudo no lugar para parecer legítimo:

  • A informação correta: eles já têm seu nome, endereço, número de telefone e dados bancários. De fato, eles têm toda a informação que um interlocutor sincero poderia ter.
  • Urgência: Você é levado a acreditar que seu dinheiro está em perigo e que você deve agir rapidamente. O medo geralmente leva as pessoas a agir sem pensar.
  • Experiência de telefone: O número de telefone aparece como se viesse de outro lugar (falsificando a apresentação do número, consulte spoofing de identificação de chamadas [link . in English]))). Então você pega o telefone confiando a priori para o chamador porque o número lhe dá confiança.
  • Um ambiente de negócios: você ouve um monte de ruído de fundo, que se parece com um call center, ao invés de uma chamada individual em um porão. Os hackers têm um call center ou transmitem efeitos sonoros.
    Se a vítima cair na armadilha e fornecer informações pessoais, ela acaba se tornando uma vítima de roubo de identidade.

Cenário realista N ° 1

Você chega em casa do trabalho e verifica seu correio de voz para ver se alguém ligou. Você inicia seu correio de voz e ouve a seguinte mensagem:

“Olá, sou Eva da ABC Telecommunications. Estou ligando para confirmar o fechamento da sua conta. A sua ligação à Internet e o seu telefone fixo serão suspensos amanhã de manhã, 6 de maio, às 8:00. Nossa contabilidade indica que você tem um saldo pendente. Por favor, ligue para o nosso serviço ao cliente em 00- … para liquidar o saldo da sua conta. ”

Essa mensagem tem como objetivo criar um senso de urgência e forçá-lo a pegar seu telefone para ligar para o número mostrado. A empresa ABC Telecommunications responde a você e fornece um procedimento automatizado para evitar o fechamento de sua conta. Você deve fornecer seu número de segurança social ou seu número de identificação e seu número de cartão de crédito para verificar se você é o proprietário de sua conta. Você corre, e a linha é cortada de repente logo em seguida.

Cenário realista N ° 2

Você está assistindo TV em sua sala de estar às 8:00 quando o telefone toca. Você verifica o número do chamador e é o do seu banco. Você pega o telefone.

“Olá, este é o banco XYZ. Na última hora, você teve três tentativas malsucedidas de acessar sua conta. Para proteger sua conta e proteger suas informações pessoais, o ABC Bank bloqueou sua conta. Queremos fazer todos os esforços para garantir que suas transações on-line sejam seguras. Por favor, ligue para o nosso departamento de segurança em 1-800- etc. “Você sabe que não fez “três tentativas mal-sucedidas de acessar sua conta na última hora”. Em vez disso, você estava na sua sala de estar assistindo TV. Novamente, o objetivo é assustar você e forçar você a ligar para o número mostrado. Você corre e é recebido com uma mensagem como esta:

“Obrigado por ligar para o XYZ Bank. Por motivos de qualidade, sua chamada pode ser gravada. Para ser redirecionado para o serviço apropriado, por favor, siga o menu. ”

  • Para verificar o saldo da sua conta corrente ou da sua conta poupança, marque 1.
  • Para ativar um cartão bancário, disque 2.
  •  Para se opor a um cheque, ligue para 3.
  • Para ser redirecionado para um serviço específico, disque 4.
  • Para todas as outras perguntas, pressione 0.

Você disca 4 e o sistema automatizado pede para você fazer o login.

Então você pressiona 4 e o sistema automatizado o instrui a se identificar.
“A segurança dos nossos clientes é importante para nós. Para prosseguir, solicitamos que você autentique sua identidade antes de prosseguir. Digite o número da sua conta bancária, seguido do símbolo de libra. ”

Você digita o número da sua conta bancária e ouve o próximo aviso:
“Obrigado. Agora, digite o número do seu Seguro Social ou RG, seguido do sinal de libra. ”

Você insere seu número de Seguro Social ou de Identificação Nacional e recebe novamente um aviso do sistema automatizado:
“Obrigado. Agora, digite seu PIN, seguido pelo sinal de libra. ”

Você digita seu PIN e ouve o próximo prompt:
“Obrigado.” . A linha morre ou – pior ainda – você é transferido para o banco XYZ real, fala com um agente e descobre que foi vítima de um ataque vishing.

Como e por que é tão fácil?

ataques de vishing são difíceis de localizar, porque eles usam principalmente o VoIP (Voice over Internet Protocol), o que significa que eles estão lançando a chamada e termina em um computador que pode ser localizado em qualquer lugar no mundo.

E como é que o número de telefone da sua empresa de telecomunicações ou do seu banco aparece durante a apresentação do número do interlocutor, quando na verdade é um pirata? Porque eles usurparam isso (link em inglês). Alguns serviços, como o Spoofcard, o Burner (aplicativo móvel gratuito), permitem que você altere seu número de telefone para que a pessoa para quem você liga não saiba que você está ligando. Você pode exibir o número desejado. Isso permite que os ataques vishing pareçam perfeitamente legítimos ao apresentar o número. Substituto outro número, por vezes, pode ser legal (como parte da luta contra o spam, por razões de confidencialidade, etc.) ou não (fraude on-line, etc.) de acordo com as leis e regulamentos locais.

Como se proteger contra o Vishing?

  • Nunca ligue para o número que lhe foi dado ou exibido no número do interlocutor (a menos que seja o número de um amigo, o número de um dos pais, etc.) . Aproveite o tempo para procurar o número legítimo e chamá-lo.
  • Nunca revele informações pessoais – para ninguém! Isso se aplica a qualquer tipo de solicitação de informações pessoais. Para sua informação: Empresas reais não reivindicam seu número de segurança social, número de identificação, número de cartão de crédito ou código PIN por telefone.
  • Desligue se você receber uma ligação suspeita. Antes de lembrar o número real da empresa, pesquise na internet. Muito provavelmente, outras vítimas já terão publicado informações sobre o assunto.

Você também pode denunciar qualquer roubo de identidade em: https://www.identitytheft.gov/

Acima de tudo, use o bom senso. Alguns sinais devem alertá-lo. Pense duas vezes antes de agir!

Mailfence é um pacote de criptografia de e-mail. Leia nosso curso de conscientização de segurança e privacidade de e-mail para ajudar a protegê-lo das ameaças cibernéticas emergentes de hoje!

Obtenha suas mensagens seguras

Tem perguntas sobre engenharia social: o que é o Vishing e como se proteger? Não hesite em contatar-nos (suporte em mailfence ponto com).

Você pode gostar...