Imagine o seguinte cenário: você recebe uma ligação de uma pessoa que está fingindo ser seu chefe, com a mesma voz, pedindo que você envie dinheiro para ele. Pode parecer improvável, mas aconteceu em uma empresa de energia do Reino Unido, em 2019. A transferência fraudulenta custou para a empresa 220.000€.
Esse tipo de golpe por voz é chamado de “vishing” e está cada vez mais comum.
Já ouviu falar sobre esse termo antes?
Neste texto, vamos abordar o seu conceito, os golpes comuns, suas implicações para as organizações e as medidas que podem ser tomadas para se proteger contra esse tipo de fraude. Boa leitura!
O que é vishing?
É um termo que vem da combinação de “voz” e “phishing”, referindo-se a ataques fraudulentos realizados por meio de chamadas telefônicas e mensagens de voz em aplicativos, como o WhatsApp. Assim como no phishing, o objetivo dos golpistas aqui é enganar as pessoas, fazê-las revelar informações pessoais, como senhas ou números de cartão de crédito, ao se passarem por uma entidade legítima, ou transferir dinheiro.
Os golpistas que praticam esse ataque frequentemente se passam por instituições confiáveis, como bancos, empresas renomadas ou órgãos governamentais. Eles utilizam técnicas psicológicas de engenharia social para criar um senso de urgência, frequentemente ameaçando com ações legais ou afirmando que a conta da vítima será congelada.
O uso da inteligência artificial e deep voice
O golpe da voz clonada tem se tornado cada vez mais comum no Brasil. Nesse esquema, criminosos utilizam inteligência artificial para replicar a voz de uma pessoa e usá-la para enganar suas vítimas.
Os golpistas frequentemente utilizam ligações telefônicas ou mensagens de áudio pelo WhatsApp para aplicar o golpe. Nessas mensagens, eles geralmente solicitam uma quantia em dinheiro, e a vítima, ao reconhecer a voz familiar, pode acabar seguindo as instruções sem questionar.
O mais impressionante é que o criminoso não precisa de muito material para executar o ataque. Com apenas três segundos de gravação de áudio, é possível criar frases que serão usadas para enganar amigos e familiares da pessoa cuja voz foi clonada.
Isso é possível graças ao deep voice, modelo de machine learning que imita a fala humana. Utilizando redes neurais com três ou mais camadas, ele é capaz de converter texto em fala ou modificar uma voz existente, alterando características como timbre, entonação e velocidade.
4 golpes comuns de vishing
Esse é um golpe versátil, que vem em muitas formas. Aqui estão as versões mais comuns que afetam indivíduos e empresas:
1) Sequestro falso
Como vimos acima, está cada vez mais comum o uso de inteligência artificial para clonagem de voz para simular que alguém conhecido pela vítima foi sequestrado.
Em janeiro de 2023, uma mãe de uma adolescente de 15 anos recebeu uma ligação suspeita de um contato desconhecido. Ao atender, ela ouviu o que parecia ser a voz de sua filha pedindo ajuda e dizendo que havia sido capturada. Por coincidência, a jovem estava em outra cidade na hora da chamada, o que aumentou ainda mais a preocupação da mãe, mas felizmente, sua filha estava em segurança.
Os criminosos queriam US$ 50 mil pelo resgate, mas a polícia foi acionada durante o contato e a mãe percebeu que se tratava de um golpe.
2) Roubo de dados financeiros
Tudo começa com uma ligação de um suposto atendente de um serviço que a vítima realmente utiliza, como serviços públicos, operadoras de telefonia, bancos, ONGs, lojas de varejo, etc. A conversa geralmente se inicia com a confirmação de informações que podem ter sido obtidas a partir de perfis em mídias sociais ou dados roubados de cadastros na internet.
À medida que o falso atendente confirma os dados da vítima, a confiança vai se estabelecendo. Então, o golpista oferece novos serviços ou solicita a atualização do cadastro para obter benefícios adicionais. É neste momento que os criminosos persuadem a vítima a fornecer informações bancárias, e frequentemente até o número do cartão de crédito e a senha.
3) Suporte técnico
Para ligações não solicitadas ao suporte técnico, os golpistas frequentemente escolhem marcas grandes e reconhecidas para aumentar a probabilidade de alcançar um usuário legítimo do produto. O criminoso geralmente afirma ter detectado um problema no computador da vítima e solicita credenciais de login ou acesso remoto ao sistema.
Um esquema mais elaborado pode envolver uma preparação prévia, como a infecção do computador com malware. Isso pode resultar na exibição de uma janela pop-up que descreve um problema fictício e fornece um número de telefone para que a vítima entre em contato e “resolva” a questão.
4) Prêmio ou oferta especial
Um golpe antigo, mas frequentemente reeditado, que notifica o destinatário de que ele ganhou um prêmio ou pode aproveitar uma oferta limitada de bens ou serviços. Em seguida, são solicitadas informações pessoais ou de pagamento.
Como o vishing pode impactar as organizações?
Esse ataque pode ter um impacto profundo nas operações e na integridade de uma organização. Confira algumas das principais consequências:
Perda financeira
Esse ataque pode levar a perdas financeiras diretas se golpistas conseguirem acessar contas bancárias, cartões de crédito ou informações financeiras sensíveis. Isso pode resultar em transferências não autorizadas ou fraudes.
Além disso, pode haver custos com resolução de incidentes, porque gera gastos elevados para a organização, incluindo investigações de segurança, notificação a clientes e implementação de medidas corretivas e preventivas.
Dano à reputação
A exposição a ataques de vishing pode prejudicar a reputação de uma organização. Clientes e parceiros podem perder a confiança na empresa se perceberem que suas informações ou segurança foram comprometidas.
Comprometimento de dados sensíveis
Golpistas podem obter informações confidenciais, como dados de clientes, funcionários ou segredos comerciais, que podem ser usadas para extorsão, espionagem industrial ou outras formas de ataque.
Consequências legais
Dependendo da natureza do ataque e dos dados comprometidos, a organização pode enfrentar ações legais e multas regulatórias por não proteger adequadamente as informações pessoais e financeiras.
Como se proteger do vishing?
Proteger-se contra esse golpe exige uma combinação de práticas importantes. Algumas das principais medidas que as organizações devem adotar incluem:
Treine os funcionários
Educar os colaboradores sobre os riscos associados ao vishing e fornecer orientações sobre como identificar e responder a chamadas suspeitas é fundamental. Simulações regulares de ataques podem ajudar a reforçar esses conceitos.
Tenha políticas de senhas fortes
Promover o uso de senhas robustas e exigir a troca regular de senhas pode ajudar a prevenir o acesso não autorizado. Senhas devem ser longas e incluir uma combinação de letras, números e caracteres especiais.
Verifique a identidade
Sempre que houver dúvidas sobre a autenticidade de uma chamada, os colaboradores devem ser instruídos a verificar a identidade do interlocutor antes de fornecer qualquer informação. Isso pode incluir retornar a ligação usando um número oficial ou entrar em contato com o departamento de segurança da empresa.
Conte com monitoramento, detecção e resposta a incidentes
Estabelecer um plano de resposta a incidentes e monitorar constantemente atividades suspeitas pode ajudar a identificar e mitigar os impactos de um ataque de vishing. Ter uma equipe dedicada para lidar com questões de segurança pode acelerar a resposta e minimizar os danos.
Além disso, é essencial contar com tecnologias de detecção, como sistemas de autenticação de chamadas e/ou filtragem de números desconhecidos, já que isso pode reduzir o risco de golpes via chamadas telefônicas.
Implemente a autenticação multifatorial (MFA)
Implementar autenticação multifatorial para todas as contas é uma defesa importante contra o acesso não autorizado. O MFA adiciona uma camada extra de segurança, exigindo que os usuários forneçam duas ou mais formas de verificação antes de acessar informações sensíveis ou realizar transações.
Conclusão
O vishing representa uma ameaça crescente para as organizações e pessoas, explorando a confiança e a comunicação verbal para obter informações sensíveis. Com a evolução das tecnologias e o uso de IA e deep voice, esse tipo de ataque está se tornando mais sofisticado e difícil de detectar.
No entanto, ao implementar práticas robustas de segurança, como autenticação multifatorial, senhas fortes e treinamento contínuo de funcionários, as organizações podem fortalecer sua defesa contra esses ataques e proteger suas informações.
A conscientização e a preparação são as melhores armas contra o vishing, garantindo que tanto a segurança da informação quanto a integridade das operações organizacionais sejam mantidas.
Como o ADSelfService Plus protege sua organização contra vishing
O ADSelfService Plus é uma solução de segurança de identidade que ajuda a proteger sua organização contra ataques de vishing ao oferecer autenticação sem senha. Em vez de inserir senhas, os usuários podem ser autenticados através de biometria ou chaves de acesso FIDO, eliminando assim o principal alvo dos ataques.
Já vimos que o MFA ajuda a empresa a se proteger contra o vishing. Nossa ferramenta inclui MFA adaptável e suporta uma ampla variedade de autenticadores. Ela oferece MFA para diferentes endpoints, incluindo aplicações em nuvem e locais, VPNs e OWA.
Além disso, o ADSelfService Plus consegue gerar relatórios detalhados sobre atividades de login, redefinição de senhas e tentativas de autenticação. Caso tenha um aumento incomum de tentativas de login ou troca de senha após um ataque de vishing, a equipe de TI pode agir rapidamente para bloquear contas e investigar o ataque.