Os ataques Vishing – uma mala de viagem de voz e phishing – são realizados por telefone e são considerados um tipo de ataque de engenharia social, pois usam a psicologia para induzir as vítimas a entregar informações confidenciais ou a realizar alguma ação em nome do invasor.
Uma tática comum é o uso da autoridade. Por exemplo, o invasor pode fingir ser do IRS, fingindo estar ligando para cobrar impostos não pagos. O medo de ser preso pode fazer com que as vítimas façam o que o agressor lhes manda. Esses tipos de ataques também envolvem comumente pagamentos via cartão-presente e custaram às vítimas US$ 124 milhões em 2020, somente nos EUA.
Embora vishing e phishing sejam tipos de ataques de engenharia social e usem muitas das mesmas táticas, a principal diferença entre eles é o meio usado para realizar os ataques.
Conforme mencionado acima, vishing usa o telefone para realizar um ataque. O invasor ligará para a vítima – ou enganará a vítima para que ligue para ela – e tentará verbalmente induzi-la a fazer algo. Os phishers, por outro lado, usam formas de comunicação eletrônicas baseadas em texto para realizar seus ataques. Embora o e-mail seja o meio de phishing mais comum e conhecido, os invasores também podem usar mensagens de texto (chamadas smishing), aplicativos de comunicação corporativa (Slack, Microsoft Teams, etc.), aplicativos de mensagens (Telegram, Signal, WhatsApp, etc.), ou redes sociais (Facebook, Instagram, etc.) para realizar seus ataques.
Os ataques de vishing podem ser tão variados quanto os ataques de phishing. Alguns dos pretextos mais comuns usados em vishing incluem:
Tal como outros ataques de engenharia social, a sensibilização dos utilizadores é essencial para a prevenção e proteção. Alguns pontos importantes a serem incluídos no treinamento de conscientização sobre segurança cibernética são:
Assim como os ataques de phishing, a prevenção de vishing baseada em treinamento é imperfeita. Sempre existe a possibilidade de um ataque escapar. No entanto, ao contrário do phishing, o vishing é difícil de prevenir usando tecnologia. Como o vishing ocorre por telefone, a detecção de possíveis ataques exigiria escutar todas as chamadas telefônicas e observar sinais de alerta.
Por esta razão, as organizações devem abordar os ataques vishing implementando a defesa em profundidade e concentrando-se nos objectivos do atacante. Em um contexto corporativo, um ataque vishing pode ser projetado para infectar o sistema de um funcionário com malware ou fornecer ao invasor acesso a dados corporativos confidenciais. O impacto de um ataque de vishing pode ser mitigado através da implementação de soluções que impeçam um invasor de atingir esses objetivos, mesmo que o vetor de ataque inicial (ou seja, o telefonema de vishing) seja indetectável.
A Check Point oferece uma gama de soluções que podem ajudar as organizações a mitigar ataques de vishing, phishing e outros ataques relacionados. O Harmony Email and Office da Check Point inclui proteções Anti-phishing e pode ajudar a detectar tentativas de exfiltração de dados inspiradas em um ataque vishing. Para saber mais sobre como a Check Point pode proteger a sua organização contra ameaças de engenharia social, solicite hoje mesmo uma demo gratuita.