Vishing é a prática criminosa de utilizar engenharia social através da rede pública de telefonia comutada com o objetivo de obter vantagens ilícitas como, por exemplo, realizar compras ou saques em nome da vítima.[1] As facilidades de Voz sobre IP (VoIP) são frequentemente utilizadas para obter acesso a informações pessoais ou financeiras privativas de pessoas físicas ou de empresas. O termo em inglês é uma combinação entre as palavras voice e phishing. O termo phishing foi derivado da imagem de uma pescaria, uma forma de fraude eletrônica caracterizada pelo envio de iscas que se fazem passar por pessoa ou empresa confiável com o objetivo de obter ilicitamente dados pessoais ou empresariais de terceiros.

Detalhes

editar

As vítimas de vishing desconhecem técnicas como falsificação da identificação de chamada, automação dos processos de ligação e atendimento telefônico e outros mecanismos amplamente difundidos, que podem ser implantados em computadores convencionais. O avanço e o barateamento da tecnologia ajudaram a difundir técnicas e facilidades de automação de serviços telefônicos, que no passado estavam restritas a grandes empresas, que possuíam recursos para adquirir equipamentos caros e sofisticados.

O criminoso que pratica o vishing explora a confiança da população nos serviços de telefonia fixa, cujos terminais estiveram historicamente associados a um endereço físico e a um assinante conhecido do serviço telefônico. O vishing é utilizado normalmente para obter números de cartão de crédito e senhas de acesso ao banco ou a sistemas corporativos. Uma quadrilha poderia realizar milhares de tentativas por dia se sua abordagem for mecanizada.

Proteção e preocupação

editar

A preocupação com segurança precisa ser compartilhada entre governo, empresas e a população em geral, pois não é fácil para a polícia monitorar ou rastrear o vishing. Para se proteger, a população deve suspeitar de qualquer solicitação de dados pessoais como números de cartão de crédito ou dados bancários. Ao falar com uma pessoa, em vez de fornecer informações, é melhor solicitar um número de protocolo e ligar para um número previamente conhecido, como o impresso no cartão bancário.

  1. As concessionárias telefônicas podem utilizar mecanismos de detecção de alteração nos padrões de chamadas para interceptar ataques de vishing na rede pública de telefonia;
  2. As empresas devem investir na formação continuada de seguranças de seus funcionários;
  3. É frequente que se utilize o e-mail para obter informações preliminares sobre um indivíduo ou empresa, por isso é importante investir em proteção para e-mails;
  4. Vírus, Trojans e outros softwares podem ser usados para capturar informações que podem ser utilizadas para dar credibilidade a um ataque de engenharia social. O e-mail é um dos principais mecanismos contemporâneos para distribuição de vírus e outras ameaças.

Exemplos

editar
  1. O criminoso configura um war dialer para ligar para uma série de números de telefone de uma determinada região ou para acessar sistemas de voz com listas de números telefônicos roubados de alguma instituição.
  2. Quando uma vítima atende uma ligação ouve uma mensagem gravada informando que foi detectada atividade fraudulenta ou incomum em sua conta bancárias. A mensagem instrui o usuário a ligar imediatamente para um determinado número, normalmente exibido em seu identificador de chamadas.
  3. Ao ligar para o número informado, a ligação é atendida por um sistema automático, que solicita ao usuário a digitação do número do seu cartão de crédito e de seus dados bancários
  4. Uma vez que o usuário informa seus dados, o criminoso tem condições de obter acesso a sistemas privativos, inclusive a contas bancárias, ou utilizar o cartão de crédito para compras em nome do usuário
  5. A chamada pode obter do usuário informações de segurança complementares como PIN, data de expiração, data de nascimento etc.

Embora o uso de unidades de atendimento e ligação automáticas são preferidas pelos vishers, há casos onde operadores humanos tem um papel ativo ao persuadir as vítimas nesse tipo de fraude. De acordo com o estudo[2] realizado em 2009 com informações coletadas junto a consumidores americanos, as palavras mais utilizadas nos esforços automatizados diferem das utilizadas por operadores. Enquanto o atendimento eletrônico utiliza palavras como 'press' ou 'number', os operadores humanos utilizam técnicas mais sofisticadas de engenharia social.

Numa variante comum, um e-mail é enviado em lugar da realização de uma chamada, solicitando que o usuário ligue para o número indicado, onde haverá a tentativa de se obter suas informações pessoais e bancárias.

Ver também

editar

Referências

  1. Dados de clientes da Saraiva, Marisa e Netshoes podem estar desprotegidos por Ramon de Souza (2016)
  2. Federico Maggi (2010). IEEE Computer Society, ed. Bradford, UKProceedings of the 10th IEEE International Conference on Computer and Information Technology (CIT 2010) (PDF) http://home.dei.polimi.it/fmaggi/downloads/publications/2010_maggi_vishing.pdf  Em falta ou vazio |título= (ajuda)