Os pesquisadores da Check Point alertam sobre ataques de vishing direcionados às forças de trabalho remotas em que os atacantes usam nomes de funcionários existentes para encobrir histórias destinadas a enganar as vítimas, a fim de que compartilhem informações pessoais que levem a fundos de investimento roubados ou entrega de malware. Os pesquisadores da CPR identificaram duas transcrições de ataques de vishing, as quais eles capturaram recentemente, para orientar os colaboradores remotos a reconhecer e se protegerem contra esses golpes.
Os fatores-chave para uma operação de vishing bem-sucedida começa com o atacante reunindo a inteligência do LinkedIn para determinar quais colaboradores têm acesso à maioria dos recursos; eles recrutam pessoas que falam inglês com proficiência para fazer ligações fraudulentas, fornecendo a eles uma transcrição para leitura; e mudam o número de telefone de seus chamadores regularmente, a fim de evitar serem classificados como fonte de chamadas fraudulentas.
O vishing, uma combinação de Voz sobre IP (VoIP) e phishing, é um golpe por telefone fixo ou móvel criado para fazer uma pessoa compartilhar informações pessoais. Durante a ligação, os atacantes imitam os representantes da empresa, geralmente de departamentos financeiros, de RH ou jurídicos, e utilizam técnicas de engenharia social para induzir as vítimas a compartilhar as informações pessoais ou financeiras privativas das pessoas ou de empresas.
Assim, alguns atacantes foram além dos golpes de e-mail usuais e reviveram a técnica tradicional de vishing. Eles atualizaram esse golpe “old school” com alguns novos truques para ajudá-los a superar as suspeitas e aumentar suas chances de sucesso.
Este alerta dos pesquisadores da Check Point coincide com um comunicado conjunto emitido em agosto de 2020 pela Agência de Segurança Cibernética e Infraestrutura (CISA) e o FBI alertando sobre uma onda de ataques de vishing visando empresas do setor privado nos Estados Unidos. De acordo com o comunicado, os atacantes normalmente ligam para os funcionários que trabalham em home office para coletar credenciais de login para redes corporativas, que mais tarde eles monetizam com a venda do acesso a outros grupos.
Recentemente foi solicitado aos pesquisadores da CPR que investigassem dois ataques de vishing contra funcionários de uma empresa internacional. A corporação recebeu um total de seis ligações de vishing em três meses. Duas dessas ligações estão detalhadas a seguir com o intuito de educar melhor os colaboradores remotos sobre a natureza dos ataques de vishing.
A primeira chamada
Um atacante ligou para o centro de suporte técnico da empresa por meio de um número disponível publicamente, pedindo para falar com um representante. Essa atacante se apresentou como uma funcionária da empresa, cuja aparência e sotaque combinavam com a autora da chamada. Durante a ligação, a atacante solicitou o número de telefone de dois outros colaboradores – ambos funcionários reais da empresa. A solicitação foi feita de maneira educada e acompanhada da grafia do nome sendo que, depois disso, foi sugerido ao destinatário a instalação do TeamViewer – um aplicativo de acesso remoto – supostamente para ajudá-lo a localizar o número de telefone desejado.
Os pesquisadores supõem que a “chamadora” foi cuidadosamente selecionada para corresponder à descrição da colaboradora usada como cobertura e que os atacantes verificaram que essa pessoa ainda estava trabalhando na empresa.
Com base no código de área, eles avaliaram que a chamada era originária de Miami. Após uma investigação mais aprofundada, descobriram que o mesmo número de telefone foi usado e relatado como phishing por usuários no sul da Ásia (Cingapura, Filipinas e Japão), bem como na Europa (Reino Unido, Polônia e Bulgária). As vítimas relataram que chamadores do mesmo número pediam detalhes de contato de colegas de trabalho. No total, o número de telefone foi solicitado 95 vezes nos últimos 120 dias.
A segunda chamada
De forma semelhante ao incidente reportado acima, o atacante também entrou em contato com o centro de suporte técnico da empresa por meio de um número disponível publicamente, solicitando para falar com um representante. Nesse caso, o atacante compartilhou uma história de fachada, envolvendo uma grande empresa de telecomunicações. Em troca, o representante ficou mais desconfiado do que antes. Desta vez, ela usou um número de telefone sem nenhum relatório de spam conhecido encontrado online, afiliado a San Francisco. Abaixo está uma transcrição parcial dessa chamada. Todos os nomes foram substituídos para proteger a identidade dos alvos.
“Os ataques de vishing estão entre as maiores ciberameaças que os trabalhadores remotos enfrentam atualmente, pois esses tipos de ataque são claramente uma tendência impactante de 2020. Nesses ataques, o cibercriminoso controla seus canais de informação, deixando a pessoa sem uma fonte confiável. Uma pessoa não pode dizer o que é real ou falso. Estamos vendo que cada vez mais ciberataques em várias etapas incorporando chamadas de vishing como parte de suas cadeias de infecção, por uma série de razões”, informa Lotem Finkelsteen, diretor de inteligência de ameaças da Check Point.
Segundo Finkelsteen, a primeira delas é que os ataques de vishing ajudam os atacantes em sua fase de reconhecimento, quando podem aprender mais sobre seus alvos. A segunda razão refere-se ao fato de que esse tipo de ataque insere a fase de phishing, pois combinar uma chamada com uma mensagem SMS aprofunda o engano, por exemplo. A terceira é que esses ataques se tornam o núcleo dos principais ciberataques, como enganar as vítimas para entregar códigos de autenticação de dois fatores (2FA) enviados por SMS ou conceder acesso a um determinado sistema, que foi o que aconteceu no sequestro de conta do Twitter no início deste ano. “Os colaboradores remotos em todos os lugares devem aprender a não compartilhar em excesso e a verificar constantemente a autenticidade de quem quer que esteja ao telefone”, alerta o diretor da Check Point.
Orientações para proteção contra vishing
1) Não compartilhar demais. A menos que a pessoa tenha certeza com quem está falando, nunca deverá fornecer informações pessoais pelo telefone, especialmente detalhes financeiros e de pagamento.
2) Verificar a autenticidade. Se não houver certeza sobre a identidade de quem está ligando, solicitar o número e ligar de volta. Ainda ao telefone, a pessoa procura pelo número na Internet para verificar a autenticidade.
3) Não efetuar qualquer transferência bancária para desconhecidos. Nunca concordar em realizar transferências eletrônicas ou pagamentos “virtuais” para ligações de quem não se conhece.
4) Manter-se informado. Conhecimento e educação são fundamentais. Quanto mais alerta se está para esses tipos de golpes, menor será a probabilidade de tornar-se vítima deles.
5) Desligar.As chamadas suspeitas ou não verificadas devem ser desligadas; isso não será uma atitude mal-educada.
6) Relatar atividades suspeitas. É fundamental relatar as chamadas suspeitas ou tentativas de fraude ao banco o mais rápido possível.