A ISH Tecnologia emite um relatório a fim de alertar as empresas brasileiras sobre a nova onda de ataques de vishing, ou phishing por voz, que tem atingido as companhias no país. A empresa revela que os cibercriminosos utilizam chamadas telefônicas fraudulentas para enganar vítimas e convencê-las a divulgar informações sensíveis ou a realizar ações que comprometam a segurança das instituições.
O vishing, diferente do método tradicional de ataque (phishing), utiliza golpes verbais para induzir as vítimas a fazer ações que elas acreditam ser de seu interesse. A equipe de Inteligência de Ameaças da ISH apurou que uma técnica comum utilizada pelos atores de ameaça é se passar por funcionários do departamento de tecnologia ou suporte da empresa. Nessa prática criminosa, os agentes maliciosos criam condições para que os alvos desavisados forneçam de maneira voluntária dados confidenciais e acesso a dispositivos de organizações corporativas.
Ao obter acesso remoto, o grupo criminoso explora os dispositivos da vítima/empresa para obter credenciais de acesso, instalar malwares ou movimentar-se lateralmente na rede corporativa. Esse tipo de ataque é classificado como crítico, porque as consequências de um ataque de vishing bem-sucedido podem ser devastadoras.
Entre as principais consequências causadas pelas operações de vishing, direcionadas às empresas brasileiras, a ISH Tecnologia destaca: roubo de informações confidenciais; comprometimento de sistemas críticos; e interrupção significativa nas operações da empresa.
Além desses, a confiança dos clientes e parceiros de negócios pode ser abalada, o que resulta em danos diretos à reputação da companhia. Os ataques de vishing são conhecidos, principalmente, pelo uso de engenharia social na operação. Para serem bem-sucedidos, os atores de ameaças dependem que os alvos desconheçam o valor das informações às quais têm acesso e sejam descuidados ao protegê-las. Isso pode ocorrer simplesmente ao interagir com pessoas desconhecidas ou ao responder determinadas perguntas sobre a organização.
Desse modo, a fim de garantir o sucesso nas operações de vishing, os golpistas exploram alguns comportamentos e fraquezas dos funcionários das organizações corporativas, como, por exemplo:
Autoridade – O agente malicioso se apresenta como uma pessoa de autoridade dentro da organização.
Intimidação – Um ator de ameaça cria uma situação de intimidação para que a vítima divulgue informações, como, por exemplo, uma secretária ligando em nome do CEO da organização solicitando informações.
Consenso ou prova social – As pessoas estão normalmente dispostas a gostar de coisas ou fazer algo. Com isso, os atores criam sites falsos para entrega de artefatos ou compra de objetos inexistentes.
Escassez – Aqui, o ator de ameaça utiliza o sentimento de urgência no processo de tomada de decisão. Ele visa controlar as informações fornecidas e coletadas da vítima.
Urgência – Os criminosos utilizam uma situação na organização para que a vítima aja com urgência na tomada de decisão (um exemplo claro disso é o pagamento de resgate de ransomwares).
Confiança – Os golpistas constroem um relacionamento de confiança com as vítimas e, consequentemente, explorar essa confiança para coletar informações.
Ambição – Muitas pessoas, por natureza, possuem ambição. Com isso, os atores exploram esse comportamento. Eles oferecem algo de valor em troca de informações e apelam para a ganância da vítima.
O time de Inteligência de Ameaças da ISH analisou os índices de ataques de vishing, e constatou que boa parte deles são direcionados para empresas brasileiras. Os ataques sofridos por essas organizações corporativas são feitos com o objetivo de conquistar o acesso inicial no sistema e servidores dessas empresas. Além disso, foram localizados possíveis “scripts” utilizados por atores de ameaças para fins de criação e manipulação de vítimas para fornecer dados pessoais.
A fim de alertar as instituições brasileiras do risco eminente dos ataques de vishing, a ISH disponibiliza um exemplo de “roteiro” de como funcionam essas interações:
“Olá, [Nome da vítima].
Aqui é [Nome do Falso Representante] do suporte técnico da [Nome da Empresa de Tecnologia]. Detectamos um problema de segurança em seu computador e precisamos de acesso remoto para resolver a questão. Você teria o software para acesso remoto XX?
(Ao decorrer da chamada) Por favor, poderia fornecer seu nome de usuário, senha e permitir acesso remoto ao seu computador, e se você usar MFA poderia repassar o código de segurança?”
A companhia também elenca dicas e recomendações, com o objetivo de evitar a disseminação desses ataques: Educação e treinamento de funcionários; verificação de identidade; políticas de comunicação; Autenticação Multifator (MFA); e educação sobre segurança de senhas.
