Smishing and vishing são tipos de ataques de phishing que tentam atrair as vítimas através de mensagens SMS e chamadas de voz. Ambos dependem dos mesmos apelos emocionais empregados em esquemas de phishing tradicionais e são concebidos para o levar a uma acção urgente. A diferença é o método de entrega.
“Cyberthieves pode aplicar técnicas de manipulação a muitas formas de comunicação porque os princípios subjacentes permanecem constantes”, explica o líder da consciência de segurança Stu Sjouwerman, CEO da KnowBe4. “Atraia as vítimas com isco e depois apanhe-as com anzóis”
O que é “smishing”?
Definição de “smishing”: Smishing (SMS phishing) é um tipo de ataque de phishing conduzido usando SMS (Short Message Services) em telefones celulares.
Apenas como esquemas de phishing por e-mail, as mensagens de smishing normalmente incluem uma ameaça ou sedução para clicar em um link ou ligar para um número e entregar informações confidenciais. Às vezes eles podem sugerir que você instale algum software de segurança, que se revela ser malware.
Exemplo de smishing: Uma mensagem de texto típica de smishing pode dizer algo do tipo: “A sua conta bancária ABC foi suspensa. Para desbloquear a sua conta, toque aqui: https://bit.ly/2LPLdaU” e o link fornecido irá fazer o download de malware para o seu telefone. Os golpistas também são peritos em se ajustar ao meio que estão usando, então você pode receber uma mensagem de texto que diz: “Isto é realmente uma foto sua? https://bit.ly/2LPLdaU” e se você tocar nesse link para descobrir, mais uma vez você está baixando malware.
O que é vishing?
Definição de pesca: Vishing (voice phishing) é um tipo de ataque de phishing que é conduzido por telefone e muitas vezes visa usuários de serviços de voz sobre IP (VoIP), como o Skype.
É fácil para os golpistas falsificarem o identificador de chamadas, para que eles possam parecer estar ligando de um código de área local ou mesmo de uma organização que você conhece. Se você não atender, eles deixarão uma mensagem de correio de voz pedindo que você retorne a chamada. Às vezes esses tipos de esquemas empregam um serviço de atendimento ou até mesmo um call center que desconhece o crime que está sendo cometido.
Após novamente, o objetivo é obter detalhes de cartão de crédito, datas de nascimento, assinaturas de conta, ou às vezes apenas para colher números de telefone de seus contatos. Se você responder e ligar de volta, pode haver uma mensagem automática solicitando que você entregue os dados e muitas pessoas não questionarão isso, porque aceitam sistemas telefônicos automatizados como parte da vida diária agora.
Como evitar o smishing e vishing
Estamos um pouco mais atentos ao e-mail hoje em dia porque estamos acostumados a receber spam e scams são comuns, mas mensagens de texto e chamadas ainda podem se sentir mais legítimas para muitas pessoas. À medida que fazemos mais compras, bancos e outras atividades online através de nossos telefones, as oportunidades para golpistas proliferam. Para evitar se tornar uma vítima você tem que parar e pensar.
“O bom senso é uma melhor prática geral e deve ser a primeira linha de defesa de um indivíduo contra fraudes online ou por telefone”, diz Sjouwerman.
Embora o conselho sobre como evitar ser viciado por golpes de phishing tenha sido escrito com os golpes de e-mail em mente, ele se aplica a essas novas formas de phishing da mesma forma. Na raiz, confiar em ninguém é um bom lugar para começar. Nunca toque ou clique em links em mensagens, procure números e endereços de sites e insira-os você mesmo. Não dê nenhuma informação a um chamador a menos que você esteja certo de que eles são legítimos – você sempre pode chamá-los de volta.
É melhor estar seguro do que arrependido, então sempre erre ao lado da cautela. Nenhuma organização vai repreendê-lo por desligar e depois ligar diretamente para eles (depois de ter consultado o número você mesmo) para garantir que eles realmente são quem dizem ser.
Atualize seu treinamento de conscientização
Embora permanecer atento seja um conselho sólido para os indivíduos na vida cotidiana, a realidade é que as pessoas no local de trabalho são frequentemente descuidadas. Elas podem estar distraídas, sob pressão e ansiosas por continuar com o seu trabalho e os esquemas podem ser diabolicamente inteligentes. E se o SMS parece vir do CEO, ou a chamada parece ser de alguém do RH? Você pode endurecer seus funcionários e aumentar suas defesas com o treinamento correto e políticas claras.
A cada empresa deve ter algum tipo de programa de treinamento obrigatório e regular de conscientização de segurança. Ele pode incluir melhores práticas para segurança geral, mas também definir políticas, tais como quem contatar no caso de algo suspeito, ou regras sobre como certas comunicações sensíveis serão tratadas, que tornam as tentativas de fraude muito mais fáceis de detectar.
Se você sofrer qualquer forma de ataque de phishing, faça mudanças para garantir que isso nunca mais aconteça – ele também deve informar seu treinamento de segurança.
A maioria dos ataques de smishing e vishing não são relatados e isso joga nas mãos dos criminosos cibernéticos. Enquanto você pode ser inteligente o suficiente para ignorar as últimas SMS ou chamadas suspeitas, talvez Marge na Contabilidade ou Dave no RH sejam vítimas. Se você tem um sistema em funcionamento para as pessoas denunciarem essas tentativas de ataque, e possivelmente até uma pequena recompensa por fazê-lo, então ele lhe apresenta uma oportunidade de alertar os outros.
Como o phishing continua a evoluir e encontrar novos vetores de ataque, devemos estar vigilantes e atualizar continuamente nossas estratégias para combatê-lo.