A amálgama de "Voz sobre IP (VoIP)" e "Phishing" resulta no termo Vishing, utilizado para descrever um golpe recorrente por telefone e agora direcionado aos trabalhadores remotos. O objetivo? Fazer com que a vítima partilhe informações pessoais delicadas.
Perante os desafios à sociedade levantados pela pandemia COVID-19, parte da massa laboral foi obrigada a mudar de paradigma e trabalhar a partir de casa. Entretanto, os scammers também adaptaram os seus métodos, visando o teletrabalho.
Tentativa de burla através de chamada telefónica ou videochamada
O alerta foi dado pelos investigadores da agência de cibersegurança Check Point, dando conta de um aumento substancial neste tipo de ataques. Apesar de não ser novo, o esquema voltou a assumir proporções preocupantes com parte da população em teletrabalho.
Com o simples e pernicioso objetivo de levar a pessoa a partilhar informações pessoais, e mais gravosamente, dados bancários entre outros detalhes confidenciais, o esquema está mais sofisticado. De acordo com o relatório da agência em questão, o atacante faz-se passar por representantes de várias empresas, sobretudo na área das finanças, ou departamentos de recursos humanos.
O engodo é assim lançado e alimentado por táticas de engenharia social para desgastar a vítima e fazer com que esta partilhe as credenciais de acesso visadas. Estas, alerta a agência, podem ir desde os dados de autenticação na empresa, mas geralmente versam sobre as informações e dados bancários.
Assim que obtêm acesso às informações necessárias, os atacantes não perdem tempo em aceder a contas bancárias, sobretudo pelo homebanking, subtraindo o dinheiro, ou inclusive para instalar malware nos equipamentos da vítima.
Ataque em crescimento desde agosto de 2020
Atendendo às conclusões da Check Point, desde agosto último que se têm verificado mais ataques de vishing, incidindo sobretudo nos colaboradores que se encontrem em teletrabalho. Um universo de potenciais vítimas, infelizmente, em crescimento.
A onda de ataques registou-se em primeiro lugar nos Estados Unidos da América, mas tem vindo a espalhar-se com mais países e regiões a reportar casos similares. Entre os dados mais apetecíveis, as credenciais de início de sessão em redes empresariais e sessões de trabalho têm crescido significativamente.
Há riscos associados ao teletrabalho
O falseamento ou usurpação de identidade é uma das maiores ameaças que deixam os colaboradores em trabalho remoto mais suscetíveis, com os atacantes a reunir um vasto leque de informação prévia para conseguir convencer a vítima.
Fazem-no para ganhar, gradualmente, a confiança do visado e levando-o a pensar que está a falar com um colega de trabalho, ou supervisor de departamento. Outras vezes, apresentam-se como sendo novos colaboradores, querendo travar conhecimento dos demais colegas, podendo para tal pedir o contacto telefónico para "agilizar futuros contactos".
A burla pode ainda assumir contornos mais familiares como o pedido de instalação da ferramenta TeamViewer - software de gestão de trabalho remoto. Para tal, o meliante alegará diversas razões, entre as quais a ajuda na procura da informação necessária.
Tudo isto, claro, mais não é que uma tentativa de obtenção de acesso à plataforma empresarial, ou rede de trabalho.
5 cuidados a ter para evitar tentativas de vishing
1. Ter cuidado com chamadas não solicitadas. Anotar o número de quem liga e, caso se justifique, avisar que ligará de volta. Ao mesmo tempo, damos a conhecer alguns identificadores de chamadas que podem trazer luz ao assunto.
2. Utilizar uma boa VPN durante o teletrabalho. Sobretudo ao utilizar redes de Wi-Fi públicas, ou ao trabalhar em casa e querendo adicionar uma barreira extra de proteção, recomendamos a ExpressVPN, líder de mercado e com as mais avançadas tecnologias de segurança.
3. Não assumir como genuína uma chamada de alguém até então desconhecido. O interlocutor pode fazer uma investigação prévia para recolher vários dados e informações convincentes. Em caso de dúvida, confirme com a entidade patronal.
4. Sob circunstância alguma partilhar passwords e PINs. Informações sensíveis sobre cartões de crédito, dados de autenticação no email ou dados de acesso à conta de empresa / plataforma de teletrabalho.
5. Em caso de dúvida, denunciar a chamada. Partilhar o caso suspeito com as autoridades, superiores hierárquicos, ou linhas de apoio ao cliente das instituições bancárias.
Editores 4gnews recomendam:
