Phishing por telefone
O phishing telefônico, também conhecido como vishing ou phishing de voz, é um tipo de fraude que utiliza ligações telefônicas para tentar obter acesso a informações confidenciais. É semelhante em conceito e execução ao phishing por e-mail, mas em vez de usar e-mails como vetor de ataque, os invasores usam chamadas telefônicas. Os phishers telefônicos geralmente tentam fazer com que as vítimas revelem dados pessoais, como números de cartão de crédito e senhas, fingindo que pertencem a uma organização legítima.
O primeiro passo para um invasor ao conduzir um phishing telefônico geralmente é pesquisar alvos potenciais. Isso envolveria a coleta de informações sobre a pessoa ou empresa visada, seja por meio de fontes publicamente disponíveis ou de táticas de engenharia social, como ligar para representantes de atendimento ao cliente de outras empresas e se passar por alguém que trabalha na empresa-alvo. Depois de coletarem informações suficientes sobre seu(s) alvo(s), eles começarão a fazer ligações não solicitadas para iniciar contato com eles.
Uma vez estabelecido o contato, o invasor tentará diferentes métodos para convencer a vítima a fornecer dados confidenciais, como tentar assustá-la e fazê-la acreditar que algo ruim pode acontecer se ela não fornecer (por exemplo, “Precisamos do número do seu cartão de crédito em para que não congelemos sua conta”). Outras técnicas comuns incluem oferecer serviços ou produtos gratuitos se eles fornecerem seus dados e fingir que houve algum tipo de problema com sua conta que precisa de verificação antes de ser corrigido. Em geral, porém, qualquer tentativa de uma entidade desconhecida que solicite informações sensíveis deve ser sempre considerada suspeita, por mais persuasivo que o argumento possa parecer à primeira vista.
Para se proteger contra esses tipos de ataques, os usuários nunca devem fornecer detalhes financeiros por telefone, a menos que seja absolutamente necessário e somente após verificarem com quem exatamente você está falando. Se possível, peça mais informações de identificação do que apenas o nome (como ID do funcionário) para saber que está falando com alguém autorizado nessa organização. Além disso, nunca responda diretamente por e-mail – isso pode facilmente levar os golpistas a obter acesso ao seu sistema. Além disso, considere configurar a autenticação de dois fatores em todas as contas que exigem medidas de segurança extras, como sites bancários ou trocas de criptomoedas, onde grandes somas de dinheiro poderiam ser potencialmente perdidas devido a tentativas de roubo, como as descritas anteriormente.
