O que é vishing?

Como funciona o vishing: técnicas e táticas 

Os ataques de vishing estão se tornando cada vez mais sofisticados, aproveitando a tecnologia e a engenharia social para explorar vulnerabilidades humanas. Abaixo estão algumas das técnicas e táticas mais comuns usadas por criminosos cibernéticos para realizar ataques de vishing:

Falsificação de identificação de chamadas 

Os invasores manipulam sistemas de telecomunicações para falsificar as informações de identificação de chamadas, fazendo parecer que a chamada está vindo de uma fonte confiável, como um banco, uma agência governamental ou até mesmo um colega. Essa tática diminui as defesas do alvo, dando um ar de credibilidade à interação. Como resultado, os métodos tradicionais de autenticação vinculados à identificação de chamadas se tornam menos confiáveis, enfatizando a necessidade de medidas de verificação de identidade mais avançadas.

Pretexto 

No pretexto, o atacante cria um cenário crível, ou “pretexto”, para convencer o alvo a revelar informações sigilosas. Isso pode ser um alerta falso de fraude bancária ou uma suposta chamada de atendimento ao cliente exigindo verificação de conta. O sucesso do uso de pretextos depende muito da capacidade do agressor de criar um senso de urgência ou autoridade, levando a vítima a agir sem questionar profundamente a situação. A análise de comportamento orientada por IA pode ajudar a identificar esses sinais de engenharia social antes que eles se transformem em violações completas.

Exploração de VoIP 

Os sistemas de Voz sobre Protocolo de Internet (VoIP) tornaram mais fácil e barato para invasores realizarem grandes volumes de chamadas de qualquer lugar do mundo. Os serviços de VoIP geralmente são menos seguros do que as linhas telefônicas tradicionais, o que os torna um grande ativo para criminosos cibernéticos mascararem sua identidade e localização. Os invasores podem usar inteligência artificial para automatizar e dimensionar essas operações, aumentando a velocidade e o alcance de suas campanhas. Proteger as comunicações de VoIP é essencial para reduzir a superfície de ataque em incidentes de vishing.

Ataques de resposta de voz interativa (IVR) 

Os sistemas de resposta de voz interativa (IVR), sistemas automatizados que interagem com usuários por meio de entradas de voz ou teclado, são comumente usados por empresas para tudo, desde atendimento ao cliente até acesso seguro a contas. Ataques de vishing podem ter como alvo esses sistemas, enganando os usuários para que insiram informações sigilosas, como PINs ou senhas, por meio de uma interface de IVR comprometida ou fraudulenta. Mecanismos avançados de detecção de ameaças podem monitorar padrões incomuns em interações de URA para ajudar a identificar e mitigar essas ameaças em tempo real.

Ataques de phishing com tecnologia de IA

A inteligência artificial (IA) está sendo cada vez mais usada como arma no mundo dos ataques cibernéticos, oferecendo técnicas mais sofisticadas que podem enganar até os usuários mais vigilantes. Quando se trata de phishing, a IA amplifica a capacidade dos invasores de dimensionar, personalizar e manipular seus alvos, tornando o vishing mais perigoso do que nunca.

Clonagem de voz

A clonagem de voz com tecnologia de IA mudou completamente o cenário dos ataques de vishing. Os cibercriminosos agora podem replicar a voz de uma pessoa confiável, como um executivo da empresa ou um membro da família, usando apenas alguns minutos de áudio gravado. Com essa tecnologia, os invasores podem tornar suas tentativas de vishing muito mais convincentes, enganando as vítimas para que divulguem informações sigilosas ou autorizem transações fraudulentas.

Chamadas de vídeo deepfake

Além da simples manipulação de voz, a IA também pode criar videochamadas deepfake, nas quais os invasores se passam por alguém em tempo real. Esses ataques de vishing baseados em vídeo são especialmente eficazes em ambientes de trabalho remotos, onde sugestões visuais durante reuniões virtuais geralmente são utilizadas para gerar confiança. Ao imitar a aparência e a voz de um indivíduo conhecido, os invasores podem orquestrar esquemas de engenharia social altamente convincentes.

Chamadas automáticas

As chamadas automáticas baseadas em IA evoluíram de simples mensagens automatizadas para interações dinâmicas que imitam conversas humanas. Usando processamento de linguagem natural (PLN), essas chamadas podem responder de forma inteligente às informações das vítimas, fazendo com que a interação pareça mais autêntica. Isso permite que os invasores ampliem suas tentativas de vishing, alcançando centenas ou milhares de vítimas em potencial em um curto período.

Mineração de dados de IA para vishing direcionado

A IA pode vasculhar grandes quantidades de dados disponíveis publicamente, como perfis de redes sociais, sites de empresas e bancos de dados vazados, para criar ataques de vishing altamente direcionados. Ao criar perfis detalhados de possíveis vítimas, os cibercriminosos podem criar tentativas de vishing personalizadas que parecem confiáveis e relevantes, aumentando a probabilidade de sucesso. O resultado é um ataque mais focado que aproveita as circunstâncias ou relacionamentos específicos da vítima.

À medida que a IA continua a evoluir, também evoluem as ameaças representadas por essas técnicas avançadas de vishing. As organizações devem se manter à frente adotando soluções de segurança baseadas em IA que possam detectar e neutralizar esses riscos emergentes.

Ao compreender essas técnicas, as organizações podem antecipar e mitigar melhor os riscos associados ao vishing, especialmente porque os criminosos continuam a desenvolver seus métodos.

Por que o vishing é uma ameaça crescente?

O vishing está sendo cada vez mais utilizado devido à sofisticação crescente dos criminosos cibernéticos, bem como à ampla dependência da comunicação móvel. Os invasores estão aproveitando táticas avançadas de engenharia social para explorar a vulnerabilidade humana, muitas vezes ignorando medidas de segurança tradicionais. Com as pessoas mais conectadas do que nunca, especialmente com o aumento do trabalho remoto, os fraudadores estão encontrando novas oportunidades de manipular indivíduos para que revelem informações sigilosas pelo telefone. 

Além disso, o acesso a dados pessoais na web permitiu que invasores criassem tentativas de vishing altamente convincentes e direcionadas. Agora, os cibercriminosos podem facilmente coletar detalhes pessoais suficientes para simular legitimidade, tornando mais difícil até mesmo para os indivíduos mais vigilantes detectar um golpe. À medida que a tecnologia de IA avança, os próprios invasores estão usando ferramentas de aprendizado de máquina e síntese de voz para criar representações ainda mais realistas de entidades confiáveis, ampliando ainda mais o desafio para organizações e indivíduos. Na verdade, no ano passado, os ataques de phishing baseados em IA (incluindo vishing) aumentaram 60%.

Exemplos do mundo real

Campanhas sofisticadas de vishing estão se tornando populares no mundo todo, com criminosos cibernéticos usando psicologia e tecnologia para fraudar até mesmo vítimas experientes em milhões de dólares. Por exemplo, a Coreia do Sul registou um aumento nos ataques de vishing, incluindo um caso em agosto de 2022 em que um médico perdeu US$ 3 milhões em dinheiro, seguros, ações e criptomoedas para criminosos. Nesse caso, os golpistas se passaram por autoridades policiais regionais na Coreia do Sul; no entanto, a ThreatLabz observou (e frustrou) um ataque de vishing muito próximo em 2023.

Em outro exemplo, um funcionário do setor financeiro em Hong Kong pagou US$ 25 milhões após uma videochamada com um falso “diretor financeiro” em uma videoconferência. O criminoso enganou o funcionário para que participasse de uma videochamada com pessoas que ele pensou serem vários outros funcionários, mas que na verdade eram recriações deepfake.

No verão de 2023, invasores se passaram pelo próprio CEO da Zscaler, Jay Chaudhry, em um ataque de vishing usando tecnologia de IA. Ele ocorreu da seguinte maneira:

1. O invasor ligou para um funcionário da Zscaler no WhatsApp.
2. Usando a clonagem de voz gerada por IA para simular a voz de Jay, o invasor estabeleceu a comunicação e desligou rapidamente para evitar uma interação prolongada e sua possível exposição.
3. O invasor imediatamente enviou uma mensagem de texto, se passando por Jay, alegando ter “má cobertura de rede”.
4. Em uma mensagem de texto no WhatsApp, o invasor instruiu o funcionário da Zscaler a comprar vales-presente por um determinado valor.
5. O funcionário achou isso suspeito e imediatamente comunicou à equipe de segurança.
6. Os pesquisadores da ThreatLabz investigaram e descobriram que isso fazia parte de uma campanha generalizada dirigida a várias empresas de tecnologia.

Para combater efetivamente essa ameaça crescente, a segurança cibernética deve evoluir além das defesas tradicionais. Sistemas com tecnologia de IA que podem detectar padrões suspeitos em tempo real e avaliar riscos em um nível granular estão se tornando essenciais. Ao integrar recursos avançados de gerenciamento de risco, as organizações podem proteger melhor a si mesmas e seus funcionários de serem vítimas de esquemas de vishing cada vez mais sofisticados.

Cenários comuns de vishing

Os ataques de vishing ocorrem de muitas formas, cada uma delas projetada para explorar a confiança e convencer as vítimas a compartilhar informações sigilosas. Aqui estão algumas das táticas mais comuns usadas por criminosos cibernéticos: 

• Golpes de fraude bancária: os interlocutores se passam por representantes de bancos, alegando que sua conta foi comprometida. Eles pressionam você a fornecer dados pessoais ou até mesmo transferir fundos para uma conta “segura”.
• Golpes de suporte técnico: fraudadores se passam por equipes de suporte técnico de empresas respeitáveis, alertando sobre malware no seu dispositivo e solicitando acesso remoto para “corrigir” o problema, o que na verdade é uma estratégia para roubar dados ou instalar software malicioso.
• Golpes de impostos/fiscais: os invasores afirmam ser da Receita Federal ou de autoridades fiscais, ameaçando com prisão ou ação legal, a menos que você pague um imposto pendente, geralmente por meio de métodos não rastreáveis, como vales-presente ou transferências eletrônicas.
• Fraude de CEO (comprometimento de e-mail comercial): os criminosos cibernéticos têm como alvo funcionários ao se passarem por executivos seniores, instruindo-os a fazer transferências eletrônicas urgentes ou divulgar informações sigilosas da empresa, geralmente sob o pretexto de uma emergência.

Vishing vs. Phishing vs. Smishing

Embora todos os três métodos (vishing, phishing e smishing) sejam formas de ataques de engenharia social projetados para manipular as vítimas e fazê-las divulgar informações sigilosas, eles diferem principalmente em seus métodos de distribuição e nas táticas específicas usadas para explorar a confiança humana. Entender essas distinções é crucial para desenvolver uma estratégia de segurança robusta e proativa, especialmente porque os cibercriminosos continuam a desenvolver suas técnicas. 

Phishing

Provavelmente o mais conhecido dos três, o phishing geralmente envolve e-mails fraudulentos que se passam por entidades legítimas, como empresas, agências governamentais ou indivíduos confiáveis. O objetivo dos ataques de phishing geralmente é roubar credenciais de login, informações financeiras ou outros dados sigilosos. 

O phishing geralmente aproveita uma sensação de urgência ou medo, levando a vítima a clicar em links maliciosos ou baixar anexos infectados. Como o e-mail continua sendo uma ferramenta de comunicação primária em contextos pessoais e profissionais, os ataques de phishing têm um amplo alcance e podem ser devastadores se não forem detectados precocemente.

Smishing

O smishing é uma evolução mais recente do phishing que tem como alvo indivíduos por meio de SMS ou mensagens de texto. Assim como os e-mails de phishing, as mensagens de smishing geralmente parecem vir de fontes confiáveis, como bancos, serviços de entrega ou até mesmo colegas de trabalho, e normalmente incluem um link malicioso ou uma solicitação para compartilhar detalhes sigilosos. 

Esse método é particularmente perigoso porque tira proveito da natureza casual e imediata das mensagens de texto, onde os usuários têm mais probabilidade de responder rapidamente e sem suspeitas. Dada a onipresença dos smartphones e a crescente dependência de comunicações baseadas em SMS, os ataques de smishing têm aumentado rapidamente.

Vishing

Conforme definido anteriormente neste artigo, o vishing usa comunicação de voz, normalmente por meio de chamadas telefônicas, para manipular as vítimas. Os invasores podem se passar por figuras de autoridade, como autoridades fiscais, representantes de suporte técnico ou até mesmo familiares em perigo, seja por meio de texto ou tecnologia de clonagem de voz por IA. 

O objetivo deles geralmente é o mesmo do phishing e do smishing: extrair informações sigilosas, como senhas ou números de cartão de crédito, ou convencer a vítima a tomar ações específicas, como transferir fundos. O vishing tem a camada adicional de explorar diretamente a psicologia humana por meio de conversas em tempo real, tornando mais difícil para as vítimas pararem e avaliarem criticamente a situação.

Principais diferenças em táticas e vetores de ataque

O phishing opera predominantemente por meio do e-mail, o que o torna uma forma escrita de golpe. Os invasores geralmente incluem modelos de e-mail e logotipos bem elaborados para imitar organizações legítimas. Esses e-mails geralmente contêm links ou anexos maliciosos que exploram vulnerabilidades no sistema do destinatário quando clicados ou baixados.

O smishing aproveita o SMS, um meio conhecido por sua brevidade e urgência. As mensagens geralmente contêm URLs encurtados para disfarçar links maliciosos, e os usuários podem se sentir mais inclinados a confiar em textos devido à natureza pessoal dos dispositivos móveis.

O vishing depende da interação por voz, o que pode adicionar uma camada de pressão ou manipulação emocional que não é tão facilmente transmitida por texto. Os invasores podem usar táticas como "falsificar" números de telefone para fazer com que a chamada pareça vir de uma fonte legítima, como uma agência governamental ou uma instituição conhecida.

Como proteger você e sua organização do vishing

Os ataques de vishing estão se tornando cada vez mais sofisticados, mas há medidas claras que sua organização pode tomar para mitigar o risco. Implementar as estratégias certas pode ajudar a proteger informações pessoais e corporativas contra ameaças de phishing baseadas em voz.

Treinamento de conscientização sobre segurança 

É fundamental educar frequentemente os funcionários sobre táticas de vishing. Programas de treinamento abrangentes podem ensinar a equipe a reconhecer sinais de alerta, como chamadas não solicitadas, táticas de pressão ou solicitações de informações sigilosas. A conscientização é a primeira linha de defesa na prevenção de ataques bem-sucedidos.

Procedimentos de autenticação de chamadas 

Implementar procedimentos rigorosos de autenticação de chamadas pode reduzir a probabilidade de se tornar vítima de vishing. Certifique-se de que os funcionários sigam os protocolos de verificação, como retornar a ligação para números oficiais e usar a autenticação multifator (MFA) para confirmar a identidade do autor da chamada antes de compartilhar qualquer informação sigilosa.

Uso de tecnologia antispam 

Aproveite as tecnologias antispam e de filtragem de chamadas baseadas em IA para bloquear chamadas suspeitas ou não solicitadas antes que elas cheguem à sua equipe. Essas ferramentas podem analisar padrões e detectar possíveis tentativas de phishing, fornecendo uma camada adicional de proteção contra ataques de vishing.

Planos de resposta a incidentes 

Ter um plano de resposta a incidentes robusto é essencial para minimizar os danos caso um ataque de vishing ocorra. Garanta que sua organização tenha protocolos claros para relatar chamadas suspeitas e investigar possíveis violações, para que ações rápidas possam ser tomadas para conter quaisquer ameaças.

Segurança de IA e inteligência de ameaças 

A incorporação de soluções de segurança com tecnologia de IA pode aumentar a capacidade da sua organização de detectar e responder a campanhas de vishing em tempo real. Ao aproveitar a inteligência sobre ameaças, esses sistemas podem identificar métodos de vishing emergentes, oferecendo defesas proativas que evoluem conforme o cenário de ameaças muda.

Olhando para o futuro: a importância de uma abordagem zero trust em camadas 

Os ataques de phishing, smishing e vishing exploram o elo mais fraco da segurança cibernética: o comportamento humano. Para combater essas ameaças de forma eficaz, as organizações precisam adotar uma abordagem zero trust, supondo que nenhuma comunicação, plataforma ou usuário é inerentemente confiável. 

Essa mudança de paradigma exige uma estratégia de defesa multicamadas que integre monitoramento baseado em IA, autenticação contínua e proteção de terminais. Ao combinar a educação do usuário com tecnologia de ponta, as organizações podem ficar à frente dos invasores e reduzir significativamente o risco de serem vítimas de engenharia social. 

À medida que essas táticas maliciosas evoluem, as defesas também devem evoluir, garantindo que cada e-mail, mensagem de texto e chamada telefônica seja examinado com o mesmo nível de diligência e ceticismo. Embora o phishing, o smishing e o vishing apresentem desafios distintos, uma estratégia de segurança unificada e aprimorada por IA pode ajudar a mitigar os riscos representados por todos os três, promovendo um ambiente digital mais resiliente e seguro.

Como a Zscaler pode ajudar

Para se defender de maneira eficaz contra o cenário de ameaças em evolução, as organizações precisam integrar controles avançados de prevenção de phishing em estratégias zero trust. Na vanguarda dessa estratégia de defesa está a Zscaler Zero Trust Exchange™, desenvolvida sobre uma robusta arquitetura zero trust.

Adotando uma abordagem abrangente para a cibersegurança, a Zero Trust Exchange efetivamente impede ataques de phishing convencionais e baseados em IA em várias etapas da cadeia de ataque com:

Prevenção de phishing e C2 baseada em IA

Os modelos de IA da Zscaler detectam sites de phishing conhecidos e de paciente zero para evitar o roubo de credenciais e a exploração de navegador, bem como analisam padrões de tráfego, comportamento e malware para detectar infraestrutura de comando e controle (C2) nunca antes vista em tempo real.

Defesa de sandbox por IA baseada em arquivo 

A Zscaler Sandbox em linha com tecnologia de IA detecta instantaneamente arquivos maliciosos, mantendo os funcionários produtivos. Nossa tecnologia de IA Instant Verdict identifica, coloca em quarentena e previne instantaneamente arquivos maliciosos de alta confiança, incluindo ameaças de dia zero, ao mesmo tempo em que elimina a necessidade de esperar pela análise desses arquivos.

IA para bloquear ameaças da web 

O Zscaler Browser Isolation, com tecnologia de IA, bloqueia ameaças de dia zero e, ao mesmo tempo, garante que os funcionários possam acessar os sites certos para realizar seu trabalho. Nosso isolamento inteligente por IA pode identificar quando um site pode ser arriscado e abri-lo isoladamente para o usuário, transmitindo o site com segurança como pixels em um ambiente seguro e em contêineres.

Quer ver a poderosa defesa contra phishing da Zscaler em ação? Agende uma demonstração personalizada com um de nossos especialistas e deixe que ele mostre como a Zscaler protege contra as ameaças mais avançadas baseadas em IA.