Por Duncan McDonald (*)

A maioria das organizações evoluiu bastante na defesa contra o phishing (fraudes por email que tentam enganar os utilizadores para revelarem dados confidenciais ou clicarem em links maliciosos). Desde filtros de spam a simulações e campanhas de sensibilização, o phishing é um campo de batalha bem conhecido. Mas, enquanto continua a ser o centro das atenções, o vishing (engenharia social por voz) tem vindo a ganhar terreno discretamente entre os atacantes. E está a funcionar.

Como destaca o mais recente relatório anual da NCC Group, o phishing alimentado por inteligência artificial e a personificação com deepfakes estão a tornar os ataques mais difíceis de detetar e mais fáceis de escalar.

O vishing, ou voice phishing, envolve atacantes que se fazem passar por pessoas ou organizações de confiança ao telefone, com o objetivo de levar colaboradores a revelar informação sensível ou a realizar ações que comprometem a segurança. Pense nisto como o primo mais pessoal, e em muitos casos mais perigoso, do phishing por email.

Ao contrário do phishing por email, que hoje enfrenta filtros de spam e sistemas de deteção bastante sofisticados, o vishing conta com menos defesas integradas. A falsificação de endereços de email tornou-se difícil, mas falsificar um número de telefone é trivial, especialmente com serviços VoIP e manipulação de identificador de chamadas. Isto torna os ataques de vishing mais difíceis de detetar e muito mais fáceis de acreditar, sobretudo quando o atacante conhece o suficiente sobre a vítima para soar convincente.

Porque é que o vishing funciona? A psicologia por trás do vishing é perigosamente simples: urgência, autoridade e confusão. Uma voz convincente a dizer que é do departamento de IT, dos RH ou até mesmo do CEO pode levar alguém a ignorar os procedimentos normais de verificação, especialmente se o interlocutor já conhece pormenores pessoais ou internos obtidos no LinkedIn, no site da empresa ou através de fugas de informação anteriores.

E numa era em que a autenticação multifator (MFA) se tornou prática comum, o vishing está a ser cada vez mais usado como método de contorno. Os atacantes podem fazer-se passar por técnicos de suporte e persuadir os colaboradores a partilhar códigos temporários ou a clicar em links maliciosos enviados durante a chamada. Estes ataques híbridos, que combinam voz e email, criam cenários dinâmicos que aumentam as probabilidades de sucesso do atacante.

Como preparar-se para um ataque de vishing? Os processos seguidos pela sua equipa de IT para verificar a identidade de colaboradores antes de realizar reposições de palavra-passe ou contornar MFA são cruciais. Se os atacantes os conseguirem explorar, isso pode significar o compromisso direto de uma conta de utilizador e do seu domínio.

Aqui estão três áreas que pode analisar para perceber se está demasiado exposto e como pode aumentar a resiliência da sua organização face a este tipo de ataques:

  1. Revisão de políticas - Comece por rever as políticas e procedimentos da sua organização para verificação de chamadas recebidas. Os colaboradores estão formados para confirmar a identidade de quem liga antes de partilhar dados sensíveis? Conhecem as políticas de bloqueio e os caminhos de escalamento? Os métodos usados para verificar identidades são eficazes ou fáceis de contornar? As lacunas nestas áreas tornam-se sinais de alerta na fase de ataque.
  2. Recolha de informação pública (OSINT) - Analise a informação disponível publicamente sobre a sua organização, colaboradores e estrutura. Isto inclui cargos, formatos de email, nomes de liderança, e muito mais. Tudo dados que um atacante pode usar para passar nos processos de verificação da sua empresa e autenticar-se com o help desk. Quanto melhor for a informação do atacante, mais eficaz será o ataque.
  3. Simulações de vishing - Teste-se a si próprio! Simular ataques reais de vishing contra a sua organização é a melhor forma de saber se está vulnerável. Este exercício aumenta a consciencialização da sua equipa e prepara-a para reagir eficazmente a este tipo de ameaça.

Muitas organizações continuam a confiar em excesso nas defesas digitais, assumindo que MFA e software antivírus são suficientes para protegê-las da maioria das ameaças. Mas o vishing não tem como alvo a tecnologia, tem como alvo as pessoas. E quando as políticas não são claras ou a formação está desatualizada, mesmo os colaboradores mais atentos à segurança podem ser apanhados desprevenidos.

Executar simulações de vishing e treinar os colaboradores sobre os sinais de ataques por telefone deixou de ser opcional, é essencial.

(*) Regional Technical Assurance Services Lead na NCC Group