Spoofing de chamada: técnica de engenharia social visa atrair as vítimas por meio da voz
Cibercriminosos se passam por instituições conhecidas e confiáveis e, ao ligar para os alvos, utilizam-se do apelo emocional com o objetivo de obterem informações sensíveis.
Em tempos digitais, a chamada de voz continua sendo o canal de comunicação mais imediato e que aproxima um ser humano de outro. E, aproveitando-se disso, cibercriminosos passaram a usá-la em novos tipos de ataques, conhecidos como spoofing de chamada.
De acordo com a FCC (Federal Communications Commission), o spoofing de chamada acontece quando as informações no display de identificação de chamadas são falsificadas para disfarçar a identidade de quem está ligando.
Desta forma, os golpistas clonam os números de instituições conhecidas e de relacionamento da vítima para que a conversão do ataque tenha mais chances de sucesso.
Seu mecanismo de funcionamento é simples: os agentes mal-intencionados ligam para o telefone da potencial vítima fazendo-se passar por um colaborador de uma organização conceituada, como o banco ou operadora de telefone móvel, e começam a confirmar dados sensíveis com o apoio de scripts fraudulentos.
A intenção final é clara: roubar o dinheiro ou informações valiosas, que serão usadas em atividades fraudulentas.
Ataques conversacionais são os que mais crescem no Brasil
Na busca por novas formas de obter dados e vantagens, os cibercriminosos expandem a atuação, inclusive simplificando e voltando às origens com o uso da voz e de chamadas telefônicas, como é o caso do spoofing de chamada.
Esse tipo de ataque também utiliza técnicas de engenharia social, que são as mais recorrentes e observadas nos ciberataques. Isso se dá porque o fator humano é uma porta de entrada “mais fácil” aos sistemas e dados que os agentes mal-intencionados visam e um dos principais fatores motivadores é a falta de conhecimento e o abuso emocional das vítimas.
Com isso, o número de ataques conversacionais saltou vertiginosamente. Segundo pesquisadores e especialistas em segurança, o aumento registrado para usuários de dispositivos móveis em dezembro de 2022, foi 12 vezes maior que o número apontado em janeiro do mesmo ano. Neste mesmo período, o FBI reforça que esse tipo de golpe resultou na perda de mais de US$ 3,3 bilhões.
Como proteger a sua empresa do spoofing de chamada
Visto que o spoofing de chamada é um ataque que se utiliza da engenharia social, a primeira recomendação é que as companhias realizem treinamentos constantes com todos os colaboradores, reforçando as boas práticas de segurança e a desconfiança deles, principalmente com chamadas solicitam confirmações de dados.
Aqui, vale reforçar com os colaboradores que qualquer informação da empresa não deve ser compartilhada fora dos canais oficiais e que não é uma prática recorrente fazer essas validações por telefone.
Se houver uma ligação em que o outro lado se identifique como alguém de uma organização confiável e peça para verificar algum tipo de dado, o colaborador deve desligar e, então, verificar com a instituição se era verídico e se esse processo está em andamento.
Outras ações recomendadas são contar com softwares que validam os números e as chamadas telefônicas, bem como rastreiam e gravam. Caso haja uma tentativa de ataque, os times de segurança podem identificar e intervir, sem que haja maiores prejuízos às organizações.
Não divulgar números específicos de telefones da empresa também é uma ação válida para evitar que os ciberatacantes tenham acesso a mais canais e pontos de contato. Por isso, um PABX com um número único apoia “no filtro” das ligações e com quem os setores e colaboradores conversam.
Esse maior controle dos acessos e das conexões internas fazem com que as ações que aplicam engenharia social sejam minimizadas e as empresas menos vulneráveis.