Sabe o que é o vishing? "Não vá em falinhas mansas"

Uma instituição bancária que opera em Portugal enviou recentemente aos seus clientes informação de alerta para o vishing. O Banco Wizink, especializado em crédito e poupança, avisa: "Não vá em falinhas mansas (…) Desconfie se lhe ligam a dizer que é do banco a pretexto de algum problema com o seu cartão, usando os seus dados pessoais para parecer uma chamada legítima".

Esta é uma situação que se está a tornar mais comum. Cientes da sofisticação das estratégias fraudulentas, os bancos e outras instituições procuram divulgar informação, uma das melhores maneiras de combater os burlões.

• Burlas estão cada vez mais sofisticadas, atenção aos telefonemas do banco

“Os cibercriminosos podem ligar-lhe fazendo-se passar pelo WiZink, usando até programas informáticos para que veja os números da Linha WiZink quando recebe a chamada. Desconfie se lhe ligam a dizer que é do banco a pretexto de algum problema com o seu cartão, usando os seus dados pessoais para parecer uma chamada legítima, e pedindo confirmação de dados muito específicos ou confidenciais, como o modelo do telemóvel, CVV do cartão, dados de acesso ou códigos que, entretanto, tenha recebido por SMS.

STOP! Nunca partilhe os seus dados confidenciais”, refere a mensagem enviada aos clientes do Banco Wizink.

O vishing começa quando termina o phishing ou o smishing, convém por isso começar por perceber o que são estes últimos.

O que é o phishing?

O phishing é um tipo de ataque em que se usam técnicas para captar informação sensível de uma vítima através de email. O cibercriminoso procura enganar quem recebe o email para que este disponibilize informação confidencial clicando em anexos, links ou através da partilha de dados em páginas fraudulentas.

O que é o smishing?

O termo smishing vem da combinação das palavras "SMS" e “phishing” e usa como veículo de fraudes as mensagens de texto. O smishing acaba por ser um tipo de phishing e é uma das estratégias favoritas dos cibercriminosos para tentar obter acesso a informações confidenciais ou roubar dinheiro.

O que é o vishing?

O termo resulta da combinação de voice e de fishing. O vishing funciona através de telefonemas ou mensagens de voz e usa estratégias verbais para induzir as pessoas a fazer coisas que elas acreditam ser do seu interesse.

A estratégia enganosa funciona habitualmente desta forma: uma pessoa entra numa plataforma através de um link que lhe foi enviado na maioria das vezes por SMS. Uma missiva que muitas vezes apresenta um conteúdo tentador ou urgente.

De seguida, pode surgir um número para entrar em contacto ou mais sofisticado ainda, a vítima recebe nesse momento um telefonema de alguém que se identifica como sendo do banco. Um técnico ou funcionário aparece do outro lado da linha pronto a ajudar quando muitas vezes a pessoa foi levada a clicar num link que parece ter levado a uma situação complicada, como por exemplo uma transferência elevada que não pretendia fazer.

Através da clonagem de números, é possível fazer crer que a pessoa está mesmo a ligar do banco e aproveitando a fragilidade do momento, o alegado funcionário pede um código de acesso para proceder a uma operação fraudulenta. Nesse ponto, devem soar as campainhas. Nunca forneça dados pessoas pelo telefone, por muito que a conversa possa parecer credível.

• Novos esquemas de burlas fazem cair até os mais atentos: há quem tenha perdido as poupanças de uma vida

O que fazer?

O Observatório de Cibersegurança - Centro Nacional de Cibersegurança (CNCS) divulga as seguintes recomendações a ter em conta para evitar ataques de phishing, smishing e vishing:

• Não clicar em anexos ou links de emails, de mensagens instantâneas ou de SMS suspeitos.
• Confirmar a veracidade do endereço de email, do perfil ou do número de telefone de origem.
• Avaliar sempre conteúdos de emails, de mensagens, de SMS ou de telefonemas.
• Não partilhar dados pessoais ou seguir instruções sem verificar noutras fontes a veracidade do pedido (junto do gestor de conta do banco ou de um superior hierárquico).
• Desconfiar de mensagens com erros formais de linguagem, o que não significa que todas as mensagens sem erros sejam credíveis.
• Nas organizações, realizar simulações de ataques de phishing e smishing, e eventualmente de vishing.
• Denunciar junto das autoridades ou dos responsáveis da organização sempre que se é alvo ou vítima de um ataque deste tipo.
• Estar atento e não se deixar persuadir sem reflexão por solicitações autoritárias, promessas ou pedidos urgentes.
  

Crimes no ciberespaço aumentam

As vítimas de incidentes de cibersegurança mais relevantes têm sido os clientes do setor da banca, da educação e ciência, tecnologia e ensino superior, dos transportes, da saúde e da comunicação social.

No ano passado, as ciberameaças mais relevantes foram o ransomware (pedidos de resgate por dados informáticos), phishing, smishing, burlas online e comprometimento de contas, de acordo com a 5.ª edição do relatório Cibersegurança em Portugal – Riscos e Conflitos, do CNCS.

Já em 2019, o phishing e o smishing corresponderam a 31% dos incidentes registados e em 2020 a 43%, tendo subido nesse ano em termos absolutos, 160%.

O ano de 2021 registou uma trajetória ascendente e os períodos com maior volume de burlas, em particular de phishing e smishing, foram os de maior confinamento social durante a pandemia de covid-19 (CNCS, Riscos e Conflitos 2021).

As operações policiais e alertas das autoridades e instituições, em especial bancárias, empresas e serviços, revelam também o crescimento deste género de crimes. O vishing que acaba por surgir na sequência do phishing e do smishing, numa combinação com contornos mais elaborados, está nos últimos tempos a atingir maiores proporções.