Vishing é uma nova prática criminosa que consiste em utilizar engenharia social com recursos de automação telefônica para explorar as facilidades da rede pública de telefonia com o objetivo de obter vantagens ilícitas tais como realizar compras ou saques em nome das vítimas.

O Vishing é uma sofisticação do Phishing. Em vez de falsificar o e-mail ou o site de uma entidade, o criminoso cria um ambiente de atendimento telefônico que se pareça com o de uma entidade confiável, como um banco ou órgão do governo.

Alexis Panagides, CEO da Inova Tecnologias, ressalta a importância que o setor de TI deve dar ao vishing. “Embora aconteça através dos sistemas telefônicos, o vishing pode ser usado para identificar vulnerabilidades em outros sistemas e os times de segurança precisam cooperar entre si”.

As vítimas normalmente não estão suficientemente informadas sobre a possibilidade de falsificação do número de identificação de chamada, popularmente conhecido como bina, e dos recursos de automação telefônica disponíveis a baixo custo. O avanço e o barateamento da tecnologia ajudaram a difundir técnicas e facilidades de automação de serviços telefônicos que no passado estavam restritas a grandes empresas com recursos para adquirir equipamentos caros e sofisticados.

O criminoso que pratica o vishing explora a confiança da população nos serviços de telefonia fixa, cujos terminais estiveram historicamente associados a um endereço físico e a um assinante conhecido do serviço telefônico, mas com as mudanças que ocorreram nos sistemas de telefonia fixa mundiais, novas facilidades foram incorporadas para as empresas e para os usuários, facilidade que ironicamente também beneficiam os criminosos.

O vishing pode ser utilizado para se obter números de cartão de crédito, senhas de acesso a contas no banco ou a sistemas corporativos, dentro outras informações sensíveis. Automatizando o processo, um criminoso poderia realizar milhares de tentativas por dia valendo-se das técnicas e recursos de grandes call-centers.

Como acontece o vishing

O criminoso configura um sistema de callcenter para ligar para os números de telefone de uma determinada região ou para acessar sistemas de voz com listas de números telefônicos roubados de alguma instituição.

Quando uma vítima atende uma ligação ouve uma mensagem gravada informando que foi detectada atividade fraudulenta ou incomum em sua conta bancárias. A mensagem instrui o usuário a ligar imediatamente para um determinado número, normalmente exibido em seu identificador de chamadas.

Ao ligar para o número informado, a ligação é atendida por um sistema automático, que solicita ao usuário a digitação do número do seu cartão de crédito e de seus dados bancários Uma vez que o usuário informa seus dados, o criminoso tem condições de obter acesso a sistemas privativos, inclusive a contas bancárias, ou utilizar o cartão de crédito para compras em nome do usuário. A chamada pode obter do usuário informações de segurança complementares como PIN, data de expiração, data de nascimento etc.

O vishing pode estar também associado ao phishing tradicional, como quando um e-mail é enviado solicitando que o usuário ligue para o número indicado, onde um sistema eletrônico solicita informações pessoais e eventualmente pode transferir a vítima para um atendente.