Como evitar golpes vishing, o phishing de chamadas telefônicas

Em setembro, a rede global de hospitalidade MGM Resorts divulgou que foi vítima de um ataque cibernético que afetou máquinas caça-níquéis, reservas online e check-in de hóspedes.

O incidente, claro, impactou negativamente os negócios da empresa, sendo que a ocupação das hospedagens durante setembro ficaram 5% abaixo em relação ao mesmo período do ano anterior. Além disso, o prejuízo estimado está por volta dos US$15 milhões, cerca de R$76 milhões na cotação atual.

Jonathan Arend, Principal Consultant de Cybersecurity da keeggo, explica que, no caso da MGM, os hackers “se passaram por colaboradores para obter credenciais de acesso, invadir sistemas internos e roubar dados”. Para isso usaram a técnica golpista de vhising — combinação de “voice” com “phishing” — que os fraudadores tentam adquirir informações confidenciais via telefone.

Leia mais:

• Quase 8 milhões de ataques DDoS já ocorreram em 2023, aponta relatório
• Operadoras latinas sofrem 3 bilhões ataques cibernéticos em 2023
• FBI acaba com o malware amplamente utilizado no Brasil

De acordo com a Pesquisa Nacional BugHunt de Segurança da Informação, mais de um quarto das organizações sofreram ataques cibernéticos no último ano, aumento de 8% em relação a 2021. O vishing foi um dos principais ataques relatados no período, com 11,1% dos registros.

Dicas para se proteger de ataques vishing

Jonathan Arend reforça que a segurança cibernética deve ser uma preocupação constante das empresas. O especialista destacou algumas dicas contra ataques vishing. Confira:

• Treinamento de funcionários: Treine funcionários para reconhecer e relatar tentativas de vishing. Eles devem estar cientes de que nunca devem compartilhar informações confidenciais por telefone, a menos que tenham verificado a identidade da pessoa que está ligando.

• Verificação de identidade: Sempre verifique a identidade da pessoa que está ligando antes de compartilhar informações confidenciais. Isso pode incluir a confirmação de identidade por meio de senha ou perguntas de segurança previamente definidas. 

• Política de segurança de dados: Implemente políticas de segurança de dados que proíbam o compartilhamento de informações confidenciais por telefone sem a devida autenticação e autorização. 
• Autenticação de dois fatores (2FA): Use a autenticação de dois fatores, sempre que possível, para acesso a sistemas e contas críticas. Isso torna mais difícil para atacantes obterem acesso indevido.

• Monitoramento e registro de chamadas: Monitore chamadas telefônicas críticas e sensíveis para ter um registro de atividades caso seja necessário investigar ou comprovar a autenticidade de uma chamada.

• Atualizações de software e antivírus: Mantenha softwares atualizados com as últimas correções de segurança e implemente antivírus/antimalwares em todos os sistemas para evitar vulnerabilidades conhecidas.

• Criptografia de dados: Use criptografia para proteger dados confidenciais enquanto eles estão em trânsito e em repouso, tornando mais difícil para invasores acessá-los.

• Backup de dados: Faça backups regulares de dados críticos e os mantenha em locais seguros. Isso pode ajudar a recuperar dados em caso de comprometimento. 

• Avaliações de segurança regulares: Realize avaliações regulares de segurança, como testes de penetração e simulações de phishing/vishing, para identificar vulnerabilidades e treinar funcionários.

• Plano de resposta a incidentes: Tenha um plano de resposta a incidentes em vigor para lidar com ataques de vishing e outras ameaças cibernéticas. Isso inclui ações específicas a serem tomadas em caso de suspeita de ataque.