KGP, ZBP e PIIT informaram nos seus sites que, nos últimos meses, uma forma frequente de cometer crimes em prejuízo dos clientes bancários é uso de uma conexão de telefone de voz com uma pessoa que está convencida de que está falando com um funcionário do banco ou outra pessoa de confiança (por exemplo, um policial).
Vingando nas mãos de fraudadores
Este é um tipo de phishing denominado vishing. nome é uma combinação das palavras “phishing de voz”. O objetivo é obter informações confidenciais ou persuadir a vítima a realizar certas ações (por exemplo, instalar um aplicativo que forneça aos criminosos o remoto ao computador da vítima).
De acordo com as advertências dos criminosos eles são muito bons em manipular técnicas. Além disso, para autenticar o contato, eles podem exibir o número de telefone ou o nome de uma instituição confiável (por exemplo, um banco) no telefone da vítima.
Leia também: Os fraudadores se fazem ar pela KGHM ao promover investimentos em ouro, prata e cobre
Antes de fazer uma ligação, os fraudadores se preparam para a conversa de forma que seja confiável e acalme a vigilância do cliente. Em primeiro lugar, eles escolhem quem o chamador dirá. Existem casos conhecidos em que os criminosos se faziam ar por:
consultores bancários, departamento técnico ou de segurança, corretor, representante do governo, amigo, etc.
Em seguida, o infrator disca o número de telefone do qual a chamada será feita, o que resulta na exibição no telefone da vítima de um número de telefone ou nome de contato diferente do que na realidade, por exemplo, o número de telefone do cliente será exibido no número de telefone do cliente. Permite uma técnica conhecida como falsificação de número de telefone.
O que é spoofing?
Conforme evidenciado pelos avisos, vishing é um tipo de falsificação que depende de fingir ser outro dispositivo ou outro usuário, pode dizer respeito, inter alia, número de telefone, mas também endereço de e-mail, endereço IP, remetente de SMS e muito mais. Os criminosos utilizam tecnologias conhecidas por eles, que além de alterar o número do telefone permitem, entre outras, sobre:
selecionando o gênero do chamador, selecionando a origem, selecionando o sotaque, adicionando efeitos sonoros, usando o menu de voz.
O criminoso assim preparado estabelece uma ligação com a vítima e, de acordo com o cenário previamente elaborado, inicia uma conversa. A arma mais perigosa de tal criminoso há uma boa capacidade de aplicar engenharia social.
Abaixo estão alguns exemplos de métodos de engenharia social que podem ser usados por criminosos:
A pessoa que atende o telefone é informada sobre a suposta transação em sua conta bancária e o interlocutor pede a confirmação de sua execução. Claro, não há nenhum fardo, mas a vítima confusa, pensando que eles estão economizando seus fundos, responde às perguntas de quem ligou. Isso explica que se trata de identificar o cliente e, de fato, são feitas perguntas que diferem da verificação padrão e que visam obter conhecimentos que permitam ao criminoso, por exemplo, ar a conta da vítima. Este procedimento de engenharia social na conversa inicial é semelhante ao chamado “Métodos para uma neta.” A vítima é informada de que seus fundos estão em perigo e a única maneira de protegê-los é fornecendo credenciais de banco eletrônico ou dados de cartão de pagamento. Se ele os der, só agora os fundos estarão realmente em risco. O interlocutor se apresenta como um conselheiro de crédito, informa que de acordo com o pedido de empréstimo supostamente apresentado durante a noite, o dinheiro foi concedido, mas as formalidades devem ser cumpridas. Obviamente, a vítima não apresentou nenhum pedido de empréstimo. Posteriormente, o cenário é muito semelhante aos anteriores. A pessoa chateada começa a responder a uma série de perguntas acreditando que quem está ligando quer ajudá-la, mas na verdade o golpista ganha posse dos dados de interesse e encerra a conversa. Pode acontecer que o criminoso nem tenha que mentir sobre uma potencial operação financeira ou uma medida em perigo. No início da conversa, basta ele se apresentar, por exemplo, como funcionário de uma instituição estadual e pedir identificação ao interlocutor. Entre as perguntas padrão, há também perguntas menos óbvias, às quais a vítima muitas vezes não prestará atenção no início. Desta forma, o criminoso pode ficar em posse de dados confidenciais. Os criminosos acompanham o mercado e muitas vezes adaptam suas ações também às tendências atuais. Zbp.pl e policja.pl também informaram sobre a possibilidade de fraudes por meio de ligações de voz, quando os empresários apresentaram pedidos de subsídio do programa PFR Financial Shield.
O que acontece depois? Depende das informações que o criminoso obteve. O objetivo é um – ganhos financeiros, incl. recolhendo empréstimos para as vítimas (graças à obtenção de dados pessoais), retirando dinheiro diretamente da conta do cliente ou realizando operações com cartão.
Leia também: A rede de lojas Media Markt foi vítima de um ataque de hackers. Os cibercriminosos estão exigindo um resgate de 240 milhões de dólares
Como se proteger?
De acordo com os especialistas para se proteger, existem algumas regras importantes que você deve seguir:
Não forneça e senha para banco on-line, dados do cartão de pagamento (número do cartão, CVV, data de validade, nome e sobrenome do titular do cartão) – essas informações são confidenciais, só devem estar em posse do usuário e ninguém tem o direito de exigi-lo, um verdadeiro representante o banco nunca perguntará sobre isso. Nunca revele códigos de banco on-line e códigos 3D Secure usados para autorizar transações com cartão na Internet, recebidas pelo telefone. Leia sempre o texto dos SMSs que chegam ao seu telefone ou mensagens no aplicativo móvel ao ligar para o suposto representante de um banco ou outra instituição. Seu conteúdo pode indicar que você aceita a transação preparada pelos criminosos. Caso a conversa suscite dúvidas ou preocupações, deverá desligar, aguardar pelo menos 30 segundos e, em seguida, conectar-se à instituição para o qual ligou o suposto representante, discando obrigatoriamente o número oficial no teclado numérico e não ligando novamente. Você deve usar o bom senso e a cabeça fria, mesmo que tenha sido informado sobre uma ameaça potencial, por exemplo, perda de fundos. Você deve considerar cuidadosamente se os fundos realmente podem estar em perigo ou se a conversa é com um fraudador que só quer tirar proveito da situação. É uma boa ideia interromper a conexão e reinicializá-la de acordo com o princípio acima. Você deve sempre estar ciente de que o número de telefone ou nome do banco exibido não é uma garantia de que estamos falando com um representante real do banco.