A constante evolução das ciberameaças deu origem a ciberataques mais sofisticados, modernizando os métodos tradicionais e adaptando-os às novas ferramentas da era digital. O Vishing, ou Voice Phishing, é um exemplo claro dessa modernização, recorrendo a chamadas telefónicas para imitar a voz de pessoas conhecidas e enganar as vítimas.

Este tipo de ataque representa um desafio crítico no panorama atual de cibersegurança, especialmente em setores que lidam com dados sensíveis, como, por exemplo, o financeiro. Apesar dos avanços tecnológicos na proteção de sistemas, o fator humano continua a ser o elo mais fraco da segurança, devido à falta de conhecimento ou negligência nas boas práticas de cibersegurança, e à crescente sofisticação dos ataques de engenharia social. O Vishing explora essa vulnerabilidade através da manipulação psicológica, conseguindo que as vítimas partilhem informações confidenciais.

Casos relevantes e a evolução das táticas de Vishing

Em 2023, o grupo cibercriminosos Scattered Spider realizou um dos maiores ataques de engenharia social nos EUA e no Reino Unido, focando-se em colaboradores de diversas organizações de diversos setores. Este ataque utilizou mensagens de texto que se faziam passar pelo departamento de IT das organizações, ameaçando a desativação de contas, caso não fossem seguidas instruções específicas como clicar em links maliciosos, explorando tanto vulnerabilidades técnicas como humanas.

Com a evolução tecnológica, os atacantes têm agora acesso a novas ferramentas, com a Inteligência Artificial que facilita a criação de vozes extremamente realistas. Esta tecnologia torna as fraudes mais credíveis e perigosas, permitindo cenários dramáticos que exigem ações imediatas, como a partilha de passwords ou de dados sensíveis.

Os perfis alvo mais comuns são geralmente pessoas mais idosas, que podem ter menor familiaridade com as tecnologias digitais, novos colaboradores, que ainda estão a adaptar-se aos procedimentos da organização, profissionais de suporte técnico frequentemente responsáveis por lidarem com sistemas críticos e gestores de topo por gerirem informação confidencial.

O fator humano como vulnerabilidade

Apesar dos avanços tecnológicos na proteção dos sistemas, o fator humano continua a ser o elo mais fraco da cibersegurança. A falta de conhecimento em cibersegurança e a negligência com boas práticas, como a utilização de credenciais fortes e complexas, podem comprometer a integridade dos sistemas e dados confidenciais. A crescente sofisticação dos ataques de engenharia social torna ainda mais difícil a sua identificação. Assim, o fator humano é uma vulnerabilidade explorada frequentemente no Vishing, que manipula psicologicamente as vítimas para que estas revelem informações sensíveis, mesmo quando estas estão protegidas por medidas tecnológicas.

Impactos do Vishing para as organizações

No entanto, as consequências do Vishing vão além das perdas financeiras, podendo comprometer a reputação das organizações e resultar em implicações legais e regulamentares. O incumprimento das leis de proteção de dados, como o RGPD, pode resultar em multas pesadas e na perda de credibilidade. Num cenário cada vez mais dependente das ferramentas digitais, as organizações tornam-se alvos mais suscetíveis a este tipo de ataque, que pode prejudicar não só os recursos financeiros, mas também a confiança dos clientes e posicionamento no mercado. A rápida evolução da tecnologia exige que as organizações adotem uma abordagem integrada para mitigar os riscos associados a ataques, como Vishing.

Estratégias para mitigar os riscos do Vishing

A proteção contra o Vishing requer uma combinação de soluções tecnológicas robustas, formação contínua e sensibilização dos colaboradores. A implementação de ferramentas de segurança como a autenticação multifator (MFA) ou sistemas de validação de dois passos é fundamental para garantir a segurança dos dados.

Além disso, o uso de bloqueadores de chamadas suspeitas, que analisam padrões de chamadas para identificar comportamentos anómalos, pode reduzir o risco de ataque. A formação e a sensibilização dos colaboradores são cruciais para prepará-los para identificar e reagir eficazmente a tentativas de ataque.  A realização de exercícios de simulação de ataques, com cenários reais, pode ser eficaz para preparar os colaboradores na deteção e resposta a chamadas suspeitas.

Contudo, a formação e sensibilização não deve ser visto como algo pontual. Deve existir uma abordagem integrada que combine o reforço tecnológico com a formação contínua. Muitos dos programas de formação e sensibilização ainda são reativos, sendo implementados apenas após a ocorrência de um incidente. O ideal é adotar uma estratégia proativa, para que haja uma preparação dos colaboradores de forma contínua, e que estes possam reconhecer mais facilmente possíveis alertas antes que o ataque aconteça. Além disso, é importante que a formação seja personalizada, considerando as especificações de cada área dentro da organização.

O aumento do conhecimento sobre as melhores práticas cibersegurança pode ajudar as vítimas a identificar tentativas de fraude mais facilmente. Para os novos colaboradores, a integração de boas práticas de cibersegurança no processo de onboarding é crucial, assim como programas regulares de formação e sensibilização em cibersegurança que os mantenham atualizados durante todo o seu percurso na organização. A literacia digital não só fortalece a cultura de cibersegurança da organização, como também prepara os colaboradores para lidar com as novas ameaças que surgem à medida que a tecnologia evolui.

Com a evolução das tecnologias, o Vishing continuará a ser uma ameaça crescente. No entanto, existem medidas preventivas que as organizações podem adotar para se protegerem. A implementação de ferramentas de segurança robustas, como o MFA, a realização de exercícios de simulação de ataques com cenários reais, a definição e formalização de diretrizes detalhadas sobre como agir no caso de ser vítima de uma chamada suspeita e a garantia de que os incidentes são reportados de forma rápida e eficaz são medidas que podem reduzir significativamente os riscos associados ao Vishing.

A informação constante sobre as táticas dos cibercriminosos, aliada à formação e sensibilização contínua e à cultura organizacional de cibersegurança, pode permitir que as organizações se antecipem aos ataques, minimizando assim os danos financeiros, reputacionais e legais.