Probabilidade (cada vez maior) de golpes: o que está por trás do aumento do vishing?
Para Stephanie Carruthers, líder global de Cyber Range e principal hacker de pessoas da IBM, há um ataque cibernético que sempre funciona.
Não é um malware com IA de ponta nem uma poderosa vulnerabilidade de execução remota de código.
É um simples telefonema.
“Fazemos campanhas de engenharia social para nossos clientes, nas quais o objetivo é ligar para o help desk e ver se podemos fingir ser um funcionário para redefinir a senha”, explica Carruthers. "Até o momento tivemos sucesso todas as vezes que fizemos isso".
Como membro da equipe X-Force da IBM, Carruthers usa seus poderes para o bem, lançando ataques simulados para ajudar os clientes a identificar e lidar com falhas de segurança.
Mas muitos hackers maliciosos também entraram no movimento do vishing, ou "phishing por voz", nos últimos meses. Os golpes de vishing , que usam chamadas telefônicas fraudulentas para enganar as pessoas e levá-las a compartilhar informações confidenciais, baixar malware ou enviar dinheiro para criminosos, aumentaram 442% em 2024 de acordo com um recente relatório da CrowdStrike.
Carruthers e outros especialistas em cibersegurança esperam que os casos de vishing Continuar aumentando à medida que os agentes da ameaça procuram maneiras de contornar os controles de segurança cada vez maiores das organizações.
Como diz Carruthers: “É muito mais fácil filtrar um e-mail do que impedir alguém de atender o telefone”.
Fortaleça sua inteligência de segurança
Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.
No mundo da cibersegurança, atacantes e defensores há muito tempo estão envolvidos em uma corrida armamentista. Os atacantes identificam uma vulnerabilidade e a exploram. Os defensores corrigem a vulnerabilidade e fortalecem as proteções para evitar ataques semelhantes no futuro. Enxágue e repita.
Mas à medida que as soluções de segurança ficam mais avançadas e as práticas de segurança mais refinadas, os hackers estão tendo mais dificuldade para encontrar falhas exploráveis.
Em resposta, muitos invasores voltaram suas atenções para alvos menos corrigíveis: as pessoas.
De acordo com o IBM® X-Force Threat Intelligence Index, o phishing e o abuso de contas de usuário válidas são duas das três formas mais comuns que os cibercriminosos utilizam para invadir as redes das empresas atualmente.
Sequestrando contas legítimas, os invasores podem se passar por usuários reais, ignorando muitas medidas de segurança se movendo lateralmente e elevando privilégios.
E embora os e-mails e as mensagens de texto já tenham sido os modos padrão dos phishers em todos os lugares, esses métodos dão muito menos resultado na era dos filtros de spam avançados.
As chamadas telefônicas são outra história.
"Se você analisar muitas grandes violações de dados agora, verá que foi na verdade uma chamada telefônica que iniciou a violação", diz Carruthers. “Alguém se passando por um funcionário ligou para o help desk para redefinir a senha de uma conta. Agora eles têm controle dessa conta e podem entrar em muitos sistemas."
Os provedores de serviços implementaram filtros de chamadas de spam para ajudar a combater os golpes telefônicos, mas não são tão confiáveis quanto filtros de e-mail e mensagens de texto.
Além disso, graças à popularidade dos programas bring your own device (BYOD) , os funcionários costumam usar smartphones pessoais para tarefas comerciais. As organizações geralmente têm muito menos controle sobre a segurança desses dispositivos do que sobre contas de e-mail corporativas, por exemplo.
Mas talvez a coisa mais perigosa sobre o vishing seja que, quando a vítima atende uma chamada, há pouco que as outras pessoas possam fazer para intervir.
Uma conversa telefônica não oferece as oportunidades de escrutínio sem pressa que um e-mail oferece. Os golpistas usam esse fato a seu favor, aumentando o senso de urgência e bombardeando a vítima com perguntas e informações. A vítima não tem espaço para parar e pensar se tudo faz sentido.
Todos esses fatores tornam o vishing extremamente eficaz. Carruthers conhece esse fato em primeira mão, tanto de sua época como hacker de pessoas quanto como uma das facilitadoras da Social Engineering Community Vishing Competition (SECVC) na DEF CON.
A competição coloca 14 equipes uma contra a outra para ver quem consegue completar o maior número de objetivos durante uma chamada de vishing ao vivo feita de uma cabine à prova de som em frente a uma audiência.
"O objetivo não é dizer: 'veja como somos ótimos nessa coisa de engenharia social'", explica Carruthers. "É para mostrar o quão prevalente é a engenharia social e como ela realmente acontece. Muitas pessoas acreditam que tudo se baseia somente no e-mail. Elas se esquecem das ligações telefônicas e de como foram incrivelmente bem-sucedidas”.
Na competição mais recente, diz Carruthers, cada equipe atingiu pelo menos alguns de seus objetivos, o que significa que extraiu algum tipo de informação ou fez com que as pessoas tomassem ações arriscadas.
Em outras palavras: os golpistas de vishing parecem sempre conseguir algo de seus alvos. Nenhuma contramedida é perfeita.
Como membro da X-Force, Carruthers ajudou muitas organizações a reformular seus treinamentos de consciência de segurança. Em sua experiência, a maioria dos programas de treinamento não aborda golpes de vishing. Quando o fazem, não vão além de conselhos superficiais, como "Não divulgue sua senha pelo telefone".
"Temos truques para contornar isso", comenta Carruthers. “Não vou pedir sua senha pelo telefone. Vou dizer: 'Entre neste site e digite seu nome de usuário e sua senha. Não dê a informação para mim. Isso não é seguro.'”
Obviamente, é um site que Carruthers, ou pior, um verdadeiro agente da ameaça controla, e agora eles têm suas credenciais.
Embora as chamadas telefônicas possam ser um método de baixa tecnologia para hackers, algumas das maneiras como utilizam chamadas telefônicas são decididamente futurísticas.
Com o nascimento das ferramentas de inteligência artificial (IA) que podem gerar vídeos e vozes humanas, os golpistas podem criar deepfakes convincentes de pessoas reais, levando a ataques altamente direcionados.
"Talvez você esteja acostumado a ver uma mensagem em vídeo semanal do seu CEO", diz Carruthers. "Agora, os hackers podem criar sua própria versão dessa mensagem semanal pedindo que você faça algo específico. Você o reconheceria?
No verão passado, fraudadores tentaram enganar um pesquisador de segurança da Palo Alto Networks usando IA para imitar a voz de sua filha.
À medida que a IA generativa evolui, há quem se preocupe com a possibilidade de ela, na pior das hipóteses, levar a operações de vishing autônomas e maciçamente escaláveis.
É especulação, mas está fundamentada em fatos. A própria Carruthers enfrentou um golpista impulsionado por IA e venceu, mas por pouco.
Na DEF CON do ano passado, Carruthers e seu parceiro representaram os humanos na competição inaugural John Henry, batizada em homenagem ao herói folclórico americano que superou uma perfuradora a vapor em uma disputa de trabalho com aço. Seu oponente: um chatbot de IA com recursos de síntese de voz projetado especificamente para esquemas de vishing.
O objetivo da competição era ver quem conseguia marcar mais pontos em uma série de chamadas de vishing ao vivo.
"Entrei nisso com muita arrogância", lembra Carruthers. "Pensei: 'Vamos vencer, sem dúvida. A voz da IA provavelmente vai começar a se atrapalhar ou começar a fazer perguntas estranhas. Haverá algo errado".
E algo saiu errado para Carruthers, não para o bot.
“Quando o ouvi começar a fazer chamadas, pensei: 'Ah, não'”, comentou.
O chatbot, em suas palavras, teve um desempenho "fantástico", com táticas e vozes diferentes para chamadas diferentes. Conseguiu reunir informações sobre os sistemas das pessoas e até mesmo convencê-las a realizar ações como acessar determinados sites.
"Pense nisso do ponto de vista de um operador humano", diz Carruthers. "Se você é capaz de dar um passo atrás e deixar o computador fazer todas essas coisas por você, isso é muito assustador,"
Como no conto de John Henry, os humanos venceram, embora não por muito. (E onde o mítico Henry morreram de esforço após superar a máquina automática, Carruthers e seu parceiro ainda estão muito vivos).
Mas talvez não vençam para sempre.
"Acho que se continuarmos assim ano após ano, definitivamente chegará um ponto em que a IA ultrapassará os humanos", afirma Carruthers.
Com a previsão de que o número de incidentes de vishing continue aumentando, as organizações precisam reforçar suas defesas. Dada a natureza do vishing, o foco deve ser equipar funcionários individuais para melhor perceber e responder a chamadas de golpes.
“Os invasores dependem da sua ação rápida”, afirma Carruthers. “Portanto, desacelere e avalie o máximo possível qualquer tipo de comunicação que você receber”.
As chamadas de vishing geralmente se apresentam como assuntos urgentes que a vítima deve resolver rápido, se não... Como Carruthers aponta, negócios legítimos, mesmo negócios legítimos urgentes, geralmente podem esperar para serem verificados.
Nenhum fornecedor encerrará sua conta se você não pagar nos próximos cinco minutos. O CEO nunca precisará tanto de cartões-presente da Amazon que você não possa pedir mais detalhes.
Falando em verificação: o advento da clonagem de IA tornou a verificação baseada em voz praticamente inútil.
"Digamos que eu receba um telefonema de alguém que diz que é minha avó", explica Carruthers. "O número está correto. Até parece com ela. Mas algo não está batendo. Ela diz que precisa de ajuda e quer que eu transfira dinheiro para ela. O que devo fazer?"
Carruthers recomenda estabelecer palavras de código com pessoas, incluindo amigos ou familiares. Não precisa ser uma senha formal. Podem ser algumas informações pessoais que apenas a pessoa real saberia, como um livro que ela recomendou recentemente a você. (Um executivo da Ferrari frustrou um golpe de vishing de IA no ano passado empregando exatamente essa tática .)
As equipes de segurança empresarial não podem confiar que cada funcionário tenha um relacionamento pessoal próximo o suficiente para que a verificação por recomendação manual funcione em escala. Mas as organizações podem criar processos de verificação em várias camadas que utilizam vários pontos de prova para verificar as identidades dos chamadores para qualquer solicitação, desde a redefinição de uma senha até o pagamento de uma fatura.
“Quanto mais camadas pudermos usar para verificar alguém, melhor”, afirma Carruthers. “E não use coisas que possam ser facilmente encontradas ou falsificadas, como uma voz, a data de nascimento ou a rua em que alguém cresceu”.
Fatores únicos e difíceis de falsificar que Carruthers já viu são códigos de empresa rotativos, gerentes de pessoas confirmando a identidade delas e o envio de senhas únicas para dispositivos registrados previamente.
(O registro prévio é importante. Caso contrário, os golpistas podem simplesmente fornecer um número que eles controlam).
Quaisquer que sejam os fatores que uma organização utilize, ela deve utilizar mais de um.
"Com um cliente que usava uma palavra código rotativa da empresa, conseguimos extrair a palavra de alguém por engenharia social, então isso acabou não nos impedindo", afirmou Carruthers. "Por isso sou grande fã de ter várias coisas em funcionamento".