06 dezembro, 2009

Vishing

Vishing é uma prática crime da utilização de engenharia social através do sistema telefónico, normalmente utilizando opções disponíveis em Voz sobre IP (VoIP), para ganhar acesso a dados privados e informação financeira do público alvo de forma a obter recompensa monetária. O termo é uma combinação de “voice” (voz) e “phishing” (pesca). O vishing explora os serviços das redes de telefone públicas, que tradicionalmente tem terminações locais que estão identificadas pela companhia dos telefones, e tem associado um cliente que paga pelo serviço. A vítima muitas vezes não está informada que o VoIP torna mais fácil a falsificação de identidade com o Spoof do ID, criando sistemas complexos automáticos (IVR), de baixo custo e o anonimato para o cliente amplamente disponível. O Vishing é normalmente utilizado para roubar números de cartões de crédito, ou noutros esquemas de roubo de identidade da vítima.

O Vishing é muito mais difícil de monitorizar e detectar. Para se protegerem, os consumidores são aconselhados para serem muito desconfiados relativamente quando recebem mensagens a dizerem para eles telefonarem para fornecer o número do cartão de crédito ou o número da conta bancária. Em vez de fornecer qualquer informação, recomendo os leitores a contactarem o seu banco ou instituição de crédito para verificarem a validade da mensagem.

Existe tecnologia que monitoriza todas as redes públicas comutadas de telefones (PSTN), baseado no comportamento do tráfego podem ser detectadas tentativas de vishing como um resultado de anomalias durante a chamada. Um exemplo é múltiplas chamadas de um número limitado de números do Skype para Call Centers.

Exemplo:

  1. O criminoso configura um dialer (programa de realização de chamadas) para números de telefone de uma determinada zona ou acede ao correio de mensagens de voz de uma companhia com a lista de números de telefone roubadas de uma instituição financeira.
  2. Quando a vítima atende a chamada, uma gravação automática, normalmente criada utilizando sintetizadores de texto para voz, é reproduzida para avisar o consumidor que o seu cartão de crédito foi alvo de actividade fraudulenta ou que a conta bancária teve uma actividade fora do normal. A mensagem depois indica que o consumidor deve telefonar para um número de telefone imediatamente. O mesmo número de telefone é normalmente mostrado na Identificação do número que está a ligar e mostra o mesmo nome que a instituição financeira possui.
  3. Quando a vítima telefona para o número, a chamada é atendida de forma automática dando instruções para se introduzir o número do cartão de crédito ou introduzir o número da conta bancária no teclado
  4. Quando a vítima introduz os seus dados do cartão de crédito, ou da sua conta bancária, o visher passa a possuir a informação necessária para fazer uma utilização fraudulenta do cartão ou para ter acesso à conta.
  5. A chamada normalmente pede mais dados adicionais tais como o PIN de segurança, data de validade, data de nasciment, etc.

É como se fosse uma variação do phishing realizado por e-mail.

Exemplo de notícias sobre vishing:

BBC News: http://news.bbc.co.uk/2/hi/technology/5187518.stm

The Register: http://www.theregister.co.uk/2008/01/21/fbi_vishing_warning/

Atentamente Matafome

Sem comentários: