Kits de vishing customizados já imitam sites e logins em tempo real
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A sofisticação dos kits de phishing está crescendo exponencialmente, segundo pesquisadores de segurança da Okta: ataques da variante de voz, o vishing, já conseguem adaptar o procedimento em tempo real, o que é usado para coletar não só login e senha da vítima, mas até mesmo códigos de autenticação por duas etapas.
- O que é phishing e como se proteger?
- Smishing e Vishing: o phishing que chega por SMS e ligação de voz
A equipe conseguiu estudar kits de phishing que miram nas contas Google, Microsoft e da própria Okta, bem como provedores de serviços de criptomoedas.
Como é o vishing customizado
Primeiro, é realizado um perfilamento do usuário, levantando os aplicativos usados e telefones de suporte mais comumente utilizados. Um site de phishing customizado é construído em seguida, e então os golpistas ligam para a vítima de um número roubado ou que passou por spoofing.
Uma vez no telefone com a vítima, os hackers fazem com que ela tente fazer login no site falso: as credenciais são coletadas e imediatamente usadas para tentar entrar no site verdadeiro por parte dos golpistas. Caso o usuário use autenticação por duas etapas, os atacantes atualizam o site falso em tempo real e pedem para que o usuário complete o processo, roubando, também, o código fornecido.
A qualidade e velocidade da ferramenta, segundo os pesquisadores da Okta, ajudaram o vishing a se tornar um ataque mais popular. A engenharia social baseada em voz, segundo Moussa Diallo, pesquisador da Okta, tem crescido muito, já que os golpistas agora conseguem controlar o que o usuário vê no navegador com sincronização perfeita, dando instruções que batem exatamente com o que é pedido.
Qualquer tipo de autenticação por duas ou mais etapas que não use medidas anti-phishing, então, consegue ser contornada pelos golpistas. O ideal é, como recomendado pela Okta, utilizar a tecnologia a seu favor, com autenticação avançada ou uma chave de acesso (passkey), idealmente uma combinação dos dois. A redundância é uma ferramenta poderosa contra os golpistas.
Confira também:
- Microsoft alerta para erro de programação que congela o Outlook no iOS
- Curl remove recompensas por bugs devido a excesso de relatos de IA
- Ataque hacker à Under Armour expôs 72 milhões, mas empresa segue em silêncio
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Fonte: Okta