São Paulo — InkDesign News — Recentemente, especialistas em segurança cibernética identificaram um aumento nas campanhas de phishing de retorno que usam engenharia social avançada para enganar as vítimas. Essas campanhas, chamadas de TOAD (Telephone-Oriented Attack Delivery), utilizam chamadas telefônicas para roubar informações confidenciais.
Vetor de ataque
Os ataques TOAD se diferenciam dos esquemas tradicionais de phishing ao envolver a interação direta por meio de chamadas telefônicas. Os hackers, que se apresentam como empresas legítimas como Microsoft e PayPal, têm aproveitado essa técnica para criar uma falsa sensação de segurança, já que muitos usuários consideram chamadas telefônicas mais seguras do que interações pela web.
Esses ataques frequentemente se utilizam de mensagens urgentes, muitas vezes remetendo a documentos em PDF e outras comunicações que parecem confiáveis. Um exemplo observado envolve a simulação de uma cobrança de serviço, onde o usuário é solicitado a ligar de volta para um número controlado pelos criminosos.
Impacto e resposta
Os pesquisadores da Cisco Talos notaram que o uso de VoIP (Voice over Internet Protocol) é comum nesse tipo de ataque, pois esses números são mais difíceis de rastrear. Isso confere aos malfeitores vantagens logísticas, permitindo uma continuidade nas interações com as vítimas e ajuda a manter uma aparência de marca confiável.
“A interação ao vivo durante uma chamada permite que os atacantes manipulem as emoções e as respostas da vítima por meio de táticas de engenharia social.”
(“Additionally, the live interaction during a phone call enables attackers to manipulate the victim’s emotions and responses by employing social engineering tactics.”)— Omid Mirzaei, Líder de Pesquisa em Segurança, Cisco Talos
Análise e recomendações
Embora os ataques TOAD representem um novo desafio, é essencial que as organizações implementem motores de detecção de impersonação como parte de suas medidas de segurança. Este tipo de tecnologia é crucial para defender-se contra tentativas de phishing baseadas em marca. O treinamento de conscientização, embora tenha mostrado eficácia limitada, ainda pode ser útil quando focado em interações personalizadas.
Projeções indicam que essas campanhas continuarão a evoluir, empregando técnicas cada vez mais sofisticadas. A resposta do setor exige uma combinação de avanços tecnológicos e treinamento contínuo para mitigar os riscos associados a essas ameaças.
Fonte: (Dark Reading – Segurança Cibernética)
