Być może słyszałeś o tym scenariuszu w wiadomościach: ktoś otrzymuje pilny telefon od IRS, twierdząc, że jest winien dużą sumę niezapłaconych podatków, a funkcjonariusz przyjdzie do jego drzwi, jeśli nie zapłaci natychmiast. Wpadając w panikę, cel ataku vishingowego natychmiast wysyła płatność elektroniczną. Gdy ofiara w końcu zdaje sobie sprawę ze swojego błędu, jest już za późno - jej instytucja finansowa informuje ją, że pieniądze zniknęły.
Czym jest atak vishingowy?
Atak vishingowy to rodzaj ataku phishingowego, w którym aktor wykorzystujący zagrożenie stosuje taktyki inżynierii społecznej za pośrednictwem komunikacji głosowej, aby oszukać cel. Słowo "vishing" jest połączeniem słów "voice" lub "VoIP" (Voice over Internet Protocol) i "phishing". Oszust może próbować przekonać cel do przesłania mu pieniędzy lub udostępnienia dowolnych lub wszystkich następujących poufnych informacji:
- Nazwa
- Adres
- Data urodzenia
- Nazwy użytkowników
- Hasła
- Informacje o karcie kredytowej
- Dane bankowe
- Numery wydawane przez rząd (np. Social Security lub Social Insurance)
Jaka jest różnica między vishingiem, smishingiem, quishingiem i phishingiem?
Vishing, podobnie jak smishing i quishing, można uznać za ataki phishingowe. Wszystkie trzy rodzaje ataków różnią się jedynie wykorzystywanymi wektorami zagrożeń. Phishing istnieje co najmniej od wczesnych dni poczty elektronicznej, a zarówno vishing, jak i smishing są kombinacjami słowa "phishing" i używanej metody komunikacji. Vishing (phishing głosowy) odbywa się za pośrednictwem komunikacji głosowej, a smishing (phishing SMS) wykorzystuje wiadomości tekstowe SMS jako medium ataku. Quishing to atak phishingowy za pomocą fałszywych kodów QR.
Czym jest atak socjotechniczny?
Różne formy phishingu, w tym vishing, mogą wykorzystywać taktyki inżynierii społecznej. W kategoriach cyberbezpieczeństwa inżynieria społeczna to manipulacja ludzkimi emocjami w celu ograniczenia racjonalnego myślenia celu, aby skłonić go do wykonania wątpliwej czynności. Przyjrzyjmy się kilku sposobom, w jakie inżynieria społeczna może wzmocnić atak vishingowy:
- Strach: Podczas oszustwa IRS oszust może przestraszyć cel, aby zapłacił fałszywe podatki, grożąc więzieniem.
- Chciwość: Zły aktor może powiedzieć celowi o fałszywej wygranej na loterii i poprosić o zapłatę podatków i opłat z góry.
- Miłość: Ktoś z gangu przestępczego może podawać się za romantycznego partnera i prosić o pieniądze na podróż samolotem lub w nagłym wypadku. Często takie oszustwa zaczynają się w mediach społecznościowych, a później przekształcają się w ataki vishingowe.
- Gniew: Oszust może manipulować gniewem, prosząc na przykład o darowizny na rzecz niepopularnego kandydata politycznego.
- Współczucie: Fałszywa organizacja charytatywna może dzwonić do ludzi na zimno, mając nadzieję na zebranie pieniędzy na katastrofę, nagły wypadek lub inny pozornie szlachetny cel. Podobnie, w klasycznym przykładzie oszustwa wobec osób starszych, oszuści mogą atakować osoby starsze, podając się przez telefon za ich krewnych lub znajomych.
Jak odbywa się vishing?
Vishing działa poprzez połączenie inżynierii społecznej z narzędziami komunikacji głosowej. Atakujący może wykorzystywać połączenia robocall, międzynarodowe numery telefonów lub oprogramowanie Voice over Internet Protocol (VOIP) do przeprowadzenia ataku. Oszuści mogą również wysyłać fałszywe wiadomości tekstowe, które kierują ofiary do nich za pośrednictwem linków lub numerów telefonów. Vishing może być wymierzony w osoby fizyczne i organizacje. Podmiot stanowiący zagrożenie może na przykład wykorzystać taki atak do zebrania danych wywiadowczych od firmy.
Przykład ataku vishingowego
Niestety, każdego roku wiele osób pada ofiarą oszustw typu vishing. Często groźba długu wobec agencji rządowej jest na tyle przekonująca i przerażająca, że ofiary są skłonne zapłacić. W Stanach Zjednoczonych oszuści vishingowi często podszywają się pod funkcjonariuszy Internal Revenue Service (IRS) dzwoniących w celu pobrania podatków, grożąc więzieniem, jeśli ofiara nie zapłaci rzekomo należnej kwoty.
To samo dzieje się w Kanadzie, gdzie wielu Kanadyjczyków zostało "oszukanych" przez groźnych aktorów podających się za Kanadyjską Agencję Podatkową (CRA). Jedna z ofiar tego oszustwa opisała, jak głupio się czuła, dając się na to nabrać i powiedziała, że była to dla niej jedna z najtrudniejszych części całej sytuacji.
Czasami ataki vishingowe mogą przynieść skutek odwrotny do zamierzonego, jak w przypadku Keniela Aeona Thomasa z Jamajki, który wybrał niewłaściwy cel. Oszust prawdopodobnie myślał, że ma łatwy cel, gdy 90-letni William Webster odebrał telefon. Thomas powiedział panu Websterowi, że on i jego żona Lynda wygrali 15,5 miliona dolarów i Mercedez-Benz. Zanim jednak będzie mógł podzielić się z nimi wygraną, Websterowie będą musieli wysłać przelew bankowy w wysokości 50 000 USD, aby pokryć podatki. Szantażysta nie wiedział, że Webster był byłym dyrektorem CIA, dyrektorem FBI i sędzią federalnym. Para skontaktowała się z FBI, aby agent mógł podsłuchiwać rozmowy, a ostatecznie oszust skończył odsiadując wyrok dzięki szybkiemu myśleniu Websterów.
Niestety, większość historii związanych z vishingiem nie kończy się tak dobrze. Zanim Thomas został skazany, wyłudził od 30 osób setki tysięcy dolarów. Dlatego tak ważne jest rozpoznawanie prób wyłudzeń lub vishingu, aby chronić się w przypadku otrzymania kolejnego telefonu.
Jak powstrzymać vishing
Osoby, które padają ofiarą ataków vishingowych, mogą być dobrze poinformowane o ryzyku, ale po prostu zaskoczone. Aktorzy zagrożeń regularnie zmieniają swoje taktyki, próbując oszukać ludzi na nowe sposoby. Możesz odebrać połączenie podczas pracowitego dnia, kiedy ostatnią rzeczą, jakiej się spodziewasz, jest atak vishingowy, lub dzwoniący może użyć informacji, które brzmią na tyle znajomo, że są przekonujące. Aby zachować czujność i być przygotowanym na otrzymanie jednego z takich połączeń, należy pamiętać o kilku rzeczach:
- Zwróć uwagę na ton rozmówcy. Oszuści mogą również używać nieuprzejmego lub niecierpliwego tonu, aby zasugerować pilność lub wywołać strach, w przeciwieństwie do przeszkolonych pracowników organizacji, którą rzekomo reprezentują.
- Zachowaj spokój i weź oddech. Atakujący vishingowi stwarzają fałszywe poczucie pilności, wykorzystując emocje użytkownika. Nie udostępniaj żadnych poufnych informacji przez telefon bez zweryfikowania tożsamości dzwoniącego. Możesz sprawdzić jego organizację i zadzwonić do niego bezpośrednio.
- Zachowaj czujność, nawet jeśli dzwoniący posiada niektóre z Twoich informacji. Na przykład, mógł on zebrać niektóre z publicznie dostępnych danych z Internetu, takich jak imię i nazwisko, lokalizacja lub adres IP.
- Sprawdzaj połączenia za pomocą identyfikatora dzwoniącego i nie odbieraj nieznanych lub podejrzanych numerów. Poczekaj, aż dzwoniący zostawi Ci wiadomość głosową, aby zdecydować, czy powinieneś oddzwonić. Pamiętaj, że wiele oszustw typu robocall opiera się na rozpoznawalnym scenariuszu.
- Zachowaj ostrożność i po prostu rozłącz się, jeśli podejrzewasz, że to oszust.
Jak mogę zgłosić vishing?
W Stanach Zjednoczonych należy skontaktować się z FTC i FBI, aby zgłosić wszelkie oszustwa vishingowe, lub z odpowiednim organem ścigania w swoim kraju. Możesz również zadzwonić do organizacji, której oszust używa do próby manipulowania Tobą, na przykład skontaktować się z IRS, jeśli podejrzewasz, że jesteś celem oszustwa IRS. Jeśli dzwoniący twierdzi, że należy do określonej organizacji, należy wyszukać oficjalny numer telefonu tej organizacji i zadzwonić do niej bezpośrednio, aby zapytać o połączenia.