Najważniejsze wnioski
- Vishing oszustwo polegające na wykorzystywaniu połączeń telefonicznych lub wiadomości głosowych w celu nakłonienia ludzi do ujawnienia poufnych informacji.
- Oszuści często podszywają się pod wiarygodne podmioty, takie jak banki, agencje rządowe lub pracowników firm.
- Tego typu rozmowy zazwyczaj wywołują poczucie pilności lub strachu, aby zmusić ofiary do podjęcia szybkich działań.
- Ofiary mogą być nakłaniane do dzwonienia pod fałszywe numery, postępowania zgodnie z instrukcjami automatycznego systemu lub „potwierdzania” swoich danych osobowych.
- Ponieważ vishing ludzką skłonność do ufania, najlepszym zabezpieczeniem jest zachowanie sceptycyzmu i weryfikowanie połączeń za pośrednictwem oficjalnych kanałów.
Co to jest atak typu vishing?
Może słyszałeś o tym scenariuszu w wiadomościach: ktoś otrzymuje nagły telefon od agencji skarbowej (IRS) z informacją, że zalega z dużą kwotą podatków, i że oficer pojawi się pod drzwiami, jeśli nie zapłaci natychmiast. Ofiara wpadając w panikę, od razu wysyła elektroniczny przelew. Gdy w końcu uświadamia sobie swój błąd, jest już za późno — jej instytucja finansowa informuje, że pieniądze zniknęły.
Atak vishingowy to rodzaj ataku phishingowego, w którym cyberprzestępca wykorzystuje techniki inżynierii społecznej poprzez komunikację głosową, aby oszukać ofiarę. Słowo „vishing” łączy „voice” (głos) lub „VoIP” (Voice over Internet Protocol) z „phishing”. Oszust może próbować przekonać ofiarę do przesłania pieniędzy lub udostępnienia którejkolwiek z poniższych poufnych informacji:
- Nazwa
- Adres
- Data urodzenia
- Nazwy użytkowników
- Hasła
- Informacje o karcie kredytowej
- Dane bankowe
- Rządowe numery identyfikacyjne (np. Social Security lub Social Insurance)
Jaka jest różnica między vishingiem, smishingiem, quishingiem a phishingiem?
Vishing, podobnie jak smishing i quishing uznać za ataki phishingowe. Wszystkie trzy rodzaje ataków różnią się jedynie wykorzystywanymi wektorami zagrożeń. Phishing istnieje co najmniej od początków poczty elektronicznej, a zarówno vishing smishing połączeniami słowa „phishing” z nazwą stosowanej metody komunikacji. Vishing phishing głosowy) odbywa się za pośrednictwem komunikacji głosowej, a smishing phishing SMS-owy) wykorzystuje wiadomości tekstowe SMS jako medium ataku. Quishing to atak phishingowy wykorzystujący fałszywe kody QR.
Jak wygląda atak socjotechniczny?
Różne formy phishingu, w tym vishing, mogą stosować taktyki inżynierii społecznej. W kontekście cyberbezpieczeństwa, inżynieria społeczna to manipulacja emocjami ludzi w celu zmniejszenia ich racjonalnego myślenia, by skłonić ich do podejmowania wątpliwych działań. Przyjrzyjmy się, w jaki sposób inżynieria społeczna może wzmacniać atak vishingowy:
- Strach: Podczas oszustwa związanego z agencją skarbową, oszust może zastraszyć ofiarę, aby zapłaciła fałszywe podatki, grożąc więzieniem.
- Chciwość: Oszust może poinformować ofiarę o rzekomej wygranej na loterii i poprosić o wpłatę zaliczkową na podatki i opłaty.
- Miłość: Ktoś z gangu przestępczego może podszywać się pod romantycznego partnera i poprosić o pieniądze na podróż lotniczą lub nagły wypadek. Takie oszustwa często zaczynają się na portalach społecznościowych, a następnie przeradzają się w ataki vishingowe.
- Gniew: Oszust może manipulować gniewem, prosząc o darowizny przeciwko niepopularnemu kandydatowi politycznemu.
- Współczucie: Fałszywa organizacja charytatywna może dzwonić do ludzi, licząc na zebranie pieniędzy na katastrofę, nagły wypadek lub inny z pozoru szlachetny cel. Podobnie, w klasycznym przykładzie oszustwa na starszych, oszuści mogą atakować osoby starsze, podszywając się pod ich krewnych lub znajomych przez telefon.
Jak przeprowadza się vishing?
Vishing działa poprzez połączenie inżynierii społecznej z narzędziami komunikacji głosowej. Atakujący może korzystać z robocall, międzynarodowych numerów telefonicznych lub oprogramowania Voice over Internet Protocol (VOIP) do przeprowadzenia ataku. Oszuści mogą również wysyłać fałszywe wiadomości tekstowe, które kierują ofiary do kontaktu z nimi poprzez linki lub numery telefoniczne. Vishing może być skierowany zarówno na osoby fizyczne jak i organizacje. Przestępca może użyć takiego ataku, aby zebrać informacje wywiadowcze od firmy, na przykład.
Przykład ataku Vishing
Niestety, co roku wiele osób wpada w sidła oszustw vishingowych. Często groźba zalegania z płatnościami wobec rządowej agencji jest na tyle przekonująca i przerażająca, że ofiary płacą. W USA oszuści podający się za funkcjonariuszy Internal Revenue Service (IRS) często dzwonią, aby pobrać podatki, grożąc więzieniem, jeśli ofiara nie zapłaci rzekomo należnych kwot.
Podobna sytuacja ma miejsce w Kanadzie, gdzie wielu Kanadyjczyków padło ofiarą „visherów” podszywających się pod kanadyjską agencję dochodów (CRA). Jedna z ofiar tego oszustwa opisała, jak głupio się czuła, że dała się nabrać, i stwierdziła, że to była jedna z najtrudniejszych rzeczy w całej sytuacji.
Czasami ataki vishingowe mogą spektakularnie się nie udać, jak to było w przypadku Keniela Aeona Thomasa z Jamajki, który wybrał zły cel. Oszust prawdopodobnie uznał, że trafił na łatwego naiwniaka, gdy zadzwonił do 90-letniego Williama Webstera. Thomas powiedział panu Websterowi, że on i jego żona Lynda wygrali 15,5 miliona dolarów i Mercedesa. Ale zanim mógł przekazać im wygraną, Webstrowie musieli wysłać przelew bankowy na 50 000 dolarów, aby pokryć podatki. Mało wiedział ekstortionist, że Webster był byłym dyrektorem CIA, FBI i federalnym sędzią. Para skontaktowała się z FBI, żeby agent mógł posłuchać rozmów i ostatecznie oszust trafił do więzienia dzięki szybkiemu myśleniu Websterów.
Niestety, większość historii o vishingu nie kończy się tak dobrze. Zanim Thomas został skazany, oszukał 30 osób na setki tysięcy dolarów. Dlatego ważne jest, aby rozpoznać vishingowe lub oszustwo telefoniczne i chronić się przed nimi w przyszłości.
Jak zatrzymać vishing
Ludzie, którzy padają ofiarą ataków vishingowych, mogą być dobrze poinformowani o ryzyku, ale po prostu zostają zaskoczeni. Cyberprzestępcy regularnie zmieniają swoje taktyki, aby oszukiwać ludzi w nowy sposób. Możesz odebrać telefon w trakcie pracowitego dnia, kiedy najmniej spodziewasz się ataku vishingowego, albo osoba dzwoniąca może użyć informacji, które brzmią na tyle znajomo, że są przekonujące. Aby być czujnym i gotowym na takie połączenia, oto kilka rzeczy, o których należy pamiętać:
- Zwróć uwagę na ton osoby dzwoniącej. Oszuści mogą również używać nieuprzejmego lub niecierpliwego tonu, aby sugerować pilność lub wzbudzać strach, co różni się od wyćwiczonych pracowników organizacji, którą rzekomo reprezentują.
- Zachowaj spokój i weź głęboki oddech. Atakujący vishing wywołują fałszywe poczucie pilności, manipulując twoimi emocjami. Nie udostępniaj żadnych poufnych informacji przez telefon bez weryfikacji tożsamości osoby dzwoniącej. Możesz poszukać ich organizacji i zadzwonić bezpośrednio.
- Trzymaj się na baczności, nawet jeśli osoba dzwoniąca ma pewne twoje informacje. Na przykład, mogą zebrać niektóre z twoich danych publicznie dostępnych w Internecie, takich jak twoje imię, lokalizacja czy adres IP.
- Przesiewaj swoje połączenia za pomocą identyfikatora dzwoniącego i nie odbieraj nieznanych lub podejrzanych numerów. Poczekaj, aż osoba dzwoniąca zostawi ci wiadomość głosową, aby zdecydować, czy powinieneś oddzwonić. Pamiętaj, że wiele robocall'ów to oszustwa z rozpoznawalnym scenariuszem.
- Psotkuj i po prostu się rozłącz, jeśli podejrzewasz, że to oszust.
Jak zgłosić vishing?
W USA skontaktuj się z FTC i FBI w celu zgłoszenia oszustw vishingowych lub z odpowiednią agencją ścigania w swoim kraju. Możesz również zadzwonić do organizacji, z której oszust próbował cię oszukać, na przykład skontaktować się z IRS, jeśli podejrzewasz, że jesteś celem oszustwa związanego z IRS. Jeśli osoba dzwoniąca twierdzi, że jest z określonej organizacji, znajdź oficjalny numer telefonu tej organizacji i zadzwoń bezpośrednio, aby zapytać o połączenia.