Czym jest vishing?

Vishing, czyli głosowy phishing, to atak phishingowy, który wykorzystuje rozmowy telefoniczne do wyłudzania danych osobowych, poufnych i wrażliwych, często finansowych.

SKANOWANIE CYFROWEGO ŚLADU

Może słyszałeś o tym scenariuszu w wiadomościach: ktoś otrzymuje nagły telefon od agencji skarbowej (IRS) z informacją, że zalega z dużą kwotą podatków, i że oficer pojawi się pod drzwiami, jeśli nie zapłaci natychmiast. Ofiara wpadając w panikę, od razu wysyła elektroniczny przelew. Gdy w końcu uświadamia sobie swój błąd, jest już za późno — jej instytucja finansowa informuje, że pieniądze zniknęły.

Co to jest atak typu vishing?

Atak vishingowy to rodzaj ataku phishingowego, w którym cyberprzestępca wykorzystuje techniki inżynierii społecznej poprzez komunikację głosową, aby oszukać ofiarę. Słowo „vishing” łączy „voice” (głos) lub „VoIP” (Voice over Internet Protocol) z „phishing”. Oszust może próbować przekonać ofiarę do przesłania pieniędzy lub udostępnienia którejkolwiek z poniższych poufnych informacji:

  • Nazwa
  • Adres
  • Data urodzenia
  • Nazwy użytkowników
  • Hasła
  • Informacje o karcie kredytowej
  • Dane bankowe
  • Rządowe numery identyfikacyjne (np. Social Security lub Social Insurance)

Jaka jest różnica między vishingiem, smishingiem, quishingiem a phishingiem?

Vishing, tak samo jak smishing i quishing, można uznać za ataki phishingowe. Wszystkie trzy typy ataków różnią się jedynie wektorami zagrożeń, jakie stosują. Phishing istnieje co najmniej od początków e-maili, a zarówno vishing, jak i smishing to połączenie słowa „phishing” z używaną metodą komunikacji. Vishing (phishing głosowy) odbywa się za pośrednictwem komunikacji głosowej, a smishing (phishing SMS) wykorzystuje wiadomości tekstowe SMS jako medium ataku. Quishing to atak phishingowy za pomocą fałszywych kodów QR.

Jak wygląda atak socjotechniczny?

Różne formy phishingu, w tym vishing, mogą stosować taktyki inżynierii społecznej. W kontekście cyberbezpieczeństwa, inżynieria społeczna to manipulacja emocjami ludzi w celu zmniejszenia ich racjonalnego myślenia, by skłonić ich do podejmowania wątpliwych działań. Przyjrzyjmy się, w jaki sposób inżynieria społeczna może wzmacniać atak vishingowy:

  • Strach: Podczas oszustwa związanego z agencją skarbową, oszust może zastraszyć ofiarę, aby zapłaciła fałszywe podatki, grożąc więzieniem.
  • Chciwość: Oszust może poinformować ofiarę o rzekomej wygranej na loterii i poprosić o wpłatę zaliczkową na podatki i opłaty.
  • Miłość: Ktoś z gangu przestępczego może podszywać się pod romantycznego partnera i poprosić o pieniądze na podróż lotniczą lub nagły wypadek. Takie oszustwa często zaczynają się na portalach społecznościowych, a następnie przeradzają się w ataki vishingowe.
  • Gniew: Oszust może manipulować gniewem, prosząc o darowizny przeciwko niepopularnemu kandydatowi politycznemu.
  • Współczucie: Fałszywa organizacja charytatywna może dzwonić do ludzi, licząc na zebranie pieniędzy na katastrofę, nagły wypadek lub inny z pozoru szlachetny cel. Podobnie, w klasycznym przykładzie oszustwa na starszych, oszuści mogą atakować osoby starsze, podszywając się pod ich krewnych lub znajomych przez telefon.

Jak przeprowadza się vishing?

Vishing działa poprzez połączenie inżynierii społecznej z narzędziami komunikacji głosowej. Atakujący może korzystać z robocall, międzynarodowych numerów telefonicznych lub oprogramowania Voice over Internet Protocol (VOIP) do przeprowadzenia ataku. Oszuści mogą również wysyłać fałszywe wiadomości tekstowe, które kierują ofiary do kontaktu z nimi poprzez linki lub numery telefoniczne. Vishing może być skierowany zarówno na osoby fizyczne jak i organizacje. Przestępca może użyć takiego ataku, aby zebrać informacje wywiadowcze od firmy, na przykład.

Przykład ataku vishingowego

Niestety, co roku wiele osób wpada w sidła oszustw vishingowych. Często groźba zalegania z płatnościami wobec rządowej agencji jest na tyle przekonująca i przerażająca, że ofiary płacą. W USA oszuści podający się za funkcjonariuszy Internal Revenue Service (IRS) często dzwonią, aby pobrać podatki, grożąc więzieniem, jeśli ofiara nie zapłaci rzekomo należnych kwot.

Podobna sytuacja ma miejsce w Kanadzie, gdzie wielu Kanadyjczyków padło ofiarą „visherów” podszywających się pod kanadyjską agencję dochodów (CRA). Jedna z ofiar tego oszustwa opisała, jak głupio się czuła, że dała się nabrać, i stwierdziła, że to była jedna z najtrudniejszych rzeczy w całej sytuacji.

Czasami ataki vishingowe mogą spektakularnie się nie udać, jak to było w przypadku Keniela Aeona Thomasa z Jamajki, który wybrał zły cel. Oszust prawdopodobnie uznał, że trafił na łatwego naiwniaka, gdy zadzwonił do 90-letniego Williama Webstera. Thomas powiedział panu Websterowi, że on i jego żona Lynda wygrali 15,5 miliona dolarów i Mercedesa. Ale zanim mógł przekazać im wygraną, Webstrowie musieli wysłać przelew bankowy na 50 000 dolarów, aby pokryć podatki. Mało wiedział ekstortionist, że Webster był byłym dyrektorem CIA, FBI i federalnym sędzią. Para skontaktowała się z FBI, żeby agent mógł posłuchać rozmów i ostatecznie oszust trafił do więzienia dzięki szybkiemu myśleniu Websterów.

Niestety, większość historii o vishingu nie kończy się tak dobrze. Zanim Thomas został skazany, oszukał 30 osób na setki tysięcy dolarów. Dlatego ważne jest, aby rozpoznać vishingowe lub oszustwo telefoniczne i chronić się przed nimi w przyszłości.

Jak zatrzymać vishing

Ludzie, którzy padają ofiarą ataków vishingowych, mogą być dobrze poinformowani o ryzyku, ale po prostu zostają zaskoczeni. Cyberprzestępcy regularnie zmieniają swoje taktyki, aby oszukiwać ludzi w nowy sposób. Możesz odebrać telefon w trakcie pracowitego dnia, kiedy najmniej spodziewasz się ataku vishingowego, albo osoba dzwoniąca może użyć informacji, które brzmią na tyle znajomo, że są przekonujące. Aby być czujnym i gotowym na takie połączenia, oto kilka rzeczy, o których należy pamiętać:

  • Zwróć uwagę na ton osoby dzwoniącej. Oszuści mogą również używać nieuprzejmego lub niecierpliwego tonu, aby sugerować pilność lub wzbudzać strach, co różni się od wyćwiczonych pracowników organizacji, którą rzekomo reprezentują.
  • Zachowaj spokój i weź głęboki oddech. Atakujący vishing wywołują fałszywe poczucie pilności, manipulując twoimi emocjami. Nie udostępniaj żadnych poufnych informacji przez telefon bez weryfikacji tożsamości osoby dzwoniącej. Możesz poszukać ich organizacji i zadzwonić bezpośrednio.
  • Trzymaj się na baczności, nawet jeśli osoba dzwoniąca ma pewne twoje informacje. Na przykład, mogą zebrać niektóre z twoich danych publicznie dostępnych w Internecie, takich jak twoje imię, lokalizacja czy adres IP.
  • Przesiewaj swoje połączenia za pomocą identyfikatora dzwoniącego i nie odbieraj nieznanych lub podejrzanych numerów. Poczekaj, aż osoba dzwoniąca zostawi ci wiadomość głosową, aby zdecydować, czy powinieneś oddzwonić. Pamiętaj, że wiele robocall'ów to oszustwa z rozpoznawalnym scenariuszem.
  • Psotkuj i po prostu się rozłącz, jeśli podejrzewasz, że to oszust.

Jak zgłosić vishing?

W USA skontaktuj się z FTC i FBI w celu zgłoszenia oszustw vishingowych lub z odpowiednią agencją ścigania w swoim kraju. Możesz również zadzwonić do organizacji, z której oszust próbował cię oszukać, na przykład skontaktować się z IRS, jeśli podejrzewasz, że jesteś celem oszustwa związanego z IRS. Jeśli osoba dzwoniąca twierdzi, że jest z określonej organizacji, znajdź oficjalny numer telefonu tej organizacji i zadzwoń bezpośrednio, aby zapytać o połączenia. 

Powiązane artykuły