Czym jest vishing?

Vishing, czyli głosowy phishing, to atak phishingowy, który wykorzystuje rozmowy telefoniczne do wyłudzania danych osobowych, poufnych i wrażliwych, często finansowych.

SKANOWANIE CYFROWEGO ŚLADU

Może słyszałeś o tym scenariuszu w wiadomościach: ktoś otrzymuje nagły telefon od agencji skarbowej (IRS) z informacją, że zalega z dużą kwotą podatków, i że oficer pojawi się pod drzwiami, jeśli nie zapłaci natychmiast. Ofiara wpadając w panikę, od razu wysyła elektroniczny przelew. Gdy w końcu uświadamia sobie swój błąd, jest już za późno — jej instytucja finansowa informuje, że pieniądze zniknęły.

Co to jest atak typu vishing?

Atak vishing to rodzaj ataku phishingowego, w którym aktor wykorzystujący zagrożenie stosuje taktyki inżynierii społecznej za pośrednictwem komunikacji głosowej, aby oszukać cel. Słowo "vishing" jest połączeniem słów "voice" lub "VoIP" (Voice over Internet Protocol) i "phishing". Oszust może próbować przekonać cel do przesłania mu pieniędzy lub udostępnienia dowolnych lub wszystkich następujących poufnych informacji:

  • Nazwa
  • Adres
  • Data urodzenia
  • Nazwy użytkowników
  • Hasła
  • Informacje o karcie kredytowej
  • Dane bankowe
  • Rządowe numery identyfikacyjne (np. Social Security lub Social Insurance)

Jaka jest różnica między vishingiem, smishingiem, quishingiem a phishingiem?

Vishing, podobnie jak smishing i quishing można uznać za ataki phishingowe. Wszystkie trzy rodzaje ataków różnią się jedynie wykorzystywanymi wektorami zagrożeń. Phishing istnieje co najmniej od wczesnych dni poczty elektronicznej, a zarówno vishing , jak i smishing są kombinacjami słowa "phishing" i używanej metody komunikacji. Vishing (phishing głosowy) odbywa się za pośrednictwem komunikacji głosowej, a smishing (phishing SMS) wykorzystuje wiadomości tekstowe SMS jako medium ataku. Quishing to atak phishingowy za pomocą fałszywych kodów QR.

Jak wygląda atak socjotechniczny?

Różne formy phishingu, w tym vishing, mogą stosować taktyki inżynierii społecznej. W kontekście cyberbezpieczeństwa, inżynieria społeczna to manipulacja emocjami ludzi w celu zmniejszenia ich racjonalnego myślenia, by skłonić ich do podejmowania wątpliwych działań. Przyjrzyjmy się, w jaki sposób inżynieria społeczna może wzmacniać atak vishingowy:

  • Strach: Podczas oszustwa związanego z agencją skarbową, oszust może zastraszyć ofiarę, aby zapłaciła fałszywe podatki, grożąc więzieniem.
  • Chciwość: Oszust może poinformować ofiarę o rzekomej wygranej na loterii i poprosić o wpłatę zaliczkową na podatki i opłaty.
  • Miłość: Ktoś z gangu przestępczego może podszywać się pod romantycznego partnera i poprosić o pieniądze na podróż lotniczą lub nagły wypadek. Takie oszustwa często zaczynają się na portalach społecznościowych, a następnie przeradzają się w ataki vishingowe.
  • Gniew: Oszust może manipulować gniewem, prosząc o darowizny przeciwko niepopularnemu kandydatowi politycznemu.
  • Współczucie: Fałszywa organizacja charytatywna może dzwonić do ludzi, licząc na zebranie pieniędzy na katastrofę, nagły wypadek lub inny z pozoru szlachetny cel. Podobnie, w klasycznym przykładzie oszustwa na starszych, oszuści mogą atakować osoby starsze, podszywając się pod ich krewnych lub znajomych przez telefon.

Jak przeprowadza się vishing?

Vishing działa poprzez połączenie inżynierii społecznej z narzędziami komunikacji głosowej. Atakujący może wykorzystywać połączenia robocall, międzynarodowe numery telefonów lub oprogramowanie Voice over Internet Protocol (VOIP) do przeprowadzenia ataku. Oszuści mogą również wysyłać fałszywe wiadomości tekstowe, które kierują ofiary do nich za pośrednictwem linków lub numerów telefonów. Vishing może być wymierzony w osoby fizyczne i organizacje. Podmiot stanowiący zagrożenie może na przykład wykorzystać taki atak do zebrania danych wywiadowczych od firmy.

Przykład ataku Vishing

Niestety, co roku wiele osób wpada w sidła oszustw vishingowych. Często groźba zalegania z płatnościami wobec rządowej agencji jest na tyle przekonująca i przerażająca, że ofiary płacą. W USA oszuści podający się za funkcjonariuszy Internal Revenue Service (IRS) często dzwonią, aby pobrać podatki, grożąc więzieniem, jeśli ofiara nie zapłaci rzekomo należnych kwot.

Podobna sytuacja ma miejsce w Kanadzie, gdzie wielu Kanadyjczyków padło ofiarą „visherów” podszywających się pod kanadyjską agencję dochodów (CRA). Jedna z ofiar tego oszustwa opisała, jak głupio się czuła, że dała się nabrać, i stwierdziła, że to była jedna z najtrudniejszych rzeczy w całej sytuacji.

Czasami ataki vishingowe mogą spektakularnie się nie udać, jak to było w przypadku Keniela Aeona Thomasa z Jamajki, który wybrał zły cel. Oszust prawdopodobnie uznał, że trafił na łatwego naiwniaka, gdy zadzwonił do 90-letniego Williama Webstera. Thomas powiedział panu Websterowi, że on i jego żona Lynda wygrali 15,5 miliona dolarów i Mercedesa. Ale zanim mógł przekazać im wygraną, Webstrowie musieli wysłać przelew bankowy na 50 000 dolarów, aby pokryć podatki. Mało wiedział ekstortionist, że Webster był byłym dyrektorem CIA, FBI i federalnym sędzią. Para skontaktowała się z FBI, żeby agent mógł posłuchać rozmów i ostatecznie oszust trafił do więzienia dzięki szybkiemu myśleniu Websterów.

Niestety, większość historii o vishingu nie kończy się tak dobrze. Zanim Thomas został skazany, oszukał 30 osób na setki tysięcy dolarów. Dlatego ważne jest, aby rozpoznać vishingowe lub oszustwo telefoniczne i chronić się przed nimi w przyszłości.

Jak zatrzymać vishing

Ludzie, którzy padają ofiarą ataków vishingowych, mogą być dobrze poinformowani o ryzyku, ale po prostu zostają zaskoczeni. Cyberprzestępcy regularnie zmieniają swoje taktyki, aby oszukiwać ludzi w nowy sposób. Możesz odebrać telefon w trakcie pracowitego dnia, kiedy najmniej spodziewasz się ataku vishingowego, albo osoba dzwoniąca może użyć informacji, które brzmią na tyle znajomo, że są przekonujące. Aby być czujnym i gotowym na takie połączenia, oto kilka rzeczy, o których należy pamiętać:

  • Zwróć uwagę na ton osoby dzwoniącej. Oszuści mogą również używać nieuprzejmego lub niecierpliwego tonu, aby sugerować pilność lub wzbudzać strach, co różni się od wyćwiczonych pracowników organizacji, którą rzekomo reprezentują.
  • Zachowaj spokój i weź głęboki oddech. Atakujący vishing wywołują fałszywe poczucie pilności, manipulując twoimi emocjami. Nie udostępniaj żadnych poufnych informacji przez telefon bez weryfikacji tożsamości osoby dzwoniącej. Możesz poszukać ich organizacji i zadzwonić bezpośrednio.
  • Zachowaj czujność, nawet jeśli dzwoniący posiada niektóre z Twoich informacji. Na przykład mógł on zebrać niektóre z publicznie dostępnych danych z Internetu, takich jak imię i nazwisko, lokalizacja lub adres IP.
  • Przesiewaj swoje połączenia za pomocą identyfikatora dzwoniącego i nie odbieraj nieznanych lub podejrzanych numerów. Poczekaj, aż osoba dzwoniąca zostawi ci wiadomość głosową, aby zdecydować, czy powinieneś oddzwonić. Pamiętaj, że wiele robocall'ów to oszustwa z rozpoznawalnym scenariuszem.
  • Psotkuj i po prostu się rozłącz, jeśli podejrzewasz, że to oszust.

Jak zgłosić vishing?

W USA skontaktuj się z FTC i FBI w celu zgłoszenia oszustw vishingowych lub z odpowiednią agencją ścigania w swoim kraju. Możesz również zadzwonić do organizacji, z której oszust próbował cię oszukać, na przykład skontaktować się z IRS, jeśli podejrzewasz, że jesteś celem oszustwa związanego z IRS. Jeśli osoba dzwoniąca twierdzi, że jest z określonej organizacji, znajdź oficjalny numer telefonu tej organizacji i zadzwoń bezpośrednio, aby zapytać o połączenia. 

Powiązane artykuły