Что такое вишинг?

Вишинг, или голосовой фишинг, - это фишинговая атака, в которой используются телефонные звонки, чтобы обманом заставить вас предоставить личную, конфиденциальную и чувствительную информацию, часто финансовые данные.

ЦИФРОВОЕ СКАНИРОВАНИЕ ОТПЕЧАТКОВ ПАЛЬЦЕВ

Возможно, вы слышали в новостях такой сценарий: кому-то срочно звонят из налоговой службы и сообщают, что он должен большую сумму неуплаченных налогов, и если он немедленно не заплатит, то к его двери придет офицер. Охваченный паникой, объект вишинговой атаки немедленно отправляет электронный платеж. Когда жертва в конце концов осознает свою ошибку, уже слишком поздно - финансовое учреждение сообщает ей, что деньги пропали.

Что такое вишинговая атака?

Вишинг-атака - это вид фишинговой атаки, в которой угрожающий субъект использует тактику социальной инженерии с помощью голосовой связи, чтобы обмануть цель. Слово "вишинг" - это сочетание слов "голос" или "VoIP" (Voice over Internet Protocol) и "фишинг". Мошенник может попытаться убедить цель отправить ему деньги или поделиться любой или всей следующей конфиденциальной информацией:

  • Имя
  • Адрес
  • Дата рождения
  • Имена пользователей
  • Пароли
  • Информация о кредитной карте
  • Банковские данные
  • Номера, выданные правительством (например, Social Security или Social Insurance).

В чем разница между вишингом, смишингом, квишингом и фишингом?

Вишинг, так же как и смишинг и квишинг, можно считать фишинговыми атаками. Все три типа атак различаются только векторами угроз, которые они используют. Фишинг существует, по крайней мере, с первых дней появления электронной почты, и вишинг, и смайлинг - это комбинации слова "фишинг" и используемого метода связи. Вишинг (голосовой фишинг) осуществляется посредством голосовой связи, а смишинг (SMS-фишинг) использует в качестве средства атаки текстовые SMS-сообщения. Квишинг - это фишинговая атака с помощью мошеннических QR-кодов.

Что такое атака с помощью социальной инженерии?

Различные формы фишинга, включая вишинг, могут использовать тактику социальной инженерии. С точки зрения кибербезопасности, социальная инженерия - это манипулирование человеческими эмоциями с целью снизить рациональное мышление цели, чтобы заставить ее выполнить сомнительное действие. Давайте рассмотрим некоторые способы, с помощью которых социальная инженерия может усилить вишинговую атаку:

  • Страх: во время аферы с налоговой службой мошенник может запугать клиента, заставив его заплатить фальшивые налоги угрозами тюремного заключения.
  • Жадность: плохой актер может рассказать о фальшивом выигрыше в лотерею и попросить заранее оплатить налоги и сборы.
  • Любовь: Кто-то из преступной группировки может выдать себя за романтического партнера и попросить денег на авиаперелет или на неотложные нужды. Часто такие мошенничества начинаются в социальных сетях, а затем перерастают в вишинг-атаки.
  • Гнев: Мошенник может манипулировать гневом, прося пожертвования, например, против непопулярного политического кандидата.
  • Сострадание: Фальшивая благотворительная организация может обзванивать людей, надеясь собрать деньги на ликвидацию последствий стихийного бедствия, чрезвычайной ситуации или на другое, казалось бы, благородное дело. Аналогичным образом, в классическом примере мошенничества с пожилыми людьми, мошенники могут нацелиться на пожилых людей, выдавая себя по телефону за их родственников или знакомых.

Как делается вишинг?

Вишинг работает за счет сочетания социальной инженерии и средств голосовой связи. Злоумышленники могут использовать робозвонки, международные телефонные номера или программное обеспечение для передачи голоса по интернет-протоколу (VOIP), чтобы начать атаку. Мошенники также могут рассылать мошеннические текстовые сообщения, в которых жертвы просят позвонить им по ссылкам или телефонным номерам. Вишинг может быть направлен как на частных лиц , так и на организации. Угрожающий субъект может использовать такую атаку, например, для сбора разведывательной информации в компании.

Пример вишинговой атаки

К сожалению, каждый год многие люди становятся жертвами вишинговых афер. Зачастую угроза выплаты долга государственному учреждению оказывается достаточно убедительной и пугающей, чтобы жертва заплатила. В США вишинговые мошенники часто выдают себя за сотрудников Налоговой службы (IRS), которые звонят, чтобы собрать налоги, и угрожают тюремным заключением, если жертва не заплатит то, что она якобы должна.

То же самое происходит и в Канаде, где несколько канадцев стали жертвами угроз, выдающих себя за сотрудников Канадского налогового агентства (CRA). Один из пострадавших от этой аферы рассказал, что чувствовал себя очень глупо из-за того, что попался на эту удочку, и сказал, что это была одна из самых тяжелых частей всей ситуации для него.

Иногда вишинговые атаки могут дать обратный эффект, как в случае с Кениэлем Эоном Томасом из Ямайки, который выбрал не ту цель. Мошенник, вероятно, решил, что у него есть легкая добыча, когда трубку взял 90-летний Уильям Вебстер. Томас сообщил мистеру Вебстеру, что он и его жена Линда выиграли 15,5 миллиона долларов и автомобиль Mercedez-Benz. Но прежде чем он сможет поделиться с ними выигрышем, Вебстерам нужно будет отправить банковский перевод на 50 000 долларов, чтобы покрыть налоги. Вымогатель не знал, что Вебстер - бывший директор ЦРУ, директор ФБР и федеральный судья. Пара связалась с ФБР, чтобы агент мог прослушать звонки, и в итоге мошенник отбыл срок благодаря быстроте мышления Вебстеров.

К сожалению, большинство историй о вишинге заканчиваются не так хорошо. До того как Томасу вынесли приговор, он обманул 30 человек на сотни тысяч долларов. Вот почему важно распознавать попытки вишинга или мошеннических звонков, чтобы защитить себя в случае следующего звонка.

Как остановить вишинг

Люди, ставшие жертвами вишинговых атак, могут быть хорошо осведомлены о риске, но их просто застали врасплох. Угрожающие лица регулярно меняют свою тактику, пытаясь обмануть людей новыми способами. Вы можете ответить на звонок в напряженный день, когда меньше всего ожидаете вишинговой атаки, или же звонящий может использовать информацию, которая звучит достаточно знакомо, чтобы быть убедительной. Чтобы не терять бдительности и быть готовым к тому, что вам позвонят, запомните несколько моментов:

  • Обратите внимание на тон звонящего. Мошенники могут также использовать невежливый или нетерпеливый тон, чтобы создать впечатление срочности или вызвать страх, в отличие от обученных сотрудников организации, которую они якобы представляют.
  • Сохраняйте спокойствие и сделайте вдох. Вишинговые злоумышленники создают ложное ощущение срочности, используя ваши эмоции. Не сообщайте по телефону никакой конфиденциальной информации, не проверив личность звонящего. Вы можете найти их организацию и позвонить им напрямую.
  • Не теряйте бдительности, даже если звонящий располагает некоторыми вашими данными. Например, он мог получить некоторые общедоступные данные из Интернета, такие как ваше имя, местоположение или IP-адрес.
  • Проверяйте звонки с помощью определителя номера и не отвечайте на незнакомые или подозрительные номера. Подождите, пока абонент оставит вам голосовое сообщение, чтобы решить, стоит ли перезванивать. Помните, что многие мошеннические робозвонки действуют по узнаваемому сценарию.
  • Проявите осторожность и просто повесьте трубку, если подозреваете, что это мошенник.

Как сообщить о вишинге?

В США обратитесь в FTC и ФБР, чтобы сообщить о вишинговых аферах, или в соответствующее правоохранительное ведомство в вашей стране. Вы также можете позвонить в организацию, которую использует мошенник, пытаясь манипулировать вами, например, обратиться в налоговую службу, если вы подозреваете, что стали жертвой мошенничества со стороны налоговой службы. Если звонящий говорит, что он работает в определенной организации, найдите официальный номер телефона этой организации и позвоните туда напрямую, чтобы спросить о звонках. 

Похожие статьи