Возможно, вы слышали об этом сценарии в новостях: кто-то получает срочный телефонный звонок от IRS с заявлением, что они должны большую сумму налога, и что, если они не заплатят немедленно, к ним придёт офицер. Попав в состояние паники, жертва вишинг-атаки немедленно отправляет электронный платёж. Когда жертва наконец осознает свою ошибку, уже слишком поздно — их финансовое учреждение сообщает им, что деньги ушли.
Что такое висинг-атака?
Вишинг — это фишинговая атака, при которой злоумышленник использует социальные инженерные тактики через голосовую связь, чтобы обмануть цель. Слово «вишинг» происходит от сочетания слов «голос» (voice) или «голос через интернет-протокол» (VoIP) и «фишинг». Мошенник может попытаться убедить цель отправить ему деньги или поделиться одним из следующих видов конфиденциальной информации:
- Имя
- Адрес
- Дата рождения
- Имя пользователя
- Пароли
- Информация о кредитной карте
- Банковские данные
- Номера, выдаваемые государством (например, номера социального страхования или социального страхования).
В чём разница между вишингом, смс-фишингом, QR-фишингом (quishing) и фишингом?
Вишинг, точно так же как и смс-фишинг и QR-фишинг, можно считать фишинговыми атаками. Все три типа атак отличаются только используемыми векторами угроз. Фишинг существует как минимум с появления электронной почты, и как вишинг, так и смс-фишинг являются комбинациями слова “фишинг” и метода коммуникации, который применяется. Вишинг (голосовой фишинг) осуществляется через голосовую связь, а смс-фишинг (SMS фишинг) использует SMS сообщения как средство атаки. QR-фишинг представляет собой фишинговую атаку с помощью поддельных QR-кодов.
Что такое атака социальной инженерии?
Различные формы фишинга, включая вишинг, могут использовать тактики социальной инженерии. В контексте кибербезопасности социальная инженерия — это манипуляция человеческими эмоциями для снижения рационального мышления цели, чтобы побудить её выполнить сомнительное действие. Давайте рассмотрим несколько способов, как социальная инженерия может усилить вишинг-атаку:
- Страх: во время мошенничества, связанного с IRS, мошенник может запугать цель, требуя заплатить фиктивные налоги под угрозой тюремного заключения.
- Жадность: Злоумышленник может сообщить цели о выигранной в лотерею сумме и попросить заплатить налоги и сборы заранее.
- Любовь: Кто-то из преступной группировки может выдать себя за романтического партнёра и попросить деньги на авиаперелёт или в случае чрезвычайной ситуации. Часто такие мошенничества начинаются в социальных сетях и затем перерастают в вишинг-атаки.
- Гнев: Мошенник может манипулировать гневом, прося пожертвовать на кампанию против непопулярного политического кандидата, например.
- Сострадание: Фальшивая благотворительная организация может обзванивать людей в надежде собрать деньги на бедствие, чрезвычайную ситуацию или другую казалось бы благородную цель. Аналогично, в классическом примере мошенничества с пожилыми людьми, мошенники могут привлекать пожилых людей, выдавая себя за родственников или знакомых по телефону.
Как осуществляется вишинг?
Вишинг работает, объединяя социальную инженерию и голосовые коммуникационные средства. Злоумышленник может использовать автонабиратели, международные телефонные номера или программное обеспечение голос через интернет-протокол (VOIP) для совершения атаки. Мошенники также могут отправлять мошеннические текстовые сообщения, которые направляют жертвам призывы перезвонить им по ссылкам или номерам телефонов. Вишинг может быть нацелен на отдельных людей и организации. Злоумышленник может использовать такую атаку для сбора разведывательной информации о компании, например.
Пример вишинг-атаки
К сожалению, каждый год множество людей становятся жертвами вишинга. Часто угроза задолженности государственному органу достаточно убедительна и устрашающа, чтобы жертвы заплатили. В США мошенники часто выдают себя за сотрудников Налогового управления (IRS), претендуя на сбор налогов и угрожая заключением в тюрьму, если жертва не выплатит то, что якобы должна.
То же самое происходит в Канаде, где некоторых канадцев "вишили" злоумышленники, выдающие себя за сотрудников Канадского налогового агентства (CRA). Один из пострадавших описал, как он почувствовал себя глупым за то, что попался на этот обман, и сказал, что это была одна из самых трудных частей всей ситуации для него.
Иногда вишинг-атаки заканчиваются неудачей для мошенников, например, когда Кениэль Аеон Томас из Ямайки выбрал неверную цель. Мошенник, вероятно, думал, что его ждет лёгкая добыча, когда 90-летний Уильям Вебстер взял трубку. Томас сообщил мистеру Вебстеру, что он и его жена Линда выиграли 15,5 миллионов долларов и Mercedes-Benz. Но прежде чем они смогли разделить приз, Вебстерам потребовалось бы отправить банковский перевод на 50 000 долларов, чтобы покрыть налоги. Однако, злоумышленник не знал, что Вебстер был бывшим директором ЦРУ, директором ФБР и федеральным судьей. Пара обратилась в ФБР, чтобы агент мог послушать разговоры, и в итоге мошенник попал за решётку благодаря оперативности Вебстеров.
К сожалению, большинство историй о вишинге не имеют такого исхода. До того, как Томас был осужден, он обманул 30 человек на сотни тысяч долларов. Вот почему важно распознать вишинг или мошеннические звонки, чтобы защитить себя, если вам позвонят.
Как остановить вишинг
Люди, которые становятся жертвами вишинга, могут быть осведомлены о риске, но их просто застают врасплох. Злоумышленники регулярно меняют свои тактики, чтобы обмануть людей новыми способами. Вы можете ответить на звонок в напряжённый день, когда вы меньше всего ожидаете вишинг-атаку, или звонивший может использовать информацию, которая звучит достаточно знакомо, чтобы быть убедительной. Чтобы быть настороже и готовыми, если получите один из этих звонков, запомните несколько советов:
- Обратите внимание на тон звонящего. Мошенники могут использовать невежливый или нетерпеливый тон, чтобы создать ощущение срочности или страха, в отличие от подготовленных сотрудников организаций, которые они якобы представляют.
- Оставайтесь спокойными и сделайте вдох. Вишинг-атаки создают ложное ощущение срочности, играя на ваших эмоциях. Не делитесь конфиденциальной информацией по телефону, не проверив личность звонящего. Вы можете зайти на их сайт и связаться непосредственно с организацией.
- Будьте на чеку, даже если звонящий знает какую-то вашу информацию. Например, они могли собрать из интернета часть ваших общедоступных данных, как ваше имя, местоположение или IP-адрес.
- Фильтруйте звонки с помощью идентификации вызываемого абонента и не отвечайте на неизвестные или подозрительные номера. Дождитесь, пока звонящий оставит вам голосовое сообщение, чтобы решить, стоит ли вам перезванивать. Помните, что многие мошеннические звонки следуют узнаваемому сценарию.
- Проявляйте осторожность и просто положите трубку, если подозреваете, что это мошенник.
Как подать жалобу на вишинг?
В США для сообщений о вишинг-атаках обращайтесь в FTC и FBI, или в соответствующий правоохранительный орган вашей страны. Вы также можете связаться с организацией, имя которой использует мошенник для манипуляции. Например, обратитесь в IRS, если подозреваете, что стали жертвой мошенничества с IRS. Если звонящий утверждает, что он из определенной организации, найдите официальный номер телефона этой организации и позвоните им напрямую, чтобы спросить о звонках.