Все мы слышали о фишинге, проверенном на практике мошенничестве с использованием электронной почты, при котором подделываются авторитетные источники, чтобы заставить получателей передать конфиденциальную информацию или загрузить вредоносное ПО.
Что ж, вишинг — это эквивалент фишингу, но с использованием голосового вызова. Это трюк с множеством вариантов, который может повлиять как на отдельных людей, так и на организации — с потенциально разрушительными последствиями.
В совокупности фишинг, смишинг, фарминг и вишинг обошлись более 241 тысяче жертв в более 54 миллионов долларов в 2020 году. И это только те случаи, о которых было сообщено в ФБР, поскольку о многих случаях мошенничества не сообщается.
Итак, как же работает вишинг, как он влияет на компании и частных лиц и как от него защититься?
Проблема социальной инженерии
Вишинг работает в потребительской и деловой сфере по одной очень веской причине: человеческая склонность к ошибкам. Социальная инженерия лежит в основе усилий плохих парней. По сути, это искусство убеждения. Социальная инженерия заключается в том, чтобы выдавать себя за доверенного лица — вашего банка, поставщика технологий, правительства, сотрудника службы поддержки ИТ — и создавать ощущение срочности или страха, которое перевешивает любые естественные осторожности или подозрения, которые могут быть у жертвы.
Эти методы используются в фишинговых электронных письмах и фальшивых текстовых сообщениях (известных как смишинг). Но, возможно, они наиболее эффективны, когда используются «вживую» по телефону. У «вишеров» есть несколько дополнительных инструментов и тактик, которые сделают их мошенничество более успешным, в том числе:
- Инструменты для подделки идентификатора вызывающего абонента, с помощью которых можно скрыть реальное местонахождение мошенника и даже выдать себя за номера телефонов доверенных организаций. Например, в прошлом году у клиентов отеля Ritz London были украдены их личные данные во время взлома роскошного отеля, и мошенники затем использовали эти данные для проведения убедительных атак социальной инженерии против жертв, подделав при этом официальный номер отеля.
- Многоканальное мошенничество, которое может начинаться с очень красивого текстового сообщения, фишингового письма или голосовой почты и побуждать пользователя позвонить по номеру. В этом случае жертва попадет прямо к мошеннику.
- Парсинг социальных сетей и исследования из открытых источников, которые могут предоставить мошеннику обширную информацию об их жертвах. Его можно использовать для нацеливания на конкретных лиц (например, корпоративных сотрудников с привилегированными учетными записями) и для придания легитимности мошенничеству — то есть владелец может повторить некоторые личные данные жертве, чтобы они могли раскрыть больше.
Влияние вишинга на работе
Вишинг, скорее всего, в корпоративном контексте будет использоваться для кражи привилегированных учетных данных. ФБР неоднократно предупреждало о таких атаках. Еще в августе 2020 года они подробно описывали сложную операцию, в ходе которой киберпреступники исследовали своих жертв, а затем звонили в службу поддержки ИТ-специалистов. Жертвам предлагалось заполнить данные для входа на ранее зарегистрированный фишинговый сайт, предназначенный для подделки страницы входа в VPN-сервис компании. Эти учетные данные затем использовались для доступа к базам данных компании для получения личной информации клиентов.
ФБР предупредило, что такие атаки стали более обычным явлением, отчасти из-за массового перехода на удаленную работу во время пандемии. Фактически, в январе 2021 года бюро было вынуждено объявить еще одно предупреждение об операции, в которой аналогичные методы использовались для получения доступа к корпоративной сети.
Печально известная брешь в Twitter, в ходе которой высокопоставленные сотрудники были обмануты и заставлены раскрыть их логины, показывает, что даже технически подкованные компании и пользователи могут стать жертвой. В этом случае доступ использовался для взлома учетных записей знаменитостей с целью распространения мошенничества с криптовалютой.
Как голосовой фишинг может поразить мою семью
К сожалению, мошенники «вишеры» также нацелены и на потребителей. В этих атаках конечная цель — заработать на вас деньги: либо путем прямого кражи информации о банковском счете или карте, либо путем обмана вас передать личную информацию и логины, которые они могут использовать для доступа к этим счетам.
Вот несколько типичных мошенничеств:
Мошенничество с техподдержкой
При мошенничестве с техподдержкой жертвам часто звонят те, кто притворяется их интернет-провайдером или известным поставщиком программного или аппаратного обеспечения. Они утверждают, что обнаружили несуществующую проблему с вашим компьютером, а затем запрашивают платеж (и данные вашей карты), чтобы исправить это, иногда загружая при этом вредоносное ПО. Эти мошенничества могут также начаться с того, что пользователю будет показано всплывающее окно, в котором его побуждают позвонить на номер горячей линии.
Вардилинг (Wardialing)
Это практика отправки автоматических сообщений голосовой почты большому количеству жертв, которая обычно пытается запугать их, чтобы они перезвонили — например, заявив, что у них есть неоплаченные налоговые счета или другие штрафы.
Телемаркетинг
Еще одна популярная тактика — позвонить и заявить, что получатель выиграл невероятный приз. Единственная загвоздка в том, что до того, как жертва получит свой приз, требуется предоплата.
Фишинг/смишинг
Как уже упоминалось, мошенничество может начаться с поддельного электронного письма или поддельного SMS, побуждающего пользователя позвонить по номеру. Популярным является электронное письмо от «Amazon», в котором утверждается, что с недавним заказом что-то не так. Звонок по номеру поставит жертву на линию с мошенником.
Как предотвратить вишинг
Хотя некоторые из этих мошенничеств становятся все более изощренными, вы можете многое сделать, чтобы снизить риск стать жертвой. Некоторые основные шаги включают в себя:
- Уберите свой номер из телефонного справочника, чтобы он не был общедоступным.
- Не вводите свой номер телефона в какие-либо онлайн-формы (например, при покупке в интернете).
- Остерегайтесь запросов на предоставление вашей банковской, личной или любой другой конфиденциальной информации по телефону.
- Соблюдайте осторожность — не общайтесь с нежелательными абонентами, особенно если они просят подтвердить конфиденциальные данные.
- Никогда не перезванивайте на номер, оставленный через голосовую почту. Всегда обращайтесь напрямую в организацию.
- Используйте многофакторную аутентификацию (MFA) для всех онлайн-аккаунтов.
- Убедитесь, что ваша электронная почта/веб-безопасность обновлены и включают функции защиты от фишинга.
.jpg)