Co je to Vishing?
Vishing je definován jako kybernetický bezpečnostní útok, při kterém škodlivý subjekt kontaktuje oběť telefonicky a pokouší se získat její důvěru pomocí praktik sociálního inženýrství s cílem získat důvěrné údaje, získat finanční prostředky nebo jinak poškodit jednotlivce.
Jedná se v podstatě o typ phishingového útoku prováděného prostřednictvím hlasových médií, proto se mu říká vishingový útok.
Mechanismus útoku Vishing
Vishing má obvykle podobu naléhavého nebo znepokojivého telefonátu. Volající může například tvrdit, že účet oběti byl napaden hackerem a že potřebuje číslo PIN k ověření totožnosti nebo k opětovnému otevření účtu.
Mohou také tvrdit, že volají jménem vládního úřadu, například daňového úřadu (IRS) nebo správy sociálního zabezpečení. Mohou dokonce trvat na tom, že oběť dluží peníze nebo vyhrála v soutěži.
Ve všech těchto případech se jedná o "vishing" (jak již bylo řečeno, jde o spojení slov "voice" a "phishing", které označuje telefonický podvod). Phishing je termín, který se používá k označení jakékoli snahy kyberzločinců vylákat od lidí peníze, osobní údaje nebo tajné informace. Podobně lze k podvodu využít i e-mail a systémy krátkých zpráv nebo textových zpráv ("smishing").
Vishing je kybernetický trestný čin, při kterém pachatelé využívají telefony obětí k získání informací, které by dotyčnou osobu poškodily nebo z nich měl pachatel nějaký prospěch.
Kybernetičtí podvodníci používají důmyslné techniky sociálního inženýrství, aby přesvědčili oběti k poskytnutí osobních údajů a dokonce i přístupu k bankovním účtům nebo obchodním tajemstvím. Stejně jako smishing a phishing se vishing zaměřuje na přesvědčení obětí, že vyhovět požadavkům volajícího je správná reakce. Volající se často vydávají za státní orgány, finanční úřad, finanční instituci oběti nebo policii.
Úspěch této taktiky závisí na účinném sociálním inženýrství, tj. využití psychologie člověka k vytvoření přesvědčivého efektu. Pachatelé vishingu používají hrozby nebo pozitivní přesvědčování, aby v oběti vyvolali pocit, že musí poskytnout požadované informace. Oběti mohou také obdržet výhružné hlasové zprávy, které jim sdělují, že pokud nezavolají správně, hrozí jim trestní stíhání nebo zmrazení bankovních účtů.
Jak funguje vishing?
Phishingoví útočníci často používají podvržené ID volajícího, aby oběti přesvědčili, že telefonní hovor přichází z důvěryhodné firmy nebo z místní čtvrti.
Často vystupují jako důvěryhodné subjekty, aby oběti přiměly ke sdílení jejich údajů. Mohou se například vydávat za vedoucího pracovníka banky nebo agentury vydávající kreditní karty, věřitele nebo pracovníka finančního úřadu. Tito podvodníci vytvoří pocit naléhavosti, když zamýšlená oběť zvedne telefon, aby se přiživili na jejích pocitech a donutili ji reagovat na požadavky.
Vishing může mít mnoho podob, ale cíl je vždy stejný: vylákat od oběti osobní údaje, a to buď za účelem finančního zisku, nebo spáchání jiných trestných činů, například krádeže identity.
Jedním z důvodů, proč mohou být tyto útoky přesvědčivé, je to, že podvodníci mohou použít osobní údaje získané z jiných zdrojů, aby pokusy o vishing vypadaly legitimně.
Nejčastější typy vishingu
1. Vytáčení
2. Útoky založené na VoIP
3. Podvržení ID volajícího
4. Odstraňování odpadků v kontejnerech
1. Vytáčení
Wardialing využívá různé typy technologií k automatickému vytáčení velkého počtu telefonních čísel v rychlém sledu za sebou, obvykle za účelem odhalení nedostatků v zabezpečení a IT infrastruktuře.
Hackeři často používají k vyhledávání nezabezpečených modemů nástroje pro vytáčení, někdy označované jako "wardialery" nebo "démonické dialery". Zabere to jen velmi málo času
pokud podvodník najde seznam čísel, která jsou připojena k modemům.
2. Útoky založené na VoIP
Přenos hlasu a multimediálního obsahu prostřednictvím internetového připojení se nazývá Voice over Internet Protocol (VoIP). Uživatelé mohou uskutečňovat hlasové hovory pomocí VoIP prostřednictvím svých počítačů, chytrých telefonů a dalších digitálních platforem, jako jsou telefony VoIP a weby s podporou webové komunikace v reálném čase (WebRTC).
VoIP je výhodná technologie pro jednotlivce i podniky, protože často obsahuje další funkce, které nejsou v tradičních telefonních systémech k dispozici. Pro podniky je užitečná také jako prostředek ke sjednocení komunikace.
Bohužel VoIP mohou zneužít podvodníci k útokům typu vishing. Útočník si zaregistruje doménu a vytvoří podvodné stránky, které se podobají přihlašovací stránce do sítě organizace. Výsledkem je, že hovory VoIP iniciované aktérem hrozby vypadají, že pocházejí ze stejné sítě. Protože VoIP navíc často vyžaduje vícefaktorové ověření, může volající požádat oběť, aby navštívila podvodnou stránku a sdělila své údaje.
3. Podvržení ID volajícího
Ke spoofingu dochází, když volající záměrně zfalšuje informace odeslané na obrazovku příchozího hovoru, aby skryl svou identitu. Podvodníci často používají techniku "spoofing neighbor", aby se ID volajícího tvářilo, že pochází z místního čísla, nebo aby se vydávali za společnost či státní instituci, které oběť již důvěřuje.
Pokud je takový hovor přijat, útočník se pokusí ukrást finanční prostředky nebo kritická data, která mohou být použita k podvodným aktivitám. Podvodné skripty jsou důležitou součástí útoků na podvržení ID volajícího, protože dále posilují přesvědčení, že volající je legitimní.
4. Odstraňování odpadků v kontejnerech
Prohledávání odpadkových košů - fyzických i digitálních - patřících bankám, firemním budovám a dalším institucím je snadným a oblíbeným způsobem sběru kontaktních údajů obětí vishingu.
Zločinci mohou ze skartovaných dokumentů, vyřazených úložných zařízení, starých kalendářů, fotokopií atd. získat dostatek informací k provedení útoku typu spear-phishing zaměřeného na konkrétní subjekt.
Prevence phishingových útoků: osm osvědčených postupů pro rok 2022
Jakmile se člověk stane obětí vishingového útoku, je obtížné zvrátit jeho účinky a vymáhat škody. I když orgány činné v trestním řízení odhalí pachatele, je vymáhání škody obtížné. Proto je zásadní podniknout proaktivní kroky k prevenci vishingových útoků dodržováním těchto osvědčených postupů:
Správné postupy pro prevenci vishingu
1. Mějte připojení k síti VPN
Virtuální privátní síť (VPN) chrání informace sdílené přes internet a ztěžuje podvodníkům přístup k vašim kontaktním údajům.
VPN šifruje síťový provoz a posílá jej zabezpečeným tunelem, než se dostane na server VPN, který maskuje svou IP adresu. Díky tomu aktéři hrozeb nebudou znát vaši polohu, což ztíží provádění útoků sociálního inženýrství. Zamýšlená oběť se může jednoduše zeptat volajícího na jeho polohu a ověřit, zda je hovor legitimní.
2. Dávejte si pozor na "naléhavé" hovory.
Pokud volající vyvolává pocit naléhavosti, měli byste to považovat za varovný signál. Návštěvníci se mohou například snažit oběť přesvědčit, že pokud skutečně nepředá své bankovní údaje nebo okamžitě nezaplatí nezaplacený účet, může to mít negativní důsledky.
Můžete zavěsit nebo požádat volajícího o kontaktní údaje a říct mu, že zavoláte později. Pokud se jedná o podvod, volající obvykle vyvine větší tlak nebo zavěsí.
3. Používejte nástroje pro blokování robotických hovorů
Nástroje pro blokování robotických hovorů, známé jako filtry hovorů, jsou počítačové programy, které detekují automatické hovory. Pokud subjekt třetí strany použil techniku skrytého volání, blokátor robocallů ji identifikuje a okamžitě zablokuje.
4. Zavedení interních procesů
Kdo zvedne telefon, když zazvoní obecné číslo organizace? Mohl by se snadno dostat do rukou nesprávného zaměstnance?
Předávání telefonu z jednoho uživatele na druhého může způsobit zmatek a způsobit, že zaměstnanci v organizaci ztratí přehled o tom, kdo je na druhém konci hovoru.
V případě potřeby může být užitečné najmout specializovaného recepčního, který odfiltruje špatné od dobrých a zajistí, že všichni zaměstnanci zkontrolují, kdo volá, když předávají hovor někomu jinému.
Další možností je vytvořit proces, kdy příjemce před předáním telefonu potvrdí "žadatele" přímo jiným oficiálním kanálem.
5. Zajistěte, aby všechna zařízení měla vícefaktorové ověřování.
Používání hesel s vysokým stupněm zabezpečení je velmi dobré, ale vícefaktorové ověřování poskytuje další úrovně zabezpečení, které zajistí, že váš účet nebude možné kompromitovat jediným heslem.
Společnost Google oznámila, že vícefaktorové ověřování bude do roku 2021 povinné pro 150 milionů uživatelů, aby poskytla vyšší úroveň zabezpečení proti hrozbám a snížila tak počet kompromitovaných účtů o 50%.
Závěr
Vishing nemusí být pro vaši organizaci hlavním problémem, ale měl by být. Bez ohledu na to, jak chytrá nebo schopná je vaše společnost a vaši kolegové, taktiky sociálního inženýrství jsou dostatečně silné na to, aby zaskočily každého.
Nyní, když víte o vishingu, je důležité, abyste tyto informace sdělili svým zaměstnancům.
Upozorněte je, že dotaz na volajícího a ověření informací oficiální cestou může znamenat rozdíl mezi bezpečnými daty a rizikem kybernetického incidentu nebo úniku dat.
