Hvad er Vishing?
Vishing defineres som et cybersikkerhedsangreb, hvor en ondsindet enhed kontakter offeret via telefon og forsøger at vinde offerets tillid gennem social engineering-praksis for at få fat i fortrolige data, trække penge ud eller på anden måde skade personen.
Dette er i bund og grund en type phishing-angreb, der udføres via stemmemedier, og derfor kaldes det et vishing-angreb.
Vishing-angrebsmekanisme
Vishing tager normalt form af et presserende eller foruroligende telefonopkald. For eksempel kan den, der ringer op, hævde, at offerets konto er blevet hacket, og at de har brug for et PIN-nummer for at validere deres identitet eller genåbne kontoen.
De kan også påstå, at de ringer på vegne af en offentlig myndighed, f.eks. skattevæsenet (IRS) eller Social Security Administration. De kan endda insistere på, at offeret skylder penge eller har vundet en konkurrence.
Det er alle tilfælde af "vishing" (som nævnt et udtryk, der blander "voice" og "phishing" for at angive et telefonsvindel). Phishing er et udtryk, der bruges til at beskrive enhver indsats fra cyberkriminelle for at narre folk til at udlevere penge, personlige data eller hemmelige oplysninger. På samme måde kan e-mail og sms-systemer ("smishing") også bruges til at begå bedrageri.
Vishing er en cyberkriminalitet, hvor kriminelle bruger ofrenes telefoner til at udtrække oplysninger, der kan skade personen eller gavne gerningsmanden på en eller anden måde.
Cyber-svindlere bruger sofistikerede social engineering-teknikker til at overbevise ofrene om, at de skal udlevere personlige data og endda adgang til bankkonti eller forretningshemmeligheder. Ligesom smishing og phishing fokuserer vishing på at overbevise ofrene om, at det er den rette reaktion at efterkomme opkalderens krav. Opkaldere udgiver sig ofte for at være offentlige myndigheder, skattevæsenet, offerets finansielle institution eller politiet.
Denne taktiks succes afhænger af effektiv social engineering, dvs. udnyttelse af en persons psykologi til at skabe en overbevisende effekt. Vishing-gerningsmænd bruger trusler eller positiv overtalelse for at få ofrene til at føle, at de er nødt til at give de ønskede oplysninger. Ofrene kan også modtage truende talebeskeder, der fortæller dem, at de risikerer at blive retsforfulgt eller få indefrosset deres bankkonti, hvis de ikke ringer korrekt tilbage.
Hvordan fungerer vishing?
Phishing-angribere bruger ofte spoofing af opkalds-ID til at narre ofre til at tro, at et telefonopkald kommer fra en pålidelig virksomhed eller et lokalt kvarter.
De optræder ofte som pålidelige enheder for at narre ofrene til at dele deres data. De kan f.eks. udgive sig for at være fra en bank eller et kreditkortselskab, en kreditor eller en agent fra skattevæsenet. Svindlerne vil skabe en følelse af, at det haster, når offeret tager telefonen, for at udnytte deres følelser og tvinge dem til at reagere på krav.
Vishing kan antage mange former, men målet er altid det samme: at narre offeret til at afsløre personlige oplysninger, enten for at opnå økonomisk gevinst eller for at begå andre forbrydelser, f.eks. identitetstyveri.
En af grundene til, at disse angreb kan være overbevisende, er, at svindlere kan bruge personlige oplysninger fra andre kilder til at få vishing-forsøg til at se legitime ud.
De mest almindelige typer af vishing
1. Wardialing
2. VoIP-baserede angreb
3. Spoofing af opkalds-id
4. Afskrælning i containere
1. Wardialing
Wardialing bruger forskellige typer teknologier til automatisk at ringe op til et stort antal telefonnumre hurtigt efter hinanden, som regel for at opdage fejl i sikkerhed og IT-infrastruktur.
Hackere bruger ofte wardialing-værktøjer til at finde usikre modemer, nogle gange kendt som "wardialers" eller "demon dialers". Det tager meget lidt tid
at gøre det, hvis svindleren finder frem til listen over numre, der er forbundet med modemerne.
2. VoIP-baserede angreb
Overførsel af tale- og multimedieindhold via en internetforbindelse kaldes Voice over Internet Protocol (VoIP). Brugere kan foretage taleopkald ved hjælp af VoIP via deres computere, smartphones, andre digitale platforme som VoIP-telefoner og Web Real Time Communication (WebRTC)-aktiverede websteder.
VoIP er en fordelagtig teknologi for både privatpersoner og virksomheder, da den ofte indeholder ekstra funktioner, som man ikke ser i traditionelle telefonsystemer. Det er også nyttigt for virksomheder som et middel til at forene kommunikationen.
Desværre kan VoIP udnyttes af bedrageriske personer til at iværksætte vishing-angreb. Angriberen registrerer et domæne og opretter phishing-sider, der ligner organisationens netværkslogin-side. Resultatet er, at VoIP-opkald, der er igangsat af trusselsaktøren, ser ud til at stamme fra det samme netværk. Da VoIP ofte kræver multifaktorgodkendelse, kan den, der ringer op, desuden bede offeret om at besøge den falske side og dele sine oplysninger.
3. Spoofing af opkalds-id
Spoofing opstår, når en opkalder med vilje forfalsker de oplysninger, der sendes til skærmen for indgående opkald, for at skjule sin identitet. Svindlere bruger ofte "spoofing neighbour"-teknikken til at få opkalds-id'et til at se ud til at komme fra et lokalt nummer eller til at udgive sig for at være en virksomhed eller en offentlig institution, som offeret allerede stoler på.
Hvis et sådant opkald besvares, forsøger angriberen at stjæle penge eller kritiske data, som kan bruges til svigagtige aktiviteter. Scam-scripts er en vigtig del af spoofing-angreb med opkalds-id, da de yderligere forstærker troen på, at opkaldet er legitimt.
4. Afskrælning i containere
At rode i skraldespande - både fysiske og digitale - der tilhører banker, virksomhedsbygninger og andre institutioner, er en nem og populær måde at indsamle kontaktoplysninger på vishing-ofre.
Kriminelle kan samle nok information fra makulerede dokumenter, kasserede lagerenheder, gamle kalendere, fotokopier osv. til at udføre et emnefokuseret spear-phishing-angreb.
Forebyggelse af phishing-angreb: Otte bedste fremgangsmåder i 2022
Når en person først er blevet offer for et vishing-angreb, er det svært at vende effekten og få erstatning. Selv hvis politiet identificerer den skyldige, er det en udfordring at få erstatning. Derfor er det afgørende at tage proaktive skridt for at forhindre vishing-angreb ved at følge disse best practices:
God praksis for at forhindre vishing
1. Hav en VPN-forbindelse
Et virtuelt privat netværk (VPN) beskytter oplysninger, der deles over internettet, og gør det sværere for svindlere at få fat i dine kontaktoplysninger.
VPN'en krypterer netværkstrafikken og sender den gennem en sikker tunnel, før den når en VPN-server, der maskerer sin IP-adresse. Som følge heraf vil trusselsaktører ikke kende din placering, hvilket gør det vanskeligt at udføre social engineering-angreb. Det tiltænkte offer kan blot spørge den, der ringer, om deres placering for at tjekke, om opkaldet er legitimt.
2. Vær på udkig efter "presserende" opkald.
Når en opkalder skaber en følelse af, at det haster, bør du betragte det som et rødt flag. For eksempel kan opringere forsøge at overbevise offeret om, at det kan få negative konsekvenser, hvis de ikke udleverer deres bankoplysninger eller betaler en ubetalt regning med det samme.
Du kan lægge på eller bede om opkalderens kontaktoplysninger og sige, at du vil ringe tilbage senere. Hvis det er et fupnummer, vil den, der ringer op, som regel lægge mere pres på eller lægge på.
3. Brug værktøjer til blokering af robotopkald
Værktøjer til blokering af robotopkald, populært kaldet opkaldsfiltre, er computerprogrammer, der registrerer automatiserede opkald. Hvis en tredjepart har brugt wardialing-teknikker, vil robocall-blockeren identificere og blokere det med det samme.
4. Implementer interne processer
Hvem tager telefonen, når organisationens generelle nummer ringer? Kan den nemt ende i hænderne på den forkerte medarbejder?
At sende telefonen videre fra en bruger til en anden kan skabe forvirring og få medarbejdere i organisationen til at miste overblikket over, hvem der er i den anden ende af opkaldet.
At ansætte en dedikeret receptionist til at filtrere de dårlige fra de gode kan være nyttigt, når det er nødvendigt, og sikre, at alle medarbejdere tjekker, hvem der ringer, når de bliver stillet videre til en anden.
En anden mulighed er at skabe en proces, hvor modtageren bekræfter med "rekvirenten" direkte gennem en anden officiel kanal, før han afleverer telefonen.
5. Sørg for, at alle enheder har multifaktor-godkendelse.
Det er fint nok at bruge adgangskoder med høj sikkerhed, men multifaktorautentificering giver de ekstra lag af sikkerhed, der sikrer, at din konto ikke kan kompromitteres med en enkelt adgangskode.
Google meddelte, at multifaktorautentificering vil være obligatorisk for 150 millioner brugere i 2021 for at give et forbedret lag af sikkerhed mod trusler og dermed reducere antallet af kompromitterede konti med 50%.
Konklusion
Vishing er måske ikke en stor bekymring for din organisation, men det bør det være. Uanset hvor klog eller dygtig din virksomhed og dine kolleger er, er social engineering-taktikker stærke nok til at overraske enhver.
Nu hvor du kender til vishing, er det vigtigt, at du deler disse oplysninger med dine medarbejdere.
Fortæl dem, at det kan være forskellen mellem sikre data og risikoen for en cyberhændelse eller et databrud, hvis man udspørger den, der ringer op, og verificerer oplysningerne med nogen gennem officielle kanaler.
