Τι είναι το Vishing; Ορισμός, μέθοδοι και βέλτιστες πρακτικές πρόληψης

Τι είναι το Vishing;

Το Vishing ορίζεται ως μια επίθεση κυβερνοασφάλειας κατά την οποία μια κακόβουλη οντότητα επικοινωνεί με το θύμα μέσω τηλεφώνου και προσπαθεί να κερδίσει την εμπιστοσύνη του θύματος μέσω πρακτικών κοινωνικής μηχανικής για να αποκτήσει εμπιστευτικά δεδομένα, να αποσπάσει χρήματα ή να βλάψει με άλλο τρόπο το άτομο.

Πρόκειται ουσιαστικά για ένα είδος επίθεσης phishing που πραγματοποιείται μέσω φωνητικών μέσων, γι' αυτό και ονομάζεται vishing attack.

Μηχανισμός επίθεσης Vishing

Το Vishing έχει συνήθως τη μορφή επείγοντος ή ενοχλητικού τηλεφωνήματος. Για παράδειγμα, ο καλών μπορεί να ισχυριστεί ότι ο λογαριασμός του θύματος έχει παραβιαστεί και ότι χρειάζεται έναν αριθμό PIN για να επικυρώσει την ταυτότητά του ή να ανοίξει εκ νέου τον λογαριασμό.

Μπορεί επίσης να ισχυριστούν ότι τηλεφωνούν για λογαριασμό μιας κυβερνητικής υπηρεσίας, όπως η Υπηρεσία Εσωτερικών Εσόδων (IRS) ή η Διοίκηση Κοινωνικής Ασφάλισης. Μπορεί ακόμη και να επιμείνουν ότι το θύμα οφείλει χρήματα ή ότι έχει κερδίσει έναν διαγωνισμό.

Όλες αυτές είναι περιπτώσεις "vishing" (όπως συζητήθηκε, μια φράση που συνδυάζει τη "φωνή" και το "phishing" για να υποδηλώσει μια τηλεφωνική απάτη). Ο όρος "ψάρεμα" χρησιμοποιείται για να περιγράψει οποιαδήποτε προσπάθεια των κυβερνοεγκληματιών να εξαπατήσουν τους ανθρώπους ώστε να παραδώσουν χρήματα, προσωπικά δεδομένα ή μυστικές πληροφορίες. Ομοίως, το ηλεκτρονικό ταχυδρομείο και τα συστήματα σύντομων μηνυμάτων ή γραπτών μηνυμάτων ("smishing") μπορούν επίσης να χρησιμοποιηθούν για τη διάπραξη απάτης.

Το Vishing είναι ένα έγκλημα στον κυβερνοχώρο κατά το οποίο οι εγκληματίες χρησιμοποιούν τα τηλέφωνα των θυμάτων για να αποσπάσουν πληροφορίες που θα βλάψουν το άτομο ή θα ωφελήσουν τον δράστη με κάποιο τρόπο.

Οι επιτήδειοι χρησιμοποιούν εξελιγμένες τεχνικές κοινωνικής μηχανικής για να πείσουν τα θύματα να παράσχουν προσωπικά δεδομένα, ακόμη και πρόσβαση σε τραπεζικούς λογαριασμούς ή εμπορικά μυστικά. Όπως το smishing και το phishing, το vishing επικεντρώνεται στο να πείσει τα θύματα ότι η αποδοχή των απαιτήσεων του καλούντος είναι η κατάλληλη απάντηση. Οι καλούντες συχνά παριστάνουν τις κυβερνητικές αρχές, την εφορία, το χρηματοπιστωτικό ίδρυμα του θύματος ή την αστυνομία.

Η επιτυχία αυτής της τακτικής εξαρτάται από την αποτελεσματική κοινωνική μηχανική, δηλαδή από την εκμετάλλευση της ψυχολογίας ενός ατόμου για τη δημιουργία ενός πειστικού αποτελέσματος. Οι δράστες του Vishing χρησιμοποιούν απειλές ή θετική πειθώ για να κάνουν τα θύματα να αισθανθούν ότι πρέπει να παράσχουν τις ζητούμενες πληροφορίες. Τα θύματα μπορεί επίσης να λάβουν απειλητικά φωνητικά μηνύματα που τους λένε ότι κινδυνεύουν με ποινική δίωξη ή με δέσμευση των τραπεζικών τους λογαριασμών εάν δεν καλέσουν σωστά.

Πώς λειτουργεί το vishing;

Οι επιτιθέμενοι phishing χρησιμοποιούν συχνά παραποίηση της ταυτότητας καλούντος για να ξεγελάσουν τα θύματα και να τους κάνουν να πιστέψουν ότι μια κλήση προέρχεται από μια αξιόπιστη επιχείρηση ή από έναν τοπικό κωδικό της γειτονιάς.

Συχνά ενεργούν ως αξιόπιστες οντότητες για να εξαπατήσουν τα θύματα ώστε να μοιραστούν τα δεδομένα τους. Για παράδειγμα, μπορεί να παριστάνουν το στέλεχος μιας τράπεζας ή ενός οργανισμού πιστωτικών καρτών, έναν πιστωτή ή έναν πράκτορα της IRS. Αυτοί οι απατεώνες θα δημιουργήσουν μια αίσθηση επείγοντος όταν το υποψήφιο θύμα απαντήσει στο τηλέφωνο για να εκμεταλλευτούν τα συναισθήματά του και να το αναγκάσουν να ανταποκριθεί σε απαιτήσεις.

Το Vishing μπορεί να πάρει πολλές μορφές, αλλά ο στόχος είναι πάντα ο ίδιος: να εξαπατήσει το θύμα ώστε να αποκαλύψει προσωπικές πληροφορίες, είτε για χρηματικό κέρδος είτε για τη διάπραξη άλλων εγκλημάτων, όπως η κλοπή ταυτότητας.

Ένας από τους λόγους για τους οποίους αυτές οι επιθέσεις μπορεί να είναι πειστικές είναι ότι οι απατεώνες μπορούν να χρησιμοποιήσουν προσωπικές πληροφορίες που έχουν ληφθεί από άλλες πηγές για να κάνουν τις προσπάθειες vishing να φαίνονται νόμιμες.

Οι πιο συνηθισμένοι τύποι vishing

1. Επιλογή καρτών

2. Επιθέσεις με βάση το VoIP

3. Παραποίηση ταυτότητας καλούντος

4. Απορρύπανση σε εμπορευματοκιβώτια

1. Επιλογή καρτών

Το Wardialing χρησιμοποιεί διάφορους τύπους τεχνολογιών για την αυτόματη κλήση ενός μεγάλου αριθμού τηλεφωνικών αριθμών σε ταχεία διαδοχή, συνήθως για την ανακάλυψη αδυναμιών στην ασφάλεια και την υποδομή πληροφορικής.

Οι χάκερς χρησιμοποιούν συχνά εργαλεία wardialing για να βρουν μη ασφαλή μόντεμ, τα οποία μερικές φορές είναι γνωστά ως "wardialers" ή "demon dialers". Χρειάζεται πολύ λίγος χρόνος

να το πράξει εάν ο απατεώνας εντοπίσει τον κατάλογο των αριθμών που είναι συνδεδεμένοι στα μόντεμ.

2. Επιθέσεις με βάση το VoIP

Η μεταφορά φωνής και περιεχομένου πολυμέσων μέσω σύνδεσης στο Διαδίκτυο είναι γνωστή ως φωνή μέσω πρωτοκόλλου Διαδικτύου (VoIP). Οι χρήστες μπορούν να πραγματοποιούν φωνητικές κλήσεις χρησιμοποιώντας VoIP μέσω των υπολογιστών τους, των smartphones, άλλων ψηφιακών πλατφορμών, όπως τα τηλέφωνα VoIP και οι ιστότοποι με δυνατότητα επικοινωνίας σε πραγματικό χρόνο μέσω Web (WebRTC).

Το VoIP είναι μια ευεργετική τεχνολογία τόσο για τους ιδιώτες όσο και για τις επιχειρήσεις, καθώς συχνά περιέχει πρόσθετες δυνατότητες που δεν εμφανίζονται στα παραδοσιακά τηλεφωνικά συστήματα. Είναι επίσης χρήσιμο για τις επιχειρήσεις ως μέσο ενοποίησης των επικοινωνιών.

Δυστυχώς, το VoIP μπορεί να αξιοποιηθεί από δόλια άτομα για να ξεκινήσουν επιθέσεις vishing. Ο επιτιθέμενος καταχωρεί έναν τομέα και δημιουργεί σελίδες phishing που μοιάζουν με τη σελίδα σύνδεσης στο δίκτυο του οργανισμού. Ως αποτέλεσμα, οι κλήσεις VoIP που ξεκινούν από τον δράστη της απειλής φαίνεται να προέρχονται από το ίδιο δίκτυο. Επιπλέον, δεδομένου ότι το VoIP απαιτεί συχνά έλεγχο ταυτότητας πολλαπλών παραγόντων, ο καλούντας μπορεί να ζητήσει από το θύμα να επισκεφθεί την απατηλή σελίδα και να μοιραστεί τα στοιχεία του.

3. Παραποίηση ταυτότητας καλούντος

Η πλαστογράφηση συμβαίνει όταν ένας καλούντας παραποιεί σκόπιμα τις πληροφορίες που αποστέλλονται στην οθόνη εισερχόμενης κλήσης για να αποκρύψει την ταυτότητά του. Οι απατεώνες χρησιμοποιούν συχνά την τεχνική "spoofing neighbor" για να κάνουν το αναγνωριστικό κλήσης να φαίνεται ότι προέρχεται από έναν τοπικό αριθμό ή για να υποδυθούν μια εταιρεία ή έναν κυβερνητικό οργανισμό που το θύμα ήδη εμπιστεύεται.

Εάν μια τέτοια κλήση απαντηθεί, ο επιτιθέμενος επιχειρεί να κλέψει χρήματα ή κρίσιμα δεδομένα, τα οποία μπορούν να χρησιμοποιηθούν σε δόλιες δραστηριότητες. Τα σενάρια απάτης αποτελούν σημαντικό μέρος των επιθέσεων αλλοίωσης της ταυτότητας καλούντος, καθώς ενισχύουν περαιτέρω την πεποίθηση ότι ο καλών είναι νόμιμος.

4. Απορρύπανση σε εμπορευματοκιβώτια

Το ψάξιμο σε κάδους απορριμμάτων - φυσικούς και ψηφιακούς - που ανήκουν σε τράπεζες, εταιρικά κτίρια και άλλα ιδρύματα είναι ένα εύκολο και δημοφιλές μέσο συλλογής των στοιχείων επικοινωνίας των θυμάτων του vishing.

Οι εγκληματίες μπορούν να συλλέξουν αρκετές πληροφορίες από καταστραμμένα έγγραφα, πεταμένες συσκευές αποθήκευσης, παλιά ημερολόγια, φωτοτυπίες κ.λπ., για να πραγματοποιήσουν μια επίθεση spear-phishing με επίκεντρο το θέμα.

Πρόληψη επιθέσεων phishing: Οκτώ βέλτιστες πρακτικές για το 2022

Μόλις κάποιος πέσει θύμα μιας επίθεσης vishing, είναι δύσκολο να αντιστρέψει τις επιπτώσεις της και να ανακτήσει τις ζημίες. Ακόμη και αν η επιβολή του νόμου εντοπίσει τον ένοχο, η ανάκτηση των ζημιών αποτελεί πρόκληση. Γι' αυτό είναι ζωτικής σημασίας να λαμβάνετε προληπτικά μέτρα για την πρόληψη των επιθέσεων vishing, ακολουθώντας αυτές τις βέλτιστες πρακτικές:

Καλές πρακτικές για την πρόληψη του vishing

1. Έχετε σύνδεση VPN

Ένα εικονικό ιδιωτικό δίκτυο (VPN) προστατεύει τις πληροφορίες που μοιράζονται μέσω του Διαδικτύου και δυσκολεύει τους απατεώνες να αποκτήσουν τα στοιχεία επικοινωνίας σας.

Το VPN θα κρυπτογραφήσει την κυκλοφορία του δικτύου και θα την στείλει μέσω μιας ασφαλούς σήραγγας πριν φτάσει σε έναν διακομιστή VPN που καλύπτει τη διεύθυνση IP του. Ως αποτέλεσμα, οι φορείς απειλών δεν θα γνωρίζουν την τοποθεσία σας, καθιστώντας δύσκολη την εκτέλεση επιθέσεων κοινωνικής μηχανικής. Το προοριζόμενο θύμα μπορεί απλώς να ρωτήσει τον καλούντα για την τοποθεσία του για να ελέγξει αν η κλήση είναι νόμιμη.

2. Να είστε σε επιφυλακή για "επείγουσες" κλήσεις. 

Όταν ένας καλούντας δημιουργεί την αίσθηση του επείγοντος, θα πρέπει να το θεωρείτε κόκκινο πανί. Για παράδειγμα, οι βίζιτες μπορεί να προσπαθήσουν να πείσουν το θύμα ότι μπορεί να υπάρξουν αρνητικές συνέπειες εάν δεν παραδώσει πράγματι τα τραπεζικά του στοιχεία ή δεν πληρώσει αμέσως έναν απλήρωτο λογαριασμό.

Μπορείτε να κλείσετε το τηλέφωνο ή να ζητήσετε τα στοιχεία επικοινωνίας του καλούντος και να του πείτε ότι θα τον καλέσετε αργότερα. Εάν πρόκειται για απάτη, ο καλών συνήθως θα ασκήσει μεγαλύτερη πίεση ή θα κλείσει το τηλέφωνο.

3. Χρήση εργαλείων αποκλεισμού ρομποκλήσεων 

Τα εργαλεία αποκλεισμού ρομποκλήσεων, ευρέως γνωστά ως φίλτρα κλήσεων, είναι προγράμματα υπολογιστών που ανιχνεύουν αυτοματοποιημένες κλήσεις. Εάν μια τρίτη οντότητα έχει χρησιμοποιήσει τεχνικές προειδοποίησης, το πρόγραμμα αποκλεισμού ρομποκλήσεων θα το εντοπίσει και θα το αποκλείσει αμέσως.

4. Εφαρμογή εσωτερικών διαδικασιών

Ποιος σηκώνει το τηλέφωνο όταν χτυπάει ο γενικός αριθμός του οργανισμού; Μπορεί εύκολα να καταλήξει σε λάθος υπάλληλο;

Η μεταβίβαση του τηλεφώνου από τον έναν χρήστη στον άλλο μπορεί να δημιουργήσει σύγχυση και να οδηγήσει τους υπαλλήλους του οργανισμού στο να χάσουν από τα μάτια τους ποιος βρίσκεται στην άλλη άκρη της κλήσης.

Η πρόσληψη ενός αποκλειστικού υπαλλήλου υποδοχής για να φιλτράρει τους κακούς από τους καλούς μπορεί να είναι χρήσιμη όταν είναι απαραίτητο και να διασφαλίζει ότι όλοι οι εργαζόμενοι ελέγχουν ποιος καλεί όταν μεταβιβάζουν σε κάποιον άλλο.

Μια άλλη επιλογή είναι η δημιουργία μιας διαδικασίας όπου ο παραλήπτης επιβεβαιώνει με τον "αιτούντα" απευθείας μέσω άλλου επίσημου καναλιού πριν παραδώσει το τηλέφωνο.

5. Βεβαιωθείτε ότι όλες οι συσκευές διαθέτουν έλεγχο ταυτότητας πολλαπλών παραγόντων.

Η χρήση κωδικών πρόσβασης υψηλής ασφάλειας είναι μια χαρά, αλλά ο έλεγχος ταυτότητας πολλαπλών παραγόντων παρέχει αυτά τα επιπλέον επίπεδα ασφάλειας που διασφαλίζουν ότι ο λογαριασμός σας δεν μπορεί να παραβιαστεί με έναν μόνο κωδικό πρόσβασης.

Η Google ανακοίνωσε ότι ο έλεγχος ταυτότητας πολλαπλών παραγόντων θα είναι υποχρεωτικός για 150 εκατομμύρια χρήστες έως το 2021, προκειμένου να παρέχει ένα ενισχυμένο επίπεδο ασφάλειας έναντι απειλών και να μειώσει έτσι τον αριθμό των λογαριασμών που έχουν παραβιαστεί κατά 50%.

Συμπέρασμα

Το Vishing μπορεί να μην αποτελεί σημαντικό πρόβλημα για τον οργανισμό σας, αλλά θα έπρεπε να αποτελεί. Ανεξάρτητα από το πόσο έξυπνη ή ικανή είναι η εταιρεία σας και οι συνάδελφοί σας, οι τακτικές κοινωνικής μηχανικής είναι αρκετά ισχυρές ώστε να αιφνιδιάσουν οποιονδήποτε.

Τώρα που γνωρίζετε για το vishing, είναι σημαντικό να μοιραστείτε αυτές τις πληροφορίες με τους υπαλλήλους σας.

Ενημερώστε τους ότι η αμφισβήτηση του καλούντος και η επαλήθευση των πληροφοριών με κάποιον μέσω επίσημων διαύλων μπορεί να είναι η διαφορά μεταξύ ασφαλών δεδομένων και του κινδύνου ενός περιστατικού στον κυβερνοχώρο ή παραβίασης δεδομένων.