Mi az a Vishing?
A Vishing olyan kiberbiztonsági támadás, amelynek során egy rosszindulatú szervezet telefonon veszi fel a kapcsolatot az áldozattal, és megpróbálja elnyerni az áldozat bizalmát social engineering módszerekkel annak érdekében, hogy bizalmas adatokat szerezzen, pénzeszközöket szerezzen, vagy más módon kárt okozzon az egyénnek.
Ez lényegében egyfajta adathalász-támadás, amelyet hangmédián keresztül hajtanak végre, ezért is nevezik vishing-támadásnak.
Vishing támadási mechanizmus
A Vishing általában sürgős vagy zavaró telefonhívás formájában történik. A hívó például azt állíthatja, hogy az áldozat számláját feltörték, és hogy a személyazonosságának megerősítéséhez vagy a számla újbóli megnyitásához PIN-kódra van szüksége.
Előfordulhat az is, hogy azt állítják, hogy egy kormányhivatal, például az Internal Revenue Service (IRS) vagy a Social Security Administration nevében telefonálnak. Akár azt is állíthatják, hogy az áldozatnak pénztartozása van, vagy hogy megnyert egy versenyt.
Ezek mind a "vishing" esetei (ahogyan azt már említettük, a "hang" és az "adathalászat" keveréke, amely a telefonos átverést jelzi). Az adathalászat kifejezés a kiberbűnözők minden olyan törekvését jellemzi, amellyel arra próbálják rávenni az embereket, hogy pénzt, személyes adatokat vagy titkos információkat adjanak át. Hasonlóképpen az e-mail és a rövid üzenetküldő vagy szöveges üzenetküldő rendszerek ("smishing") is felhasználhatók csalás elkövetésére.
A Vishing olyan kiberbűncselekmény, amelynek során a bűnözők az áldozatok telefonját használják fel arra, hogy olyan információkat szerezzenek, amelyek árthatnak az illetőnek, vagy valamilyen módon az elkövetőnek kedveznek.
A kibercsalók kifinomult social engineering technikákat alkalmaznak, hogy meggyőzzék az áldozatokat személyes adatok megadásáról, sőt, akár bankszámlákhoz vagy üzleti titkokhoz való hozzáférésről is. A smishinghez és az adathalászathoz hasonlóan a vishing is arra összpontosít, hogy meggyőzze az áldozatokat arról, hogy a hívó követeléseinek teljesítése a megfelelő válasz. A hívók gyakran adják ki magukat kormányhivatalnak, adóhivatalnak, az áldozat pénzintézetének vagy a rendőrségnek.
E taktika sikere a hatékony social engineeringtől függ, azaz az ember pszichológiájának kihasználásától, hogy meggyőző hatást érjen el. A Vishing elkövetői fenyegetésekkel vagy pozitív meggyőzéssel érik el, hogy az áldozatok úgy érezzék, meg kell adniuk a kért információkat. Az áldozatok fenyegető hangüzeneteket is kaphatnak, amelyekben közlik velük, hogy büntetőeljárás vagy bankszámlájuk befagyasztása fenyeget, ha nem hívják vissza őket megfelelően.
Hogyan működik a vishing?
Az adathalász támadók gyakran használják a hívószám hamisítását, hogy az áldozatokkal elhitessék, hogy a telefonhívás egy megbízható vállalkozástól vagy egy helyi körzetszámtól érkezik.
Gyakran megbízható szervezetként lépnek fel, hogy becsapják az áldozatokat, és rávegyék őket az adataik megosztására. Például banki vagy hitelkártya-ügynökségi vezetőnek, hitelezőnek vagy az adóhivatal ügynökének adhatják ki magukat. Ezek a csalók a sürgősség érzetét keltik, amikor a kiszemelt áldozat felveszi a telefont, hogy kihasználják az érzéseiket, és arra kényszerítsék őket, hogy válaszoljanak a követelésekre.
A Vishing sokféle formát ölthet, de a cél mindig ugyanaz: becsapni az áldozatot, hogy személyes adatokat adjon ki, akár pénzbeli haszonszerzés céljából, akár más bűncselekmények, például személyazonosság-lopás elkövetése érdekében.
E támadások többek között azért lehetnek meggyőzőek, mert a csalók más forrásokból szerzett személyes adatokat használhatnak fel arra, hogy a vishing-kísérleteket legitimnek tüntessék fel.
A leggyakoribb vishing-típusok
1. Váróhívás
2. VoIP-alapú támadások
3. Hívószám hamisítás
4. Tisztítás konténerekben
1. Váróhívás
A Wardialing különböző típusú technológiákat használ nagyszámú telefonszám gyors egymásutánban történő automatikus tárcsázására, általában a biztonsági és informatikai infrastruktúra hiányosságainak feltárására.
A hackerek gyakran használnak wardialing eszközöket, hogy megtalálják a nem biztonságos modemeket, amelyeket néha "wardialer"-nek vagy "démoni tárcsázóknak" neveznek. Nagyon kevés időbe telik
hogy ezt tegye, ha a csaló megtalálja a modemekhez csatlakozó számok listáját.
2. VoIP-alapú támadások
A hang és multimédiás tartalmak internetes kapcsolaton keresztüli átvitelét VoIP (Voice over Internet Protocol) néven ismerjük. A felhasználók a VoIP segítségével számítógépükön, okostelefonokon, egyéb digitális platformokon, például VoIP-telefonokon és Web Real Time Communication (WebRTC) képes webhelyeken keresztül kezdeményezhetnek hanghívásokat.
A VoIP mind a magánszemélyek, mind a vállalkozások számára előnyös technológia, mivel gyakran olyan kiegészítő képességeket tartalmaz, amelyek a hagyományos telefonrendszerekben nem jelennek meg. A vállalkozások számára a kommunikáció egységesítésének eszközeként is hasznos.
Sajnos a VoIP-et csalók kihasználhatják vishing-támadások indítására. A támadó regisztrál egy tartományt, és olyan adathalász oldalakat hoz létre, amelyek hasonlítanak a szervezet hálózati bejelentkezési oldalára. Ennek eredményeképpen a fenyegető által kezdeményezett VoIP-hívások úgy tűnnek, mintha ugyanabból a hálózatból érkeznének. Ráadásul mivel a VoIP gyakran többfaktoros hitelesítést igényel, a hívó fél arra kérheti az áldozatot, hogy látogasson el a csalárd oldalra, és ossza meg adatait.
3. Hívószám hamisítás
Spoofingról akkor beszélünk, amikor a hívó szándékosan meghamisítja a bejövő hívás képernyőjére küldött információkat, hogy elrejtse személyazonosságát. A csalók gyakran használják a "szomszéd hamisítása" technikát, hogy a hívószámot helyi számról érkezőnek tüntessék fel, vagy hogy olyan vállalatnak vagy kormányzati intézménynek adják ki magukat, amelyben az áldozat már megbízik.
Ha egy ilyen hívásra válaszolnak, a támadó megpróbál pénzt vagy kritikus adatokat ellopni, amelyeket csalárd tevékenységekhez használhat fel. A csalási forgatókönyvek fontos részét képezik a hívószám-hamisító támadásoknak, mivel tovább erősítik a hívó fél hitét, hogy a hívó fél legitim.
4. Tisztítás konténerekben
A bankokhoz, vállalati épületekhez és más intézményekhez tartozó - fizikai és digitális - szemetesek átkutatása könnyű és népszerű módja a vishing áldozatok elérhetőségeinek összegyűjtésének.
A bűnözők elegendő információt gyűjthetnek a megsemmisített dokumentumokból, eldobott tárolóeszközökből, régi naptárakból, fénymásolatokból stb. ahhoz, hogy egy célzott spear-phishing támadást hajtsanak végre.
Adathalász-támadások megelőzése: nyolc legjobb gyakorlat 2022-re
Ha valaki egyszer áldozatul esik egy adathalász-támadásnak, nehéz visszafordítani annak hatásait és behajtani a károkat. Még ha a bűnüldöző szervek azonosítják is az elkövetőt, a károk behajtása kihívást jelent. Ezért kulcsfontosságú, hogy az alábbi legjobb gyakorlatok betartásával proaktív lépéseket tegyen a vishing-támadások megelőzésére:
Jó gyakorlatok a vishing megelőzésére
1. VPN-kapcsolat
A virtuális magánhálózat (VPN) védi az interneten megosztott információkat, és megnehezíti a csalók számára, hogy megszerezzék az Ön elérhetőségi adatait.
A VPN titkosítja a hálózati forgalmat, és egy biztonságos alagúton keresztül elküldi azt, mielőtt elér egy VPN-kiszolgálót, amely elrejti az IP-címét. Ennek eredményeképpen a fenyegető szereplők nem fogják tudni az Ön tartózkodási helyét, ami megnehezíti a social engineering támadások végrehajtását. A kiszemelt áldozat egyszerűen megkérdezheti a hívót a tartózkodási helyéről, hogy ellenőrizze, hogy a hívás legitim-e.
2. Figyeljen a "sürgős" hívásokra.
Ha a hívó fél sürgősséget érzékeltet, azt érdemes vörös zászlónak tekinteni. A telefonálók például megpróbálhatják meggyőzni az áldozatot arról, hogy negatív következményekkel járhat, ha nem adja át a banki adatait vagy nem fizet be azonnal egy kifizetetlen számlát.
Leteheti a telefont, vagy elkérheti a hívó fél elérhetőségét, és közölheti, hogy később visszahívja. Ha átverésről van szó, a hívó általában nagyobb nyomást gyakorol, vagy leteszi a telefont.
3. Használjon robocall blokkoló eszközöket
A hívásblokkoló eszközök, népszerű nevükön hívásszűrők, olyan számítógépes programok, amelyek felismerik az automatizált hívásokat. Ha egy harmadik fél által alkalmazott figyelmeztető technikákat alkalmaz, a robocall-blokkoló azonnal azonosítja és blokkolja azt.
4. Belső folyamatok végrehajtása
Ki veszi fel a telefont, ha a szervezet általános száma csörög? Könnyen előfordulhat, hogy a telefon rossz alkalmazott kezébe kerül?
A telefon egyik felhasználótól a másikhoz való átadása zavart okozhat, és a szervezet dolgozói elveszíthetik a szemüket, hogy ki van a hívás másik végén.
Szükség esetén hasznos lehet egy külön recepcióst alkalmazni, aki kiszűri a rosszat a jóból, és biztosítja, hogy minden alkalmazott ellenőrizze, ki hív, amikor továbbadja valaki másnak.
Egy másik lehetőség egy olyan folyamat létrehozása, amelyben a címzett a telefon átadása előtt közvetlenül egy másik hivatalos csatornán keresztül megerősíti a "kérvényezővel".
5. Biztosítsa, hogy minden eszköz többfaktoros hitelesítéssel rendelkezzen.
A nagy biztonságú jelszavak használata mind szép és jó, de a többfaktoros hitelesítés olyan extra biztonsági rétegeket biztosít, amelyek biztosítják, hogy a fiókját egyetlen jelszóval sem lehet kompromittálni.
A Google bejelentette, hogy 2021-re 150 millió felhasználó számára lesz kötelező a többfaktoros hitelesítés, hogy a fenyegetésekkel szemben fokozott biztonságot nyújtson, és így 50%-vel csökkentse a kompromittált fiókok számát.
Következtetés
Lehet, hogy az Ön szervezete számára nem jelent komoly aggodalmat a Vishing, pedig kellene, hogy jelentsen. Nem számít, hogy mennyire okos vagy ügyes a vállalata és a kollégái, a social engineering taktikák elég erősek ahhoz, hogy bárkit váratlanul érjenek.
Most, hogy már tud a vishingről, fontos, hogy megossza ezt az információt az alkalmazottaival.
Tudassa velük, hogy a hívó fél kikérdezése és az információk hivatalos csatornákon keresztül történő ellenőrzése jelentheti a különbséget a biztonságos adatok és a kibernetikai incidens vagy az adatsértés kockázata között.
