Kas yra "Vishing"?
"Vishing" apibrėžiamas kaip kibernetinio saugumo ataka, kai piktavalis susisiekia su auka telefonu ir bando įgyti aukos pasitikėjimą naudodamasis socialinės inžinerijos metodais, kad gautų konfidencialių duomenų, išviliotų lėšų ar kitaip pakenktų asmeniui.
Tai iš esmės yra sukčiavimo ataka, vykdoma per balso žiniasklaidą, todėl ji vadinama "vishing" ataka.
Višingo atakos mechanizmas
Višingo paslaugos paprastai būna skubus arba nerimą keliantis skambutis. Pavyzdžiui, skambinantysis gali teigti, kad buvo įsilaužta į aukos sąskaitą ir kad jam reikia PIN kodo, kad patvirtintų savo tapatybę arba iš naujo atidarytų sąskaitą.
Jie taip pat gali teigti, kad skambina vyriausybinės agentūros, pavyzdžiui, Vidaus pajamų tarnybos (IRS) arba Socialinio draudimo administracijos, vardu. Jie net gali tvirtinti, kad auka yra skolinga pinigų arba laimėjo konkursą.
Visi šie atvejai yra "vishing" (kaip aptarta, tai frazė, kurioje susimaišo žodžiai "balsas" ir "phishing", reiškiantys telefoninį sukčiavimą). Phishing - tai terminas, kuriuo apibūdinamos bet kokios kibernetinių nusikaltėlių pastangos apgaulės būdu priversti žmones perduoti pinigus, asmeninius duomenis ar slaptą informaciją. Panašiai sukčiavimui vykdyti gali būti naudojamas ir elektroninis paštas bei trumpųjų žinučių ar tekstinių pranešimų sistemos ("smishing").
"Vishing" - tai kibernetinis nusikaltimas, kai nusikaltėliai naudojasi aukų telefonais, kad išgautų informaciją, kuri pakenktų asmeniui arba būtų naudinga nusikaltėliui.
Kibernetiniai sukčiai naudoja sudėtingus socialinės inžinerijos metodus, kad įtikintų aukas pateikti asmeninius duomenis ir net prieigą prie banko sąskaitų ar komercinių paslapčių. Kaip ir "smishing" bei "phishing", taip ir "vishing" pagrindinis tikslas yra įtikinti aukas, kad skambinančiojo reikalavimų vykdymas yra teisinga reakcija. Skambinantieji dažnai prisistato valdžios institucijomis, mokesčių agentūra, aukos finansų įstaiga ar policija.
Šios taktikos sėkmė priklauso nuo veiksmingos socialinės inžinerijos, t. y. asmens psichologijos išnaudojimo siekiant sukurti įtikinamą poveikį. Vishingo vykdytojai naudoja grasinimus arba teigiamą įtikinėjimą, kad aukos jaustųsi privalančios pateikti prašomą informaciją. Nukentėjusieji taip pat gali gauti grasinančias balso žinutes, kuriose jiems sakoma, kad jei jie tinkamai neatsilieps, jiems gresia baudžiamasis persekiojimas arba banko sąskaitų įšaldymas.
Kaip veikia vishing?
Sukčiavimo atakų vykdytojai dažnai naudoja skambinančiojo ID suklastojimą, kad apgautų aukas ir priverstų jas patikėti, jog skambinama iš patikimos įmonės arba vietinio rajono kodo.
Jie dažnai veikia kaip patikimi subjektai, kad apgaule priverstų aukas dalytis savo duomenimis. Pavyzdžiui, jie gali apsimesti banko ar kredito kortelių agentūros vadovu, kreditoriumi ar mokesčių inspekcijos atstovu. Šie sukčiai sukuria skubos jausmą, kai numanoma auka atsiliepia telefonu, kad pasinaudotų jos jausmais ir priverstų ją atsakyti į reikalavimus.
Višininkystė gali būti įvairių formų, tačiau tikslas visada tas pats: apgaulės būdu priversti auką atskleisti asmeninę informaciją, siekiant piniginės naudos arba įvykdyti kitus nusikaltimus, pavyzdžiui, tapatybės vagystę.
Viena iš priežasčių, kodėl šios atakos gali būti įtikinamos, yra ta, kad sukčiai gali naudoti iš kitų šaltinių gautą asmeninę informaciją, kad bandymai apgauti atrodytų teisėti.
Dažniausiai pasitaikantys "vishing" tipai
1. Pasirinkimas iš Wardialing
2. VoIP pagrįstos atakos
3. Skambinančiojo ID suklastojimas
4. Šiukšlių šalinimas konteineriuose
1. Pasirinkimas iš Wardialing
Renkant numerius naudojamos įvairios technologijos, kuriomis automatiškai greitai iš eilės surenkama daug telefono numerių, paprastai siekiant aptikti saugumo ir IT infrastruktūros spragų.
Norėdami rasti neapsaugotus modemus, įsilaužėliai dažnai naudoja parinkimo įrankius, kartais vadinamus "parinkimo įrankiais" arba "demonų rinkikliais". Tai užtrunka labai nedaug laiko
tai padaryti, jei sukčiai suranda numerių, kurie yra prijungti prie modemų, sąrašą.
2. VoIP pagrįstos atakos
Balso ir daugialypės terpės turinio perdavimas interneto ryšiu vadinamas balso per interneto protokolą (VoIP). Naudotojai gali skambinti balsu naudodamiesi VoIP per kompiuterius, išmaniuosius telefonus, kitas skaitmenines platformas, pavyzdžiui, VoIP telefonus ir interneto realaus laiko ryšio (WebRTC) svetaines.
"VoIP" yra naudinga technologija tiek privatiems asmenims, tiek įmonėms, nes dažnai turi papildomų galimybių, kurių nėra tradicinėse telefono ryšio sistemose. Ji taip pat naudinga įmonėms kaip komunikacijos suvienodinimo priemonė.
Deja, nesąžiningi asmenys gali pasinaudoti "VoIP" ir inicijuoti "vishing" atakas. Užpuolikas užregistruoja domeną ir sukuria apgaulingus puslapius, kurie primena organizacijos tinklo prisijungimo puslapį. Dėl to atrodo, kad grėsmės veikėjo inicijuoti VoIP skambučiai kyla iš to paties tinklo. Be to, kadangi "VoIP" dažnai reikalauja daugiafaktorinio autentifikavimo, skambintojas gali paprašyti aukos apsilankyti apgaulingame puslapyje ir pasidalyti savo duomenimis.
3. Skambinančiojo ID suklastojimas
Skambinantysis tyčia suklastoja įeinančio skambučio ekrane siunčiamą informaciją, kad nuslėptų savo tapatybę. Sukčiai dažnai naudoja "kaimyno suklastojimo" metodą, kad skambinančiojo ID atrodytų, jog skambinama iš vietinio numerio, arba apsimeta įmone ar valstybine institucija, kuria auka jau pasitiki.
Jei į tokį skambutį atsiliepiama, užpuolikas bando pavogti lėšas arba svarbius duomenis, kuriuos galima panaudoti sukčiavimui. Sukčių scenarijai yra svarbi skambinančiojo ID suklastojimo atakų dalis, nes jie dar labiau sustiprina įsitikinimą, kad skambinantysis yra teisėtas.
4. Šiukšlių šalinimas konteineriuose
Lengva ir populiari priemonė rinkti "vishing" aukų kontaktinę informaciją - naršyti po bankų, įmonių pastatų ir kitų įstaigų šiukšlių dėžes (tiek fizines, tiek skaitmenines).
Nusikaltėliai gali surinkti pakankamai informacijos iš susmulkintų dokumentų, išmestų saugojimo įrenginių, senų kalendorių, fotokopijų ir pan., kad galėtų surengti į temą orientuotą "spear-phishing" ataką.
Sukčiavimo atakų prevencija: aštuonios geriausios praktikos 2022 m.
Kai asmuo tampa "vishing" atakos auka, sunku pakeisti jos poveikį ir atgauti nuostolius. Net jei teisėsaugos institucijos nustato kaltininką, išieškoti žalą yra sudėtinga. Todėl labai svarbu imtis aktyvių veiksmų, kad būtų užkirstas kelias "vishing" atakoms, laikantis šios geriausios praktikos:
Geroji praktika, kaip išvengti vishingo
1. Turėkite VPN ryšį
Virtualiuoju privačiuoju tinklu (VPN) apsaugoma informacija, kuria dalijamasi internetu, ir sukčiams tampa sunkiau sužinoti jūsų kontaktinius duomenis.
VPN šifruoja tinklo srautą ir siunčia jį saugiu tuneliu, kol pasiekia VPN serverį, kuris maskuoja savo IP adresą. Todėl grėsmių kėlėjai nežinos jūsų buvimo vietos, todėl bus sunku vykdyti socialinės inžinerijos atakas. Numatoma auka gali tiesiog paklausti skambinančiojo apie jo buvimo vietą ir patikrinti, ar skambutis yra teisėtas.
2. Atkreipkite dėmesį į "skubius" skambučius.
Kai skambinantysis sukuria skubos jausmą, turėtumėte tai laikyti raudona vėliava. Pavyzdžiui, skambintojai gali bandyti įtikinti auką, kad ji gali patirti neigiamų pasekmių, jei iš tikrųjų nedelsdama neperduos savo banko duomenų arba neapmokės neapmokėtos sąskaitos.
Galite pakabinti ragelį arba paprašyti skambinančiojo kontaktinių duomenų ir pasakyti, kad perskambinsite vėliau. Jei tai sukčiai, skambinantysis paprastai darys didesnį spaudimą arba pakabins ragelį.
3. Naudokite skambučių blokavimo įrankius
Skambučių blokavimo įrankiai, populiariai vadinami skambučių filtrais, yra kompiuterinės programos, kurios aptinka automatinius skambučius. Jei trečiosios šalies subjektas taiko klaidingų skambučių metodus, skambučių blokavimo programa juos iškart nustato ir blokuoja.
4. Įgyvendinti vidaus procesus
Kas pakelia telefono ragelį, kai suskamba bendrasis organizacijos numeris? Ar gali būti, kad jis lengvai pateks į netinkamo darbuotojo rankas?
Perduodant telefoną iš vieno naudotojo kitam, gali kilti sumaištis ir darbuotojai gali prarasti orientaciją, kas yra kitame skambučio gale.
Prireikus gali būti naudinga pasamdyti specialų registratorių, kuris atskirtų blogus nuo gerų, ir užtikrinti, kad visi darbuotojai patikrintų, kas skambina, kai perduoda informaciją kitam asmeniui.
Kita galimybė - sukurti procesą, kai gavėjas, prieš perduodamas telefono ragelį, tiesiogiai pasitvirtina su "prašytoju" kitu oficialiu kanalu.
5. Užtikrinkite, kad visuose įrenginiuose būtų įdiegtas daugiafaktorinis autentiškumo patvirtinimas.
Naudoti aukšto saugumo slaptažodžius yra labai gerai, tačiau daugiapakopis autentifikavimas suteikia papildomų saugumo lygių, kurie užtikrina, kad jūsų paskyros nebūtų galima pažeisti naudojant vieną slaptažodį.
"Google" paskelbė, kad iki 2021 m. 150 mln. naudotojų bus privalomas daugiafaktorinis autentiškumo patvirtinimas, kad būtų užtikrintas aukštesnis apsaugos nuo grėsmių lygis ir taip 50% sumažintas pažeistų paskyrų skaičius.
Išvada
Višininkystė jūsų organizacijai gali nekelti didelio susirūpinimo, tačiau turėtų kelti. Nesvarbu, kokia protinga ar pajėgi yra jūsų įmonė ir jūsų kolegos, socialinės inžinerijos taktikos yra pakankamai galingos, kad užkluptų bet kurį žmogų nepasiruošusį.
Dabar, kai jau žinote apie "vishing", svarbu, kad šia informacija pasidalytumėte su darbuotojais.
Leiskite jiems žinoti, kad skambinančiojo apklausa ir informacijos patikrinimas oficialiais kanalais gali būti skirtumas tarp saugių duomenų ir kibernetinio incidento ar duomenų saugumo pažeidimo rizikos.
