Kas ir pikšķerēšana?
Vishing tiek definēts kā kiberdrošības uzbrukums, kura laikā ļaunprātīga struktūra sazinās ar upuri pa tālruni un mēģina iegūt upura uzticību, izmantojot sociālās inženierijas metodes, lai iegūtu konfidenciālus datus, izvilinātu līdzekļus vai citādi kaitētu personai.
Tas būtībā ir pikšķerēšanas uzbrukums, kas tiek veikts, izmantojot balss saziņas līdzekļus, tāpēc to sauc par pikšķerēšanas uzbrukumu.
Vishing uzbrukuma mehānisms
Vishing parasti izpaužas kā steidzams vai satraucošs zvans. Piemēram, zvanītājs var apgalvot, ka upura konts ir uzlauzts un ka viņam ir nepieciešams PIN kods, lai apstiprinātu savu identitāti vai atjaunotu konta darbību.
Viņi var arī apgalvot, ka zvana valsts aģentūras, piemēram, Iekšējo ieņēmumu dienesta (IRS) vai Sociālās apdrošināšanas pārvaldes, vārdā. Viņi var pat uzstāt, ka upuris ir parādā naudu vai ir uzvarējis konkursā.
Visi šie gadījumi ir "vishing" (kā jau minēts, frāze, kas apvieno "balss" un "pikšķerēšana", lai apzīmētu telefona krāpšanu). Ar terminu "pikšķerēšana" apzīmē jebkādus kibernoziedznieku centienus ar viltu piespiest cilvēkus nodot naudu, personas datus vai slepenu informāciju. Tāpat krāpšanas veikšanai var izmantot arī e-pastu un īsziņu vai īsziņu sistēmas ("smishing").
Vishing ir kibernoziegums, kurā noziedznieki izmanto upuru tālruņus, lai izvilinātu informāciju, kas kaitētu personai vai kaut kādā veidā nāktu par labu noziedzniekam.
Kibermeklētāji izmanto sarežģītas sociālās inženierijas metodes, lai pārliecinātu upurus sniegt personas datus un pat piekļuvi bankas kontiem vai komercnoslēpumiem. Tāpat kā smishing un phishing, arī vishing ir vērsts uz upuru pārliecināšanu, ka piekrišana zvanītāja prasībām ir pareizā reakcija. Zvanītāji bieži uzdodas par valsts iestādēm, nodokļu aģentūru, upura finanšu iestādi vai policiju.
Šīs taktikas panākumi ir atkarīgi no efektīvas sociālās inženierijas, t. i., cilvēka psiholoģijas izmantošanas, lai radītu pārliecinošu efektu. Vishing pārkāpēji izmanto draudus vai pozitīvu pārliecināšanu, lai radītu cietušajiem sajūtu, ka viņiem ir jāsniedz pieprasītā informācija. Cietušie var saņemt arī draudu balss ziņojumus, kuros viņiem tiek paziņots, ka viņi riskē ar kriminālvajāšanu vai bankas kontu iesaldēšanu, ja viņi neatsauksies pareizi.
Kā darbojas vishing?
Pikšķerēšanas uzbrucēji bieži izmanto zvanītāja identifikatora atdarināšanu, lai maldinātu upurus, liekot noticēt, ka zvans nāk no uzticama uzņēmuma vai vietējās apkaimes koda.
Tie bieži vien darbojas kā uzticamas struktūras, lai ar viltu piespiestu upurus dalīties ar saviem datiem. Piemēram, viņi var uzdoties par bankas vai kredītkaršu aģentūras vadītāju, kreditoru vai nodokļu administrācijas pārstāvi. Šie krāpnieki radīs steidzamības sajūtu, kad iecerētais upuris atbildēs uz tālruņa zvanu, lai ļaunprātīgi izmantotu viņa jūtas un piespiestu viņu atbildēt uz prasībām.
Vishingam var būt dažādi veidi, taču mērķis vienmēr ir viens un tas pats - ar viltu piespiest upuri izpaust personisko informāciju, lai gūtu finansiālu labumu vai veiktu citus noziegumus, piemēram, identitātes zādzību.
Viens no iemesliem, kāpēc šie uzbrukumi var būt pārliecinoši, ir tas, ka krāpnieki var izmantot no citiem avotiem iegūtu personisko informāciju, lai padarītu viltus pikšķerēšanas mēģinājumus šķietami likumīgus.
Visbiežāk sastopamie viltus viltošanas veidi
1. Vārdēšana
2. Uz VoIP balstīti uzbrukumi
3. Zvanītāja ID atdarināšana
4. Atkritumu savākšana konteineros
1. Vārdēšana
Lai ātri pēc kārtas automātiski uzzvanītu lielu skaitu tālruņa numuru, parasti tiek izmantotas dažāda veida tehnoloģijas, lai atklātu nepilnības drošības un IT infrastruktūrā.
Hakeri nereti izmanto rīkus, lai atrastu nenodrošinātus modemus, kas dažkārt tiek dēvēti par "wardialeriem" vai "dēmonu zvanītājiem". Tas aizņem ļoti maz laika
to darīt, ja krāpnieks atrod to numuru sarakstu, kas ir savienoti ar modemiem.
2. Uz VoIP balstīti uzbrukumi
Balss un multivides satura pārsūtīšanu, izmantojot interneta savienojumu, dēvē par Voice over Internet Protocol (VoIP). Lietotāji var veikt balss zvanus, izmantojot VoIP, izmantojot datorus, viedtālruņus, citas digitālās platformas, piemēram, VoIP tālruņus un tīmekļa reāllaika komunikāciju (WebRTC) iespējotās vietnes.
VoIP ir izdevīga tehnoloģija gan privātpersonām, gan uzņēmumiem, jo tā bieži vien ietver papildu iespējas, kas nav pieejamas tradicionālajās tālruņa sistēmās. Tā ir noderīga arī uzņēmumiem kā sakaru unifikācijas līdzeklis.
Diemžēl krāpnieki var izmantot VoIP, lai iniciētu viltus uzbrukumus. Uzbrucējs reģistrē domēnu un izveido pikšķerēšanas lapas, kas atgādina organizācijas tīkla pieteikšanās lapu. Rezultātā šķiet, ka draudu aktiera iniciētie VoIP zvani nāk no tā paša tīkla. Turklāt, tā kā VoIP bieži vien ir nepieciešama daudzfaktoru autentifikācija, zvanītājs var lūgt upuri apmeklēt krāpniecisko lapu un izpaust savus datus.
3. Zvanītāja ID atdarināšana
Spoofing notiek tad, ja zvanītājs apzināti vilto ienākošā zvana ekrānā nosūtīto informāciju, lai slēptu savu identitāti. Krāpnieki bieži izmanto "kaimiņa spoofing" metodi, lai liktu zvanītāja ID izskatīties, ka zvana no vietējā numura, vai lai uzdotos par uzņēmumu vai valsts iestādi, kam upuris jau uzticas.
Ja uz šādu zvanu tiek atbildēts, uzbrucējs mēģina nozagt līdzekļus vai svarīgus datus, kurus var izmantot krāpnieciskām darbībām. Krāpšanas scenāriji ir svarīga zvanītāja ID viltošanas uzbrukumu daļa, jo tie vēl vairāk nostiprina pārliecību, ka zvanītājs ir likumīgs.
4. Atkritumu savākšana konteineros
Pārmeklēt banku, uzņēmumu ēku un citu iestāžu atkritumu urnas - gan fiziskās, gan digitālās - ir viegls un populārs veids, kā viltotāju kontaktinformāciju vākt.
Noziedznieki var savākt pietiekami daudz informācijas no sasmalcinātiem dokumentiem, izmestām atmiņas ierīcēm, veciem kalendāriem, fotokopijām u. c., lai veiktu uz konkrētu tēmu vērstu pikšķerēšanas uzbrukumu.
Pikšķerēšanas uzbrukumu novēršana: astoņas labākās prakses 2022. gadam
Kad persona ir kļuvusi par viltus uzbrukuma upuri, ir grūti novērst tā sekas un atgūt zaudējumus. Pat ja tiesībaizsardzības iestādes identificē vainīgo, atgūt zaudējumus ir sarežģīti. Tāpēc ir ļoti svarīgi veikt proaktīvus pasākumus, lai novērstu viltus uzbrukumus, ievērojot šo paraugpraksi:
Laba prakse, lai novērstu pikšķerēšanu
1. Ir VPN savienojums
Virtuālais privātais tīkls (VPN) aizsargā internetā kopīgoto informāciju un apgrūtina krāpniekiem iegūt jūsu kontaktinformāciju.
VPN šifrē tīkla datplūsmu un nosūta to pa drošu tuneli, pirms tā sasniedz VPN serveri, kas maskē savu IP adresi. Tādējādi apdraudējuma dalībnieki nezinās jūsu atrašanās vietu, tādējādi apgrūtinot sociālās inženierijas uzbrukumu veikšanu. Iecerētais upuris var vienkārši pajautāt zvanītājam par viņa atrašanās vietu, lai pārbaudītu, vai zvans ir likumīgs.
2. Uzmanieties par "steidzamiem" zvaniem.
Ja zvanītājs rada steidzamības sajūtu, jums tas ir jāuzskata par sarkano karogu. Piemēram, zvanītāji var mēģināt pārliecināt cietušo, ka viņam var būt negatīvas sekas, ja viņš nekavējoties nenodos savus bankas datus vai neapmaksātu rēķinu.
Varat nolikt klausuli vai lūgt zvanītāja kontaktinformāciju un pateikt, ka piezvanīsiet vēlāk. Ja tas ir krāpšanas gadījums, zvanītājs parasti izdarīs lielāku spiedienu vai arī noliks klausuli.
3. Izmantojiet robozvanu bloķēšanas rīkus
Robo zvanu bloķēšanas rīki, ko tautā dēvē par zvanu filtriem, ir datorprogrammas, kas nosaka automātiskos zvanus. Ja trešās puses uzņēmums ir izmantojis viltus zvanu metodes, robozvanu bloķētājs to nekavējoties identificēs un bloķēs.
4. Ieviest iekšējos procesus
Kurš paceļ tālruņa klausuli, kad zvanīts uz organizācijas vispārējo tālruņa numuru? Vai tas var viegli nonākt nepareizā darbinieka rokās?
Tālruņa nodošana no viena lietotāja citam var radīt neskaidrības un likt organizācijas darbiniekiem aizmirst, kurš atrodas zvanu otrā galā.
Vajadzības gadījumā var būt noderīga īpaša reģistratūras darbinieka nolīgšana, kas filtrē sliktos no labajiem, un nodrošina, ka visi darbinieki pārbauda, kurš zvana, kad nodod zvanu kādam citam.
Vēl viena iespēja ir izveidot procesu, kurā saņēmējs pirms tālruņa nodošanas apstiprina pieprasījumu tieši ar "pieprasījuma iesniedzēju", izmantojot citu oficiālu kanālu.
5. Nodrošiniet, lai visās ierīcēs būtu daudzfaktoru autentifikācija.
Augstas drošības paroļu lietošana ir ļoti laba lieta, taču daudzfaktoru autentifikācija nodrošina papildu drošības slāņus, kas nodrošina, ka jūsu kontu nevar apdraudēt ar vienu paroli.
Uzņēmums Google paziņoja, ka līdz 2021. gadam 150 miljoniem lietotāju būs obligāta daudzfaktoru autentifikācija, lai nodrošinātu uzlabotu drošības līmeni pret apdraudējumiem un tādējādi samazinātu kompromitēto kontu skaitu par 50%.
Secinājums
Vishing, iespējams, jūsu organizācijai nerada nopietnas bažas, taču tām vajadzētu radīt. Neatkarīgi no tā, cik gudrs vai spējīgs ir jūsu uzņēmums un kolēģi, sociālās inženierijas taktika ir pietiekami spēcīga, lai pārsteigtu ikvienu.
Tagad, kad zināt par viltus viltus pakalpojumiem, ir svarīgi šo informāciju nodot saviem darbiniekiem.
Ļaujiet viņiem zināt, ka zvanītāja iztaujāšana un informācijas pārbaude, izmantojot oficiālus kanālus, var būt atšķirība starp drošiem datiem un kiberincidenta vai datu aizsardzības pārkāpuma risku.
