Hva er Vishing?
Vishing defineres som et cybersikkerhetsangrep der en ondsinnet aktør kontakter offeret via telefon og forsøker å vinne offerets tillit ved hjelp av sosial manipulering for å få tak i konfidensielle data, hente ut penger eller på annen måte skade personen.
Dette er egentlig en type phishing-angrep som utføres via talemedier, og det er derfor det kalles et vishing-angrep.
Vishing-angrepsmekanisme
Vishing tar vanligvis form av en presserende eller urovekkende telefonsamtale. Innringeren kan for eksempel hevde at offerets konto er blitt hacket og at vedkommende trenger en PIN-kode for å bekrefte identiteten sin eller åpne kontoen på nytt.
De kan også hevde at de ringer på vegne av en offentlig etat, for eksempel skattemyndighetene eller trygdeetaten. De kan til og med insistere på at offeret skylder penger eller har vunnet en konkurranse.
Dette er alle tilfeller av "vishing" (som nevnt en blanding av "voice" og "phishing" for å indikere telefonsvindel). Phishing er et begrep som brukes for å beskrive alle forsøk fra nettkriminelle på å lure folk til å gi fra seg penger, personopplysninger eller hemmelig informasjon. På samme måte kan også e-post og systemer for korte meldinger eller tekstmeldinger ("smishing") brukes til å begå svindel.
Vishing er nettkriminalitet der kriminelle bruker ofrenes telefoner til å hente ut informasjon som kan skade personen eller være til fordel for gjerningsmannen på en eller annen måte.
Svindlere bruker sofistikerte teknikker for sosial manipulering for å overtale ofrene til å gi fra seg personopplysninger og til og med tilgang til bankkontoer eller forretningshemmeligheter. I likhet med smishing og phishing fokuserer vishing på å overbevise ofrene om at det er riktig å etterkomme innringerens krav. Innringerne utgir seg ofte for å være offentlige myndigheter, skatteetaten, offerets finansinstitusjon eller politiet.
For å lykkes med denne taktikken er man avhengig av effektiv sosial manipulering, dvs. at man utnytter en persons psykologi for å skape en overbevisende effekt. Vishing-taktikere bruker trusler eller positiv overtalelse for å få ofrene til å føle at de er nødt til å oppgi den etterspurte informasjonen. Ofrene kan også motta truende talemeldinger som forteller dem at de risikerer straffeforfølgelse eller å få bankkontoene sine frosset hvis de ikke ringer tilbake på riktig måte.
Hvordan fungerer vishing?
Phishing-angripere bruker ofte spoofing av anrops-ID for å lure ofrene til å tro at en telefonsamtale kommer fra en pålitelig bedrift eller et lokalt nabolag.
De opptrer ofte som pålitelige enheter for å lure ofrene til å dele opplysningene sine. De kan for eksempel utgi seg for å være fra en bank, et kredittkortselskap, en kreditor eller skattemyndighetene. Svindlerne skaper en følelse av at det haster når offeret tar telefonen, for å utnytte offerets følelser og tvinge det til å svare på krav.
Vishing kan ta mange former, men målet er alltid det samme: å lure offeret til å oppgi personopplysninger, enten for å oppnå økonomisk vinning eller for å begå andre forbrytelser, for eksempel identitetstyveri.
En av grunnene til at disse angrepene kan virke overbevisende, er at svindlere kan bruke personopplysninger fra andre kilder for å få vishing-forsøkene til å se legitime ut.
De vanligste typene vishing
1. avkryssing av avdelinger
2. VoIP-baserte angrep
3. forfalskning av anrops-ID
4. Rensing i containere
1. avkryssing av avdelinger
Wardialing bruker ulike typer teknologi for automatisk å ringe opp et stort antall telefonnumre i rask rekkefølge, vanligvis for å oppdage feil i sikkerhet og IT-infrastruktur.
Hackere bruker ofte wardialing-verktøy for å finne usikrede modemer, også kjent som "wardialers" eller "demon dialers". Det tar svært kort tid
å gjøre det hvis svindleren finner listen over numre som er koblet til modemene.
2. VoIP-baserte angrep
Overføring av tale og multimedieinnhold over en Internett-tilkobling kalles Voice over Internet Protocol (VoIP). Brukere kan foreta taleanrop ved hjelp av VoIP via datamaskiner, smarttelefoner, andre digitale plattformer som VoIP-telefoner og WebRTC-aktiverte nettsteder (Web Real Time Communication).
VoIP er en fordelaktig teknologi for både privatpersoner og bedrifter, ettersom den ofte inneholder tilleggsfunksjoner som ikke finnes i tradisjonelle telefonsystemer. Det er også nyttig for bedrifter som et middel til å forene kommunikasjonen.
Dessverre kan VoIP utnyttes av svindlere til å sette i gang vishing-angrep. Angriperen registrerer et domene og oppretter phishing-sider som ligner på organisasjonens innloggingsside. Dermed ser det ut som om VoIP-samtaler initiert av trusselaktøren kommer fra det samme nettverket. Siden VoIP ofte krever flerfaktorautentisering, kan innringeren i tillegg be offeret om å gå inn på den falske siden og oppgi opplysningene sine.
3. forfalskning av anrops-ID
Spoofing skjer når en innringer med vilje forfalsker informasjonen som sendes til skjermen for innkommende anrop, for å skjule identiteten sin. Svindlere bruker ofte "spoofing neighbour"-teknikken for å få innringer-ID-en til å se ut som om den kommer fra et lokalt nummer, eller for å utgi seg for å være et selskap eller en offentlig institusjon som offeret allerede stoler på.
Hvis et slikt anrop besvares, forsøker angriperen å stjele penger eller viktige data som kan brukes til svindel. Scam scripts er en viktig del av spoofing-angrep på innringer-ID, ettersom de ytterligere forsterker troen på at innringeren er legitim.
4. Rensing i containere
Å rote gjennom søppelkasser - både fysiske og digitale - som tilhører banker, bedriftsbygninger og andre institusjoner, er en enkel og populær måte å samle inn kontaktinformasjonen til vishing-ofre på.
Kriminelle kan samle inn nok informasjon fra makulerte dokumenter, kasserte lagringsenheter, gamle kalendere, fotokopier osv. til å gjennomføre et spear-phishing-angrep.
Forebygging av phishing-angrep: Åtte beste fremgangsmåter for 2022
Når en person først har blitt utsatt for et vishing-angrep, er det vanskelig å reversere virkningene og få erstatning. Selv om politiet identifiserer den skyldige, er det vanskelig å få erstatning. Derfor er det viktig å ta proaktive skritt for å forebygge vishing-angrep ved å følge disse rådene:
God praksis for å forhindre vishing
1. ha en VPN-tilkobling
Et virtuelt privat nettverk (VPN) beskytter informasjon som deles over Internett, og gjør det vanskeligere for svindlere å få tak i kontaktinformasjonen din.
VPN-et krypterer nettverkstrafikken og sender den gjennom en sikker tunnel før den når en VPN-server som maskerer IP-adressen. Dermed vet ikke trusselaktørene hvor du befinner deg, noe som gjør det vanskelig å utføre sosial manipulering. Det tiltenkte offeret kan ganske enkelt spørre innringeren om hvor vedkommende befinner seg for å sjekke om samtalen er legitim.
2. Vær på utkikk etter "hastesamtaler".
Når en innringer skaper en følelse av at det haster, bør du se det som et rødt flagg. For eksempel kan svindlerne prøve å overbevise offeret om at det kan få negative konsekvenser hvis de ikke gir fra seg bankopplysningene sine eller betaler en ubetalt regning umiddelbart.
Du kan legge på eller be om innringerens kontaktinformasjon og si at du ringer tilbake senere. Hvis det dreier seg om svindel, vil innringeren vanligvis legge på røret eller utøve mer press.
3. Bruk verktøy for blokkering av robotanrop
Verktøy for blokkering av robotanrop, populært kalt anropsfiltre, er dataprogrammer som oppdager automatiserte anrop. Hvis en tredjepart har benyttet seg av varslingsmetoder, vil blokkeringsverktøyet identifisere og blokkere anropet umiddelbart.
4. Implementere interne prosesser
Hvem er det som tar telefonen når organisasjonens hovednummer ringer? Kan den lett havne i hendene på feil medarbeider?
Hvis telefonen går fra en bruker til en annen, kan det skape forvirring og føre til at ansatte i organisasjonen mister oversikten over hvem som er i den andre enden av røret.
Det kan være nyttig å ansette en egen resepsjonist som filtrerer ut de dårlige fra de gode samtalene når det er nødvendig, og som sørger for at alle ansatte sjekker hvem som ringer når de blir satt over til noen andre.
Et annet alternativ er å opprette en prosess der mottakeren bekrefter med "rekvirenten" direkte gjennom en annen offisiell kanal før telefonen overleveres.
5. Sørg for at alle enheter har flerfaktorautentisering.
Det er vel og bra å bruke passord med høy sikkerhet, men flerfaktorautentisering gir et ekstra sikkerhetslag som sikrer at kontoen din ikke kan kompromitteres med ett enkelt passord.
Google kunngjorde at flerfaktorautentisering vil bli obligatorisk for 150 millioner brukere innen 2021 for å øke sikkerheten mot trusler og dermed redusere antallet kompromitterte kontoer med 50%.
Konklusjon
Vishing er kanskje ikke et stort problem for organisasjonen din, men det bør det være. Uansett hvor smarte og dyktige bedriften og kollegene dine er, er sosial manipulering taktikk kraftig nok til å overraske hvem som helst.
Nå som du vet hva vishing er, er det viktig at du deler denne informasjonen med de ansatte.
Fortell dem at det å stille spørsmål til innringeren og verifisere informasjonen via offisielle kanaler kan utgjøre forskjellen mellom sikre data og risikoen for en cyberhendelse eller et datainnbrudd.
