Czym jest Vishing?
Vishing jest definiowany jako atak cyberbezpieczeństwa, w którym złośliwy podmiot kontaktuje się z ofiarą przez telefon i próbuje zdobyć jej zaufanie za pomocą praktyk socjotechnicznych w celu uzyskania poufnych danych, wyciągnięcia funduszy lub w inny sposób zaszkodzenia danej osobie.
Jest to zasadniczo rodzaj ataku phishingowego przeprowadzanego za pośrednictwem mediów głosowych, dlatego nazywa się go atakiem vishingowym.
Mechanizm ataków vishingowych
Vishing zazwyczaj przybiera formę pilnego lub niepokojącego połączenia telefonicznego. Dzwoniący może na przykład twierdzić, że konto ofiary zostało zhakowane i że potrzebuje numeru PIN, aby potwierdzić swoją tożsamość lub ponownie otworzyć konto.
Mogą również twierdzić, że dzwonią w imieniu agencji rządowej, takiej jak Internal Revenue Service (IRS) lub Social Security Administration. Mogą nawet twierdzić, że ofiara jest winna pieniądze lub wygrała konkurs.
Wszystkie te przypadki to "vishing" (jak wspomniano, wyrażenie łączące "głos" i "phishing" w celu wskazania oszustwa telefonicznego). Phishing to termin używany do opisania wszelkich wysiłków podejmowanych przez cyberprzestępców w celu nakłonienia ludzi do przekazania pieniędzy, danych osobowych lub tajnych informacji. Podobnie, poczta elektroniczna i systemy krótkich wiadomości tekstowych ("smishing") mogą być również wykorzystywane do popełniania oszustw.
Vishing to cyberprzestępstwo, w którym przestępcy wykorzystują telefony ofiar w celu wyłudzenia informacji, które mogłyby zaszkodzić danej osobie lub w jakiś sposób przynieść korzyść sprawcy.
Cyberprzestępcy wykorzystują wyrafinowane techniki inżynierii społecznej, aby przekonać ofiary do podania danych osobowych, a nawet dostępu do kont bankowych lub tajemnic handlowych. Podobnie jak smishing i phishing, vishing koncentruje się na przekonaniu ofiar, że spełnienie żądań dzwoniącego jest właściwą reakcją. Dzwoniący często podają się za organy rządowe, agencję podatkową, instytucję finansową ofiary lub policję.
Sukces tej taktyki zależy od skutecznej inżynierii społecznej, tj. wykorzystania psychologii danej osoby w celu stworzenia przekonującego efektu. Sprawcy vishingu używają gróźb lub pozytywnej perswazji, aby ofiary czuły, że muszą podać żądane informacje. Ofiary mogą również otrzymywać wiadomości głosowe z pogróżkami informujące, że grozi im ściganie lub zamrożenie konta bankowego, jeśli nie oddzwonią prawidłowo.
Jak działa vishing?
Atakujący często wykorzystują spoofing identyfikatora dzwoniącego, aby oszukać ofiary w przekonaniu, że połączenie telefoniczne pochodzi od zaufanej firmy lub lokalnego numeru kierunkowego.
Często działają jako zaufane podmioty, aby nakłonić ofiary do udostępnienia swoich danych. Mogą na przykład podawać się za przedstawicieli banku lub agencji kart kredytowych, wierzyciela lub agenta IRS. Oszuści ci stwarzają poczucie pilności, gdy ofiara odbiera telefon, aby żerować na jej uczuciach i zmusić ją do odpowiedzi na żądania.
Vishing może przybierać różne formy, ale cel jest zawsze ten sam: nakłonić ofiarę do ujawnienia danych osobowych w celu uzyskania korzyści pieniężnych lub popełnienia innych przestępstw, takich jak kradzież tożsamości.
Jednym z powodów, dla których ataki te mogą być przekonujące, jest to, że oszuści mogą wykorzystywać dane osobowe uzyskane z innych źródeł, aby próby vishingu wyglądały na legalne.
Najpopularniejsze rodzaje vishingu
1) Wardialing
2. Ataki oparte na VoIP
3. fałszowanie identyfikatora dzwoniącego
4. Pozyskiwanie w pojemnikach
1) Wardialing
Wardialing wykorzystuje różne rodzaje technologii do automatycznego wybierania dużej liczby numerów telefonicznych w krótkich odstępach czasu, zwykle w celu wykrycia luk w zabezpieczeniach i infrastrukturze IT.
Hakerzy często używają narzędzi wardialingowych do znajdowania niezabezpieczonych modemów, czasami znanych jako "wardialers" lub "demon dialers". Zajmuje to bardzo mało czasu
jeśli oszust zlokalizuje listę numerów podłączonych do modemów.
2. Ataki oparte na VoIP
Przesyłanie głosu i treści multimedialnych za pośrednictwem połączenia internetowego jest znane jako Voice over Internet Protocol (VoIP). Użytkownicy mogą wykonywać połączenia głosowe za pomocą VoIP za pośrednictwem swoich komputerów, smartfonów, innych platform cyfrowych, takich jak telefony VoIP i strony internetowe obsługujące komunikację w czasie rzeczywistym (WebRTC).
VoIP jest korzystną technologią zarówno dla osób prywatnych, jak i firm, ponieważ często zawiera dodatkowe możliwości, których nie ma w tradycyjnych systemach telefonicznych. Jest również przydatna dla firm jako sposób na ujednolicenie komunikacji.
Niestety, VoIP może być wykorzystywany przez nieuczciwe osoby do inicjowania ataków typu vishing. Atakujący rejestruje domenę i tworzy strony phishingowe, które przypominają stronę logowania do sieci organizacji. W rezultacie połączenia VoIP zainicjowane przez podmiot stanowiący zagrożenie wydają się pochodzić z tej samej sieci. Ponadto, ponieważ VoIP często wymaga uwierzytelniania wieloskładnikowego, dzwoniący może poprosić ofiarę o odwiedzenie fałszywej strony i udostępnienie swoich danych.
3. fałszowanie identyfikatora dzwoniącego
Spoofing ma miejsce, gdy dzwoniący celowo fałszuje informacje wysyłane na ekran połączenia przychodzącego, aby ukryć swoją tożsamość. Oszuści często stosują technikę "spoofingu sąsiada", aby identyfikator dzwoniącego wydawał się pochodzić z numeru lokalnego lub podszywał się pod firmę lub instytucję rządową, której ofiara już ufa.
Jeśli takie połączenie zostanie odebrane, atakujący próbuje ukraść fundusze lub krytyczne dane, które mogą zostać wykorzystane w nieuczciwych działaniach. Skrypty oszustwa są ważną częścią ataków spoofingu identyfikatora dzwoniącego, ponieważ dodatkowo wzmacniają przekonanie, że dzwoniący jest legalny.
4. Pozyskiwanie w pojemnikach
Grzebanie w koszach na śmieci - zarówno fizycznych, jak i cyfrowych - należących do banków, budynków korporacyjnych i innych instytucji jest łatwym i popularnym sposobem zbierania danych kontaktowych ofiar vishingu.
Przestępcy mogą zebrać wystarczającą ilość informacji z rozdrobnionych dokumentów, wyrzuconych urządzeń pamięci masowej, starych kalendarzy, kserokopii itp. w celu przeprowadzenia ukierunkowanego ataku typu spear-phishing.
Zapobieganie atakom phishingowym: osiem najlepszych praktyk na 2022 rok
Gdy dana osoba padnie ofiarą ataku vishingowego, trudno jest odwrócić jego skutki i odzyskać odszkodowanie. Nawet jeśli organy ścigania zidentyfikują sprawcę, odzyskanie odszkodowania jest wyzwaniem. Dlatego tak ważne jest podejmowanie proaktywnych kroków w celu zapobiegania atakom vishingowym poprzez stosowanie się do poniższych najlepszych praktyk:
Dobre praktyki zapobiegające wyłudzaniu danych
1. mieć połączenie VPN
Wirtualna sieć prywatna (VPN) chroni informacje udostępniane przez Internet i utrudnia oszustom uzyskanie danych kontaktowych użytkownika.
VPN szyfruje ruch sieciowy i wysyła go przez bezpieczny tunel przed dotarciem do serwera VPN, który maskuje jego adres IP. W rezultacie podmioty stanowiące zagrożenie nie będą znały Twojej lokalizacji, co utrudnia przeprowadzanie ataków socjotechnicznych. Zamierzona ofiara może po prostu zapytać dzwoniącego o jego lokalizację, aby sprawdzić, czy połączenie jest legalne.
2. Zwracaj uwagę na "pilne" połączenia.
Gdy dzwoniący stwarza poczucie pilności, należy uznać to za sygnał ostrzegawczy. Na przykład, naciągacze mogą próbować przekonać ofiarę, że mogą spotkać ją negatywne konsekwencje, jeśli nie przekaże swoich danych bankowych lub nie zapłaci niezapłaconego rachunku w trybie natychmiastowym.
Możesz się rozłączyć lub poprosić o dane kontaktowe dzwoniącego i powiedzieć mu, że oddzwonisz później. Jeśli jest to oszustwo, dzwoniący zwykle wywiera większą presję lub rozłącza się.
3. Korzystanie z narzędzi do blokowania połączeń automatycznych
Narzędzia do blokowania połączeń automatycznych, popularnie zwane filtrami połączeń, to programy komputerowe wykrywające automatyczne połączenia. Jeśli podmiot zewnętrzny zastosował techniki wybierania numerów, narzędzie do blokowania połączeń automatycznych natychmiast je zidentyfikuje i zablokuje.
4. Wdrożenie procesów wewnętrznych
Kto odbiera telefon, gdy dzwoni ogólny numer organizacji? Czy może on łatwo trafić w ręce niewłaściwego pracownika?
Przekazywanie telefonu od jednego użytkownika do drugiego może powodować zamieszanie i powodować, że pracownicy w organizacji tracą orientację, kto jest po drugiej stronie połączenia.
Zatrudnienie dedykowanej recepcjonistki do odfiltrowania złych od dobrych może być przydatne w razie potrzeby i zapewnić, że wszyscy pracownicy sprawdzą, kto dzwoni, gdy zostanie przekazany komuś innemu.
Inną opcją jest stworzenie procesu, w którym odbiorca potwierdza z "wnioskodawcą" bezpośrednio za pośrednictwem innego oficjalnego kanału przed przekazaniem telefonu.
5. Upewnij się, że wszystkie urządzenia mają uwierzytelnianie wieloskładnikowe.
Korzystanie z haseł o wysokim poziomie bezpieczeństwa jest bardzo dobre, ale uwierzytelnianie wieloskładnikowe zapewnia dodatkowe warstwy bezpieczeństwa, które zapewniają, że konto nie może zostać naruszone za pomocą jednego hasła.
Google ogłosił, że uwierzytelnianie wieloskładnikowe będzie obowiązkowe dla 150 milionów użytkowników do 2021 roku, aby zapewnić ulepszoną warstwę zabezpieczeń przed zagrożeniami, a tym samym zmniejszyć liczbę naruszonych kont o 50%.
Wnioski
Vishing może nie być głównym problemem dla Twojej organizacji, ale powinien nim być. Bez względu na to, jak inteligentna lub zdolna jest Twoja firma i Twoi współpracownicy, taktyki inżynierii społecznej są wystarczająco potężne, aby zaskoczyć każdego.
Teraz, gdy wiesz już o vishingu, ważne jest, abyś podzielił się tymi informacjami ze swoimi pracownikami.
Poinformuj ich, że przesłuchanie dzwoniącego i zweryfikowanie informacji z kimś za pośrednictwem oficjalnych kanałów może stanowić różnicę między bezpiecznymi danymi a ryzykiem cyberincydentu lub naruszenia danych.
