Ce este Vishing?
Vishing-ul este definit ca un atac de securitate cibernetică în care o entitate rău intenționată contactează victima prin telefon și încearcă să câștige încrederea victimei prin practici de inginerie socială pentru a obține date confidențiale, a extrage fonduri sau a face rău în alt mod.
Acesta este, în esență, un tip de atac de phishing efectuat prin intermediul mijloacelor de comunicare vocală, motiv pentru care se numește atac vishing.
Mecanismul de atac Vishing
Vishing-ul se prezintă de obicei sub forma unui apel telefonic urgent sau deranjant. De exemplu, apelantul poate pretinde că contul victimei a fost spart și că are nevoie de un număr PIN pentru a-și valida identitatea sau pentru a redeschide contul.
De asemenea, aceștia pot pretinde că sună în numele unei agenții guvernamentale, cum ar fi Internal Revenue Service (IRS) sau Social Security Administration. Ei pot chiar insista că victima datorează bani sau că a câștigat un concurs.
Toate acestea sunt cazuri de "vishing" (după cum s-a discutat, o expresie care combină "voce" și "phishing" pentru a indica o înșelătorie prin telefon). Phishing este un termen utilizat pentru a descrie orice efort al infractorilor cibernetici de a păcăli oamenii să le dea bani, date personale sau informații secrete. În mod similar, e-mailul și sistemele de mesaje scurte sau de mesaje text ("smishing") pot fi, de asemenea, utilizate pentru a comite fraude.
Vishing-ul este o infracțiune cibernetică prin care infractorii se folosesc de telefoanele victimelor pentru a extrage informații care ar putea dăuna persoanei în cauză sau ar putea aduce beneficii infractorului într-un fel sau altul.
Escrocii cibernetici folosesc tehnici sofisticate de inginerie socială pentru a convinge victimele să furnizeze date personale și chiar acces la conturi bancare sau la secrete comerciale. La fel ca smishing-ul și phishing-ul, vishing-ul se concentrează pe convingerea victimelor că răspunsul corect este acela de a da curs solicitărilor apelantului. Adesea, apelanții se prezintă drept autorități guvernamentale, agenția fiscală, instituția financiară a victimei sau poliția.
Succesul acestei tactici depinde de o inginerie socială eficientă, adică de exploatarea psihologiei unei persoane pentru a crea un efect convingător. Infractorii de vishing folosesc amenințări sau persuasiune pozitivă pentru a face victimele să simtă că trebuie să furnizeze informațiile solicitate. Victimele pot primi, de asemenea, mesaje vocale amenințătoare în care li se spune că riscă să fie urmărite penal sau să li se blocheze conturile bancare dacă nu sună înapoi în mod corect.
Cum funcționează vishing-ul?
Atacatorii de tip phishing folosesc deseori falsificarea identificatorului de apelant pentru a păcăli victimele să creadă că un apel telefonic provine de la o firmă de încredere sau de la un cod local de cartier.
Aceștia acționează adesea ca entități de încredere pentru a păcăli victimele să le împărtășească datele. De exemplu, se pot da drept director al unei bănci sau al unei agenții de carduri de credit, creditor sau agent al Fiscului. Acești escroci vor crea un sentiment de urgență atunci când victima vizată răspunde la telefon pentru a profita de sentimentele acesteia și a o forța să răspundă la cereri.
Vishing-ul poate lua mai multe forme, dar scopul este întotdeauna același: să păcălească victima să dezvăluie informații personale, fie pentru a obține un câștig monetar, fie pentru a comite alte infracțiuni, cum ar fi furtul de identitate.
Unul dintre motivele pentru care aceste atacuri pot fi convingătoare este faptul că escrocii pot folosi informații personale obținute din alte surse pentru a face ca încercările de vishing să pară legitime.
Cele mai frecvente tipuri de vishing
1. Apelare de război
2. Atacuri bazate pe VoIP
3. Falsificarea identificatorului de apelant (Caller ID spoofing)
4. Colectarea în containere
1. Apelare de război
Wardialing utilizează diferite tipuri de tehnologii pentru a forma automat un număr mare de numere de telefon în succesiune rapidă, de obicei pentru a descoperi deficiențe în securitatea și infrastructura IT.
Hackerii folosesc adesea instrumente de wardialing pentru a găsi modemuri nesecurizate, cunoscute uneori sub numele de "wardialers" sau "demon dialers". Este nevoie de foarte puțin timp
să facă acest lucru dacă escrocul localizează lista numerelor conectate la modemuri.
2. Atacuri bazate pe VoIP
Transferul de voce și de conținut multimedia prin intermediul unei conexiuni la internet este cunoscut sub numele de Voice over Internet Protocol (VoIP). Utilizatorii pot efectua apeluri de voce folosind VoIP prin intermediul calculatoarelor, al telefoanelor inteligente, al altor platforme digitale, cum ar fi telefoanele VoIP și site-urile care permit comunicarea în timp real pe web (WebRTC).
VoIP este o tehnologie benefică atât pentru persoane fizice, cât și pentru întreprinderi, deoarece conține adesea capacități suplimentare care nu se regăsesc în sistemele de telefonie tradiționale. De asemenea, este utilă pentru întreprinderi ca mijloc de unificare a comunicațiilor.
Din păcate, VoIP poate fi exploatat de persoane frauduloase pentru a iniția atacuri de tip vishing. Atacatorul înregistrează un domeniu și creează pagini de phishing care seamănă cu pagina de conectare la rețeaua organizației. Ca urmare, apelurile VoIP inițiate de actorul amenințător par să provină din aceeași rețea. În plus, deoarece VoIP necesită adesea autentificare cu mai mulți factori, apelantul poate cere victimei să viziteze pagina frauduloasă și să își comunice detaliile.
3. Falsificarea identificatorului de apelant (Caller ID spoofing)
Spoofing-ul apare atunci când un apelant falsifică intenționat informațiile trimise pe ecranul apelului de intrare pentru a-și ascunde identitatea. Escrocii folosesc adesea tehnica "spoofing neighbour" pentru a face ca identificarea apelantului să pară că provine de la un număr local sau pentru a se da drept o companie sau o instituție guvernamentală în care victima are deja încredere.
În cazul în care se răspunde la un astfel de apel, atacatorul încearcă să fure fonduri sau date esențiale, care pot fi utilizate în activități frauduloase. Scenariile de escrocherie reprezintă o parte importantă a atacurilor de falsificare a identificatorului de apelant, deoarece acestea întăresc și mai mult convingerea că apelantul este legitim.
4. Colectarea în containere
Scotocirea prin coșurile de gunoi - atât fizice, cât și digitale - aparținând băncilor, clădirilor corporative și altor instituții este un mijloc ușor și popular de a colecta informațiile de contact ale victimelor de vishing.
Infractorii pot aduna suficiente informații din documente distruse, dispozitive de stocare aruncate, calendare vechi, fotocopii etc., pentru a realiza un atac de spear-phishing axat pe subiect.
Prevenirea atacurilor de phishing: Opt bune practici pentru 2022
Odată ce o persoană cade pradă unui atac de tip vishing, este dificil să inverseze efectele acestuia și să recupereze daunele. Chiar dacă organele de aplicare a legii identifică vinovatul, recuperarea daunelor este o provocare. De aceea, este esențial să luați măsuri proactive pentru a preveni atacurile vishing, urmând aceste bune practici:
Bune practici pentru a preveni vishing-ul
1. Aveți o conexiune VPN
O rețea privată virtuală (VPN) protejează informațiile partajate pe internet și face mai dificil pentru infractori să intre în posesia datelor dumneavoastră de contact.
VPN-ul va cripta traficul de rețea și îl va trimite printr-un tunel securizat înainte de a ajunge la un server VPN care își maschează adresa IP. Prin urmare, actorii de amenințare nu vor ști unde vă aflați, ceea ce face dificilă executarea atacurilor de inginerie socială. Victima vizată poate pur și simplu să întrebe apelantul despre locația sa pentru a verifica dacă apelul este legitim.
2. Fiți atenți la apelurile "urgente".
Atunci când un apelant creează un sentiment de urgență, ar trebui să considerați că este un semnal de alarmă. De exemplu, vizionarii pot încerca să convingă victima că ar putea exista consecințe negative dacă nu-și predă efectiv datele bancare sau nu plătește imediat o factură neplătită.
Puteți închide sau puteți cere datele de contact ale apelantului și să-i spuneți că îl veți suna mai târziu. Dacă este vorba de o înșelătorie, cel care sună va exercita de obicei mai multă presiune sau va închide.
3. Utilizați instrumente de blocare a apelurilor robot
Instrumentele de blocare a apelurilor robot, cunoscute sub denumirea populară de filtre de apeluri, sunt programe informatice care detectează apelurile automate. În cazul în care o entitate terță a folosit tehnici de apelare automată, dispozitivul de blocare a apelurilor robot le va identifica și le va bloca imediat.
4. Implementarea proceselor interne
Cine răspunde la telefon atunci când sună numărul general al organizației? Ar putea ajunge cu ușurință în mâinile angajatului greșit?
Trecerea telefonului de la un utilizator la altul poate crea confuzie și poate face ca angajații din organizație să piardă din vedere cine se află la celălalt capăt al apelului.
Angajarea unui recepționer dedicat care să filtreze apelurile rele de cele bune poate fi utilă atunci când este necesar și poate asigura că toți angajații verifică cine sună atunci când sunt trecuți la altcineva.
O altă opțiune este de a crea un proces prin care destinatarul să confirme cu "solicitantul" direct printr-un alt canal oficial înainte de a-i da telefonul.
5. Asigurați-vă că toate dispozitivele dispun de autentificare cu mai mulți factori.
Este foarte bine să folosești parole de înaltă securitate, dar autentificarea cu mai mulți factori oferă acele straturi suplimentare de securitate care asigură că contul tău nu poate fi compromis cu o singură parolă.
Google a anunțat că autentificarea cu mai mulți factori va fi obligatorie pentru 150 de milioane de utilizatori până în 2021, pentru a oferi un nivel sporit de securitate împotriva amenințărilor și pentru a reduce astfel numărul de conturi compromise cu 50%.
Concluzie
Este posibil ca Vishing-ul să nu fie o preocupare majoră pentru organizația dumneavoastră, dar ar trebui să fie. Indiferent cât de inteligenți sau capabili sunt compania și colegii dumneavoastră, tacticile de inginerie socială sunt suficient de puternice pentru a prinde pe oricine cu garda jos.
Acum că știți despre vishing, este important să împărtășiți aceste informații cu angajații dumneavoastră.
Anunțați-i că interogarea interlocutorului și verificarea informațiilor cu cineva prin canale oficiale pot face diferența între date sigure și riscul unui incident cibernetic sau al unei încălcări a securității datelor.
