Что такое вишинг?
Вишинг - это атака в сфере кибербезопасности, в ходе которой злоумышленник связывается с жертвой по телефону и пытается завоевать ее доверие с помощью методов социальной инженерии, чтобы получить конфиденциальные данные, извлечь средства или нанести другой вред.
По сути, это разновидность фишинговой атаки, осуществляемой через голосовые средства связи, поэтому ее называют vishing-атакой.
Механизм вишинговых атак
Вишинг обычно принимает форму срочного или тревожного телефонного звонка. Например, звонящий может утверждать, что счет жертвы был взломан и что ему нужен PIN-код для подтверждения личности или повторного открытия счета.
Они также могут утверждать, что звонят от имени государственного учреждения, например Налоговой службы (IRS) или Управления социального обеспечения. Они могут даже настаивать на том, что жертва должна денег или выиграла конкурс.
Все это - случаи "вишинга" (как уже говорилось, это словосочетание, в котором смешаны слова "голос" и "фишинг", обозначающие телефонное мошенничество). Фишинг - это термин, используемый для описания любых попыток киберпреступников обманом заставить людей передать деньги, личные данные или секретную информацию. Аналогичным образом для мошенничества могут использоваться электронная почта и системы обмена короткими сообщениями или текстовыми сообщениями ("smishing").
Вишинг - это киберпреступление, в котором преступники используют телефоны жертв для получения информации, которая может нанести вред человеку или принести какую-то выгоду преступнику.
Кибермошенники используют сложные методы социальной инженерии, чтобы убедить жертву предоставить личные данные и даже доступ к банковским счетам или коммерческим секретам. Как и смишинг и фишинг, вишинг направлен на то, чтобы убедить жертву в том, что согласие на требования звонящего - это правильная реакция. Звонящие часто выдают себя за представителей государственных органов, налоговой службы, финансового учреждения жертвы или полиции.
Успех этой тактики зависит от эффективной социальной инженерии, то есть использования психологии человека для создания убедительного эффекта. Вишинговые злоумышленники используют угрозы или позитивное убеждение, чтобы заставить жертву почувствовать, что она должна предоставить запрашиваемую информацию. Жертвы также могут получать угрожающие голосовые сообщения, в которых им сообщается, что они рискуют быть привлеченными к ответственности или их банковские счета будут заморожены, если они не перезвонят правильно.
Как работает вишинг?
Фишинговые злоумышленники часто используют подмену идентификатора звонящего, чтобы обмануть жертву и заставить ее поверить, что звонок исходит от надежного предприятия или местного районного кода.
Они часто выдают себя за доверенных лиц, чтобы обманом заставить жертву поделиться своими данными. Например, они могут выдавать себя за руководителя банка или агентства кредитных карт, кредитора или агента налоговой службы. Эти мошенники создают ощущение срочности, когда жертва отвечает на звонок, чтобы использовать ее чувства и заставить ответить на требования.
Вишинг может принимать различные формы, но цель всегда одна: обманом заставить жертву раскрыть личную информацию либо для получения денежной выгоды, либо для совершения других преступлений, например кражи личных данных.
Одна из причин, по которой эти атаки могут быть убедительными, заключается в том, что мошенники могут использовать личную информацию, полученную из других источников, чтобы придать попыткам вишинга видимость легитимности.
Наиболее распространенные типы вишинга
1. набор номера
2. Атаки на основе VoIP
3. подмена идентификатора вызывающего абонента
4. Уборка мусора в контейнерах
1. набор номера
Wardialing использует различные типы технологий для автоматического набора большого количества телефонных номеров в быстрой последовательности, обычно для обнаружения недостатков в системе безопасности и ИТ-инфраструктуре.
Для поиска незащищенных модемов хакеры часто используют инструменты wardialing, которые иногда называют "wardialers" или "demon dialers". Это занимает очень мало времени.
сделать это, если мошенник обнаружит список номеров, подключенных к модемам.
2. Атаки на основе VoIP
Передача голоса и мультимедийного контента через интернет-соединение известна как Voice over Internet Protocol (VoIP). Пользователи могут совершать голосовые звонки с помощью VoIP через свои компьютеры, смартфоны, другие цифровые платформы, такие как VoIP-телефоны и сайты с поддержкой Web Real Time Communication (WebRTC).
VoIP - выгодная технология как для частных лиц, так и для предприятий, поскольку часто содержит дополнительные возможности, которых нет в традиционных телефонных системах. Она также полезна для предприятий как средство унификации коммуникаций.
К сожалению, VoIP может быть использован мошенниками для проведения вишинговых атак. Злоумышленник регистрирует домен и создает фишинговые страницы, напоминающие страницу входа в сеть организации. В результате VoIP-звонки, инициированные злоумышленником, выглядят как исходящие из той же сети. Кроме того, поскольку VoIP часто требует многофакторной аутентификации, звонящий может попросить жертву посетить мошенническую страницу и сообщить свои данные.
3. подмена идентификатора вызывающего абонента
Подмена номера происходит, когда звонящий намеренно искажает информацию, передаваемую на экран входящего вызова, чтобы скрыть свою личность. Мошенники часто используют технику "подмены соседа", чтобы заставить идентификатор звонящего казаться пришедшим с местного номера или выдать себя за компанию или государственное учреждение, которым жертва уже доверяет.
Если на такой звонок отвечают, злоумышленник пытается похитить средства или важные данные, которые могут быть использованы в мошеннических действиях. Сценарии мошенничества являются важной частью атак с подменой идентификатора звонящего, поскольку они еще больше укрепляют веру в то, что звонящий является законным.
4. Уборка мусора в контейнерах
Рыться в мусорных баках - как физических, так и цифровых - банков, корпоративных зданий и других учреждений - простой и популярный способ сбора контактной информации жертв вишинга.
Преступники могут собрать достаточно информации из уничтоженных документов, выброшенных устройств хранения данных, старых календарей, ксерокопий и т. д., чтобы провести целенаправленную атаку с помощью фишинга.
Предотвращение фишинговых атак: восемь лучших практик на 2022 год
После того как человек стал жертвой вишинговой атаки, трудно обратить ее последствия и возместить ущерб. Даже если правоохранительные органы установят виновника, возместить ущерб будет непросто. Именно поэтому очень важно принимать упреждающие меры по предотвращению вишинговых атак, следуя этим лучшим практикам:
Эффективные методы предотвращения вишинга
1. иметь VPN-соединение
Виртуальная частная сеть (VPN) защищает информацию, передаваемую через Интернет, и затрудняет мошенникам доступ к вашим контактным данным.
VPN шифрует сетевой трафик и отправляет его по защищенному туннелю, прежде чем он попадет на VPN-сервер, который маскирует его IP-адрес. В результате участники угроз не узнают о вашем местонахождении, что затрудняет проведение социально-инженерных атак. Предполагаемая жертва может просто спросить абонента о его местонахождении, чтобы проверить, является ли звонок законным.
2. Будьте начеку в случае "срочных" звонков.
Если звонящий создает ощущение срочности, это должно стать тревожным сигналом. Например, визитеры могут попытаться убедить жертву в том, что могут возникнуть негативные последствия, если она не передаст свои банковские реквизиты или не оплатит неоплаченный счет немедленно.
Вы можете повесить трубку или попросить контактные данные звонящего и сказать, что перезвоните позже. Если это мошенничество, звонящий обычно будет оказывать большее давление или бросит трубку.
3. Используйте инструменты для блокировки робозвонков
Средства блокировки робозвонков, известные как фильтры вызовов, - это компьютерные программы, которые обнаруживают автоматические звонки. Если сторонний субъект использует методы вардиалинга, блокировщик робозвонков немедленно определит и заблокирует его.
4. Внедрить внутренние процессы
Кто берет трубку, когда звонит общий номер организации? Может ли он легко попасть в руки не того сотрудника?
Передача телефона от одного пользователя к другому может вызвать путаницу и заставить сотрудников организации потерять представление о том, кто находится на другом конце звонка.
Нанять специального секретаря, который будет отсеивать плохие звонки от хороших, может быть полезно в случае необходимости, а также для того, чтобы все сотрудники проверяли, кто звонит, когда их передают кому-то другому.
Другой вариант - создать процесс, при котором получатель подтверждает связь с "заявителем" непосредственно через другой официальный канал, прежде чем передать телефон.
5. Убедитесь, что все устройства имеют многофакторную аутентификацию.
Использование высокозащищенных паролей - это хорошо, но многофакторная аутентификация обеспечивает дополнительные уровни безопасности, которые гарантируют, что ваш аккаунт не может быть взломан с помощью одного пароля.
Компания Google объявила, что к 2021 году многофакторная аутентификация станет обязательной для 150 миллионов пользователей, чтобы обеспечить повышенный уровень защиты от угроз и тем самым сократить количество взломанных аккаунтов на 50%.
Заключение
Вишинг может не вызывать серьезных опасений у вашей организации, но это должно быть так. Независимо от того, насколько умны и умелы ваша компания и ее коллеги, тактика социальной инженерии достаточно сильна, чтобы застать врасплох любого.
Теперь, когда вы знаете о вишинге, важно поделиться этой информацией со своими сотрудниками.
Пусть они знают, что расспросы звонящего и проверка информации по официальным каналам могут стать разницей между безопасностью данных и риском киберинцидента или утечки данных.
