Čo je to Vishing?
Vishing je definovaný ako kybernetický bezpečnostný útok, pri ktorom škodlivý subjekt telefonicky kontaktuje obeť a pokúša sa získať jej dôveru prostredníctvom metód sociálneho inžinierstva s cieľom získať dôverné údaje, získať finančné prostriedky alebo inak poškodiť jednotlivca.
Ide v podstate o typ phishingového útoku vykonávaného prostredníctvom hlasových médií, preto sa nazýva vishingový útok.
Mechanizmus útoku Vishing
Vishing má zvyčajne podobu naliehavého alebo znepokojujúceho telefonátu. Volajúci môže napríklad tvrdiť, že účet obete bol napadnutý hackermi a že potrebuje číslo PIN na overenie totožnosti alebo opätovné otvorenie účtu.
Môžu tiež tvrdiť, že volajú v mene vládneho orgánu, napríklad daňového úradu (IRS) alebo správy sociálneho zabezpečenia. Môžu dokonca trvať na tom, že obeť dlhuje peniaze alebo vyhrala súťaž.
Vo všetkých týchto prípadoch ide o "vishing" (ako už bolo spomenuté, ide o frázu, ktorá spája "hlas" a "phishing" a označuje telefonický podvod). Phishing je termín používaný na označenie akejkoľvek snahy kyberzločincov vylákať od ľudí peniaze, osobné údaje alebo tajné informácie. Podobne sa na páchanie podvodov môžu používať aj e-maily a systémy krátkych správ alebo textových správ ("smishing").
Vishing je počítačová kriminalita, pri ktorej páchatelia využívajú telefóny obetí na získanie informácií, ktoré by mohli poškodiť danú osobu alebo priniesť páchateľovi nejaký prospech.
Kybernetickí podvodníci používajú sofistikované techniky sociálneho inžinierstva, aby presvedčili obete, aby im poskytli osobné údaje a dokonca prístup k bankovým účtom alebo obchodným tajomstvám. Podobne ako smishing a phishing, aj vishing sa zameriava na presvedčenie obetí, že vyhovieť požiadavkám volajúceho je správna reakcia. Volajúci sa často vydávajú za štátne orgány, daňový úrad, finančnú inštitúciu obete alebo políciu.
Úspech tejto taktiky závisí od účinného sociálneho inžinierstva, t. j. využitia psychológie človeka na vytvorenie presvedčivého efektu. Páchatelia vishingu používajú hrozby alebo pozitívne presviedčanie, aby u obetí vyvolali pocit, že musia poskytnúť požadované informácie. Obete môžu dostať aj výhražné hlasové správy, v ktorých im hovoria, že ak správne nezavolajú späť, hrozí im trestné stíhanie alebo zmrazenie bankových účtov.
Ako funguje vishing?
Phishingoví útočníci často používajú podvrhnutie identifikátora volajúceho, aby obete presvedčili, že telefonát prichádza z dôveryhodnej firmy alebo z miestnej telefónnej stanice.
Často vystupujú ako dôveryhodné subjekty, aby obete oklamali a prinútili ich zdieľať svoje údaje. Môžu sa napríklad vydávať za vedúceho pracovníka banky alebo agentúry vydávajúcej kreditné karty, veriteľa alebo zástupcu daňového úradu. Títo podvodníci vytvoria pocit naliehavosti, keď zamýšľaná obeť zdvihne telefón, aby sa priživili na jej pocitoch a prinútili ju reagovať na požiadavky.
Vishing môže mať rôzne podoby, ale cieľ je vždy rovnaký: vylákať od obete osobné údaje, a to buď za účelom získania peňažného zisku, alebo spáchania iných trestných činov, napríklad krádeže identity.
Jedným z dôvodov, prečo môžu byť tieto útoky presvedčivé, je, že podvodníci môžu použiť osobné údaje získané z iných zdrojov, aby pokusy o vishing vyzerali legitímne.
Najčastejšie typy vishingu
1. Vytáčanie
2. Útoky založené na VoIP
3. Podvrhnutie ID volajúceho
4. Odstraňovanie odpadu v kontajneroch
1. Vytáčanie
Na automatické vytáčanie veľkého počtu telefónnych čísel v rýchlom slede za sebou sa používajú rôzne typy technológií, zvyčajne s cieľom odhaliť nedostatky v zabezpečení a IT infraštruktúre.
Hackeri často používajú nástroje na vyhľadávanie nezabezpečených modemov, niekedy známe ako "wardialers" alebo "demon dialers". Zaberie to veľmi málo času
ak podvodník nájde zoznam čísel, ktoré sú pripojené k modemom.
2. Útoky založené na VoIP
Prenos hlasového a multimediálneho obsahu prostredníctvom internetového pripojenia je známy ako prenos hlasu cez internetový protokol (VoIP). Používatelia môžu uskutočňovať hlasové hovory pomocou VoIP prostredníctvom svojich počítačov, smartfónov, iných digitálnych platforiem, ako sú telefóny VoIP a webové stránky s podporou komunikácie v reálnom čase (WebRTC).
VoIP je výhodná technológia pre jednotlivcov aj podniky, pretože často obsahuje ďalšie možnosti, ktoré sa v tradičných telefónnych systémoch nevyskytujú. Je užitočná aj pre podniky ako prostriedok na zjednotenie komunikácie.
Nanešťastie, VoIP môžu zneužiť podvodníci na iniciovanie vishingových útokov. Útočník si zaregistruje doménu a vytvorí phishingové stránky, ktoré sa podobajú na prihlasovaciu stránku siete organizácie. Výsledkom je, že hovory VoIP iniciované aktérom hrozby vyzerajú, že pochádzajú z tej istej siete. Okrem toho, keďže VoIP často vyžaduje viacfaktorovú autentifikáciu, môže volajúci požiadať obeť, aby navštívila podvodnú stránku a poskytla svoje údaje.
3. Podvrhnutie ID volajúceho
K spoofingu dochádza vtedy, keď volajúci zámerne sfalšuje informácie odoslané na obrazovku prichádzajúceho hovoru, aby skryl svoju identitu. Podvodníci často používajú techniku "spoofing neighbour", aby sa ID volajúceho zdalo, že prichádza z miestneho čísla, alebo aby sa vydávali za spoločnosť alebo štátnu inštitúciu, ktorej obeť už dôveruje.
Ak je takýto hovor prijatý, útočník sa pokúsi ukradnúť finančné prostriedky alebo dôležité údaje, ktoré môže použiť na podvodné aktivity. Podvodné scenáre sú dôležitou súčasťou útokov na falšovanie identifikátora volajúceho, pretože ešte viac posilňujú presvedčenie, že volajúci je legitímny.
4. Odstraňovanie odpadu v kontajneroch
Prehrabávanie odpadkových košov - fyzických aj digitálnych - patriacich bankám, firemným budovám a iným inštitúciám je jednoduchým a obľúbeným spôsobom zhromažďovania kontaktných informácií obetí vishingu.
Zločinci môžu zo skartovaných dokumentov, vyradených úložných zariadení, starých kalendárov, fotokópií atď. získať dostatok informácií na uskutočnenie útoku zameraného na spear-phishing.
Predchádzanie phishingovým útokom: Osem osvedčených postupov na rok 2022
Keď sa osoba stane obeťou vishingového útoku, je ťažké zvrátiť jeho účinky a vymáhať škody. Aj keď orgány činné v trestnom konaní identifikujú páchateľa, vymáhanie škody je náročné. Preto je veľmi dôležité prijať proaktívne opatrenia na predchádzanie vishingovým útokom a dodržiavať tieto osvedčené postupy:
Osvedčené postupy na prevenciu vishingu
1. Majte pripojenie VPN
Virtuálna súkromná sieť (VPN) chráni informácie zdieľané cez internet a sťažuje podvodníkom prístup k vašim kontaktným údajom.
Sieť VPN zašifruje sieťovú prevádzku a odošle ju cez zabezpečený tunel pred dosiahnutím servera VPN, ktorý maskuje svoju IP adresu. V dôsledku toho aktéri hrozieb nepoznajú vašu polohu, čo sťažuje vykonávanie útokov sociálneho inžinierstva. Zamýšľaná obeť sa môže jednoducho opýtať volajúceho na jeho polohu, aby si overila, či je hovor legitímny.
2. Dávajte si pozor na "naliehavé" hovory.
Ak volajúci vyvoláva pocit naliehavosti, mali by ste to považovať za červenú vlajku. Vyzvedači sa môžu napríklad snažiť presvedčiť obeť, že ak skutočne neodovzdá svoje bankové údaje alebo okamžite nezaplatí nezaplatený účet, môže to mať negatívne následky.
Môžete zavesiť alebo požiadať volajúceho o kontaktné údaje a povedať mu, že mu zavoláte neskôr. Ak ide o podvod, volajúci zvyčajne vyvinie väčší tlak alebo zavesí.
3. Používajte nástroje na blokovanie robotických hovorov
Nástroje na blokovanie robotických hovorov, známe ako filtre hovorov, sú počítačové programy na detekciu automatických hovorov. Ak subjekt tretej strany použil techniku podvodného volania, blokátor robocallov ho okamžite identifikuje a zablokuje.
4. Implementácia interných procesov
Kto zdvihne telefón, keď zazvoní všeobecné číslo organizácie? Mohol by sa ľahko dostať do rúk nesprávneho zamestnanca?
Predávanie telefónu z jedného používateľa na druhého môže spôsobiť zmätok a spôsobiť, že zamestnanci v organizácii stratia prehľad o tom, kto je na druhej strane hovoru.
V prípade potreby môže byť užitočné zamestnať špecializovaného recepčného, ktorý odfiltruje zlé od dobrého a zabezpečí, aby všetci zamestnanci skontrolovali, kto volá, keď ho odovzdajú niekomu inému.
Ďalšou možnosťou je vytvoriť proces, v ktorom príjemca pred odovzdaním telefónu potvrdí "žiadateľa" priamo prostredníctvom iného oficiálneho kanála.
5. Zabezpečte, aby všetky zariadenia mali viacfaktorové overovanie.
Používanie hesiel s vysokým stupňom zabezpečenia je veľmi dobré, ale viacfaktorové overovanie poskytuje ďalšie úrovne zabezpečenia, ktoré zabezpečia, že vaše konto nebude možné kompromitovať pomocou jediného hesla.
Spoločnosť Google oznámila, že viacfaktorové overovanie bude do roku 2021 povinné pre 150 miliónov používateľov s cieľom poskytnúť zvýšenú úroveň zabezpečenia proti hrozbám a znížiť tak počet kompromitovaných účtov o 50%.
Záver
Vishing nemusí byť pre vašu organizáciu hlavným problémom, ale mal by byť. Bez ohľadu na to, aká inteligentná alebo schopná je vaša spoločnosť a kolegovia, taktiky sociálneho inžinierstva sú dostatočne silné na to, aby zaskočili každého.
Teraz, keď už viete o vishingu, je dôležité, aby ste tieto informácie poskytli svojim zamestnancom.
Dajte im vedieť, že vypočutie volajúceho a overenie informácií oficiálnou cestou môže byť rozdielom medzi bezpečnými údajmi a rizikom kybernetického incidentu alebo úniku údajov.
