Kaj je ribarjenje?
Vishing je opredeljen kot napad na kibernetsko varnost, pri katerem zlonamerni subjekt po telefonu vzpostavi stik z žrtvijo in poskuša pridobiti njeno zaupanje z uporabo metod socialnega inženiringa, da bi pridobil zaupne podatke, pridobil sredstva ali kako drugače škodoval posamezniku.
V bistvu gre za vrsto napada ribarjenja, ki se izvaja prek glasovnih medijev, zato ga imenujemo napad vishing.
Mehanizem napada Vishing
Vishing je običajno v obliki nujnega ali zaskrbljujočega telefonskega klica. Klicatelj lahko na primer trdi, da je bil račun žrtve vdrt in da potrebuje številko PIN za potrditev svoje identitete ali ponovno odprtje računa.
Lahko tudi trdijo, da kličejo v imenu vladne agencije, na primer službe za notranje prihodke (IRS) ali uprave za socialno varnost. Lahko celo vztrajajo, da je žrtev dolžna denar ali da je zmagala na tekmovanju.
Vse to so primeri "vishinga" (kot smo že omenili, gre za besedno zvezo, ki združuje besedi "voice" in "phishing" ter označuje telefonsko prevaro). Phishing je izraz, ki se uporablja za opis vseh prizadevanj kibernetskih kriminalcev, da bi ljudi prevarali, da bi jim izročili denar, osebne podatke ali tajne informacije. Podobno se lahko za goljufije uporabljajo tudi elektronska pošta in sistemi za pošiljanje kratkih ali besedilnih sporočil ("smishing").
Vishing je kibernetsko kaznivo dejanje, pri katerem storilci kaznivih dejanj uporabljajo telefone žrtev, da bi od njih pridobili informacije, ki bi škodovale osebi ali storilcu na kakršen koli način koristile.
Kibernetski prevaranti s prefinjenimi tehnikami socialnega inženiringa prepričajo žrtve, da jim posredujejo osebne podatke in celo dostop do bančnih računov ali poslovnih skrivnosti. Podobno kot ribarjenje in phishing se tudi vishing osredotoča na prepričevanje žrtev, da je izpolnjevanje klicateljevih zahtev ustrezen odziv. Klicatelji se pogosto predstavljajo kot državni organi, davčna agencija, finančna institucija žrtve ali policija.
Uspeh te taktike je odvisen od učinkovitega socialnega inženiringa, tj. izkoriščanja psihologije osebe za ustvarjanje prepričljivega učinka. Storilci, ki izvajajo ribarjenje, uporabljajo grožnje ali pozitivno prepričevanje, da žrtve dobijo občutek, da morajo posredovati zahtevane podatke. Žrtve lahko prejmejo tudi grozeča glasovna sporočila, v katerih jim sporočajo, da jim grozi kazenski pregon ali zamrznitev bančnih računov, če ne bodo pravilno poklicali nazaj.
Kako deluje izsiljevanje?
Napadalci, ki izvajajo ribarjenje, pogosto uporabljajo ponarejanje identitete klicatelja, da žrtve prepričajo, da telefonski klic prihaja iz zaupanja vrednega podjetja ali krajevne številke.
Pogosto delujejo kot zaupanja vredni subjekti in žrtve prepričajo, da jim posredujejo svoje podatke. Lahko se na primer izdajajo za vodjo banke ali agencije za kreditne kartice, upnika ali uslužbenca davčne uprave. Ti goljufi ustvarijo občutek nujnosti, ko se nameravana žrtev oglasi na telefon, da bi izkoristili njena čustva in jo prisilili, da se odzove na zahteve.
Vishing ima lahko različne oblike, vendar je cilj vedno enak: žrtev z zvijačo prisiliti, da razkrije osebne podatke, in sicer zaradi denarne koristi ali drugih kaznivih dejanj, kot je kraja identitete.
Eden od razlogov, zakaj so ti napadi lahko prepričljivi, je, da lahko goljufi uporabijo osebne podatke, pridobljene iz drugih virov, da so poskusi izsiljevanja videti legitimni.
Najpogostejše vrste izsiljevanja
1. Izbiranje
2. Napadi na podlagi VoIP
3. Izkrivljanje identitete klicatelja
4. Odstranjevanje odpadkov v zabojnikih
1. Izbiranje
Pri izbiranju številk se uporabljajo različne vrste tehnologij za samodejno zaporedno izbiranje velikega števila telefonskih številk, običajno za odkrivanje pomanjkljivosti v varnosti in infrastrukturi IT.
Hekerji za iskanje nezavarovanih modemov pogosto uporabljajo orodja za klicanje, ki so včasih znana kot "klicalniki" ali "demonski klicalniki". Za to je potrebnega zelo malo časa
če prevarant najde seznam številk, ki so povezane z modemi.
2. Napadi na podlagi VoIP
Prenos glasovne in večpredstavnostne vsebine prek internetne povezave je znan kot prenos glasu prek internetnega protokola (VoIP). Uporabniki lahko prek računalnikov, pametnih telefonov, drugih digitalnih platform, kot so telefoni VoIP in spletna mesta, ki omogočajo komunikacijo v realnem času (WebRTC), opravljajo glasovne klice prek VoIP.
VoIP je koristna tehnologija tako za posameznike kot za podjetja, saj pogosto vsebuje dodatne možnosti, ki jih običajni telefonski sistemi ne ponujajo. Uporabna je tudi za podjetja, saj omogoča poenotenje komunikacij.
Na žalost lahko nepošteni posamezniki VoIP izkoristijo za napade vishing. Napadalec registrira domeno in ustvari lažne strani, ki so podobne prijavni strani v omrežje organizacije. Zato se zdi, da klici VoIP, ki jih sproži napadalec, izvirajo iz istega omrežja. Poleg tega, ker VoIP pogosto zahteva večfaktorsko preverjanje pristnosti, lahko klicatelj od žrtve zahteva, da obišče goljufivo stran in posreduje svoje podatke.
3. Izkrivljanje identitete klicatelja
Prikrojevanje se pojavi, ko klicatelj namerno ponaredi informacije, poslane na zaslon dohodnega klica, da bi skril svojo identiteto. Goljufi pogosto uporabljajo tehniko "lažnega soseda", da se zdi, da kliče iz lokalne številke, ali da se izdajajo za podjetje ali vladno institucijo, ki ji žrtev že zaupa.
Če se na tak klic odzovete, napadalec poskuša ukrasti sredstva ali ključne podatke, ki jih lahko uporabi za goljufive dejavnosti. Prevarantski scenariji so pomemben del napadov na ponarejanje identitete klicatelja, saj še dodatno utrjujejo prepričanje, da je klicatelj legitimen.
4. Odstranjevanje odpadkov v zabojnikih
Brskanje po koših za smeti - tako fizičnih kot digitalnih - v bankah, stavbah podjetij in drugih ustanovah je preprost in priljubljen način zbiranja kontaktnih podatkov žrtev izsiljevanja.
Zločinci lahko iz uničenih dokumentov, odvrženih pomnilniških naprav, starih koledarjev, fotokopij itd. zberejo dovolj informacij, da lahko izvedejo napad z ribarjenjem, usmerjenim v posamezno temo.
Preprečevanje phishing napadov: osem najboljših praks za leto 2022
Ko oseba postane žrtev napada izsiljevanja, je težko odpraviti njegove posledice in izterjati škodo. Tudi če organi pregona odkrijejo storilca, je izterjava škode zahtevna. Zato je ključnega pomena, da sprejmete proaktivne ukrepe za preprečevanje napadov s pomočjo teh najboljših praks:
Dobre prakse za preprečevanje izsiljevanja
1. Imejte povezavo VPN
Navidezno zasebno omrežje (VPN) ščiti podatke, ki se izmenjujejo prek interneta, in goljufom otežuje dostop do vaših kontaktnih podatkov.
VPN šifrira omrežni promet in ga pošlje skozi varen tunel, preden doseže strežnik VPN, ki maskira njegov naslov IP. Zato udeleženci groženj ne bodo vedeli, kje se nahajate, kar otežuje izvajanje napadov s socialnim inženiringom. Nameravana žrtev lahko klicatelja preprosto vpraša o njegovi lokaciji in preveri, ali je klic zakonit.
2. Bodite pozorni na "nujne" klice.
Če klicatelj vzbuja občutek nujnosti, morate to označiti kot rdečo zastavo. Klicatelji lahko na primer poskušajo žrtev prepričati, da bi lahko prišlo do negativnih posledic, če dejansko ne bi takoj posredovala svojih bančnih podatkov ali plačala neplačanega računa.
Lahko odložite slušalko ali pa prosite klicatelja za kontaktne podatke in mu poveste, da ga boste poklicali pozneje. Če gre za prevaro, bo klicatelj običajno še bolj pritiskal ali pa bo odložil.
3. Uporabite orodja za blokiranje robotskih klicev
Orodja za blokiranje robotskih klicev, znana kot filtri klicev, so računalniški programi, ki zaznavajo samodejne klice. Če je tretja oseba uporabila tehnike klicanja, jih bo blokator robotskih klicev prepoznal in takoj blokiral.
4. Izvajanje notranjih procesov
Kdo dvigne telefon, ko zazvoni splošna številka organizacije? Ali lahko telefon zlahka pristane v rokah napačnega zaposlenega?
Posredovanje telefona od enega uporabnika do drugega lahko povzroči zmedo in povzroči, da zaposleni v organizaciji ne vedo, kdo je na drugi strani klica.
Po potrebi je lahko koristno najeti posebnega receptorja, ki izloči slabe od dobrih, in zagotoviti, da vsi zaposleni preverijo, kdo jih kliče, ko jih posredujejo drugim.
Druga možnost je, da ustvarite postopek, v katerem prejemnik pred predajo telefona potrdi "prosilca" neposredno prek drugega uradnega kanala.
5. Zagotovite, da imajo vse naprave večfaktorsko preverjanje pristnosti.
Uporaba visokozavarovanih gesel je zelo dobra, vendar večfaktorsko preverjanje pristnosti zagotavlja dodatne varnostne plasti, ki zagotavljajo, da računa ni mogoče ogroziti z enim samim geslom.
Google je napovedal, da bo večfaktorsko preverjanje pristnosti do leta 2021 obvezno za 150 milijonov uporabnikov, da bi zagotovil izboljšano raven varnosti pred grožnjami in tako zmanjšal število kompromitiranih računov za 50%.
Zaključek
Vishing morda ni glavna skrb vaše organizacije, vendar bi morala biti. Ne glede na to, kako pametno ali sposobno je vaše podjetje in vaši sodelavci, so taktike socialnega inženiringa dovolj močne, da presenetijo vsakogar.
Zdaj, ko veste, kaj se dogaja z izsiljevanjem, je pomembno, da te informacije posredujete svojim zaposlenim.
Povejte jim, da je spraševanje klicatelja in preverjanje informacij po uradni poti lahko razlika med varnimi podatki in tveganjem kibernetskega incidenta ali kršitve varnosti podatkov.
