Vad är Vishing?
Vishing definieras som en cybersäkerhetsattack där en skadlig enhet kontaktar offret via telefon och försöker vinna offrets förtroende genom social ingenjörskonst för att komma över konfidentiella uppgifter, ta ut pengar eller på annat sätt skada individen.
Detta är i huvudsak en typ av phishing-attack som utförs via röstmedia, vilket är anledningen till att det kallas en vishing-attack.
Mekanism för Vishing-attack
Vishing sker vanligtvis i form av ett brådskande eller oroande telefonsamtal. Den som ringer kan till exempel hävda att offrets konto har hackats och att de behöver ett PIN-nummer för att validera sin identitet eller öppna kontot igen.
De kan också påstå att de ringer på uppdrag av en myndighet, t.ex. skattemyndigheten (Internal Revenue Service, IRS) eller socialförsäkringsmyndigheten (Social Security Administration). De kan även insistera på att offret är skyldigt pengar eller har vunnit en tävling.
Dessa är alla fall av "vishing" (som diskuterats, en fras som blandar "voice" och "phishing" för att indikera en telefonbluff). Phishing är en term som används för att beskriva alla försök av cyberbrottslingar att lura människor att lämna ifrån sig pengar, personuppgifter eller hemlig information. På samma sätt kan e-post och system för kortmeddelanden eller textmeddelanden ("smishing") också användas för att begå bedrägerier.
Vishing är ett cyberbrott där brottslingar använder offrens telefoner för att få fram information som kan skada personen eller gynna förövaren på något sätt.
Cyberbedragare använder sofistikerade tekniker för social ingenjörskonst för att övertyga offren om att lämna ut personuppgifter och till och med tillgång till bankkonton eller affärshemligheter. Precis som smishing och phishing fokuserar vishing på att övertyga offren om att det är rätt att gå med på uppringarens krav. Uppringarna utger sig ofta för att vara myndigheter, skatteverket, offrets finansinstitut eller polisen.
För att lyckas med denna taktik krävs effektiv social engineering, dvs. att man utnyttjar en persons psykologi för att skapa en övertygande effekt. Vishing-förövarna använder hot eller positiv övertalning för att få offren att känna att de måste lämna den begärda informationen. Offren kan också få hotfulla röstmeddelanden som säger att de riskerar åtal eller att deras bankkonton fryses om de inte ringer tillbaka på rätt sätt.
Hur fungerar vishing?
Nätfiskare använder ofta falsk nummerpresentation för att lura offren att tro att ett telefonsamtal kommer från ett pålitligt företag eller en lokal kvarterskod.
De utger sig ofta för att vara betrodda enheter för att lura offren att dela med sig av sina uppgifter. De kan till exempel utge sig för att vara chef för en bank eller ett kreditkortsföretag, en fordringsägare eller en skattemyndighet. Bedragarna skapar en känsla av brådska när det tilltänkta offret svarar i telefon för att utnyttja deras känslor och tvinga dem att svara på krav.
Vishing kan se ut på många olika sätt, men målet är alltid detsamma: att lura offret att lämna ut personlig information, antingen för ekonomisk vinning eller för att begå andra brott, t.ex. identitetsstöld.
Ett av skälen till att dessa attacker kan vara övertygande är att bedragare kan använda personlig information från andra källor för att få vishing-försök att verka legitima.
De vanligaste typerna av vishing
1. Wardialing
2. VoIP-baserade angrepp
3. Förfalskning av nummerpresentation
4. Plundring av containrar
1. Wardialing
Wardialing använder olika typer av teknik för att automatiskt ringa upp ett stort antal telefonnummer i snabb följd, vanligtvis för att upptäcka brister i säkerhet och IT-infrastruktur.
Hackare använder ofta wardialing-verktyg för att hitta osäkra modem, ibland kända som "wardialers" eller "demon dialers". Det tar väldigt lite tid
att göra det om bedragaren hittar listan över nummer som är anslutna till modemen.
2. VoIP-baserade angrepp
Överföring av röst och multimediainnehåll via en Internetanslutning kallas Voice over Internet Protocol (VoIP). Användare kan ringa röstsamtal med VoIP via sina datorer, smartphones, andra digitala plattformar som VoIP-telefoner och Web Real Time Communication (WebRTC)-aktiverade webbplatser.
VoIP är en fördelaktig teknik för både privatpersoner och företag, eftersom den ofta innehåller ytterligare funktioner som inte finns i traditionella telefonsystem. Det är också användbart för företag som ett sätt att förenhetliga kommunikationen.
Tyvärr kan VoIP utnyttjas av bedrägliga personer för att initiera vishing-attacker. Angriparen registrerar en domän och skapar phishing-sidor som liknar organisationens inloggningssida för nätverket. Detta leder till att VoIP-samtal som initieras av hotaktören ser ut att komma från samma nätverk. Eftersom VoIP ofta kräver multifaktorautentisering kan den som ringer dessutom be offret att besöka den bedrägliga sidan och dela med sig av sina uppgifter.
3. Förfalskning av nummerpresentation
Spoofing innebär att en uppringare avsiktligt förfalskar den information som skickas till skärmen för inkommande samtal för att dölja sin identitet. Bedragare använder ofta tekniken "spoofing neighbour" för att få nummerpresentatören att se ut att komma från ett lokalt nummer eller för att utge sig för att vara ett företag eller en myndighet som offret redan litar på.
Om ett sådant samtal besvaras försöker angriparen stjäla pengar eller viktig information, som kan användas för bedrägerier. Scam scripts är en viktig del av spoofing-attacker mot nummerpresentation, eftersom de ytterligare förstärker tron på att den som ringer är legitim.
4. Plundring av containrar
Att rota igenom papperskorgar - både fysiska och digitala - som tillhör banker, företag och andra institutioner är ett enkelt och populärt sätt att samla in kontaktuppgifter till vishingoffer.
Brottslingar kan samla in tillräckligt med information från strimlade dokument, kasserade lagringsenheter, gamla kalendrar, fotokopior etc. för att genomföra en ämnesfokuserad spear-phishing-attack.
Förhindra nätfiskeattacker: Åtta bästa metoder för 2022
När en person väl har drabbats av en vishing-attack är det svårt att motverka effekterna och få skadestånd. Även om polisen identifierar den skyldige är det svårt att få ut skadestånd. Därför är det viktigt att vidta proaktiva åtgärder för att förhindra vishing-attacker genom att följa dessa bästa metoder:
Bra metoder för att förhindra vishing
1. Ha en VPN-anslutning
Ett virtuellt privat nätverk (VPN) skyddar information som delas över Internet och gör det svårare för bedragare att få tag på dina kontaktuppgifter.
VPN krypterar nätverkstrafiken och skickar den genom en säker tunnel innan den når en VPN-server som maskerar IP-adressen. Som ett resultat kommer hotaktörer inte att veta var du befinner dig, vilket gör det svårt att utföra sociala ingenjörsattacker. Det tänkta offret kan helt enkelt fråga den som ringer om sin position för att kontrollera om samtalet är legitimt.
2. Håll utkik efter "brådskande" samtal.
När en uppringare skapar en känsla av brådska bör du betrakta det som en varningssignal. Vishers kan till exempel försöka övertyga offret om att det kan få negativa konsekvenser om de inte lämnar ut sina bankuppgifter eller betalar en obetald räkning omedelbart.
Du kan lägga på eller be om uppringarens kontaktuppgifter och säga att du ringer tillbaka senare. Om det är en bluff kommer den som ringer vanligtvis att utöva mer påtryckningar eller lägga på luren.
3. Använd verktyg för blockering av robocalls
Verktyg för blockering av robotsamtal, populärt kallade samtalsfilter, är datorprogram som upptäcker automatiserade samtal. Om en tredje part har använt sig av wardialing-teknik kommer robocall-blockeraren att identifiera och blockera den omedelbart.
4. Implementera interna processer
Vem tar telefonen när organisationens allmänna nummer ringer? Kan det lätt hamna i händerna på fel medarbetare?
Att skicka telefonen från en användare till en annan kan skapa förvirring och leda till att medarbetare i organisationen tappar bort vem som är i andra änden av samtalet.
Att anställa en särskild receptionist som kan filtrera bort de dåliga från de bra kan vara användbart vid behov och säkerställa att alla anställda kontrollerar vem som ringer när de kopplas vidare till någon annan.
Ett annat alternativ är att skapa en process där mottagaren bekräftar med "frågeställaren" direkt via en annan officiell kanal innan han eller hon lämnar över telefonen.
5. Se till att alla enheter har flerfaktorsautentisering.
Det är bra att använda lösenord med hög säkerhet, men multifaktorautentisering ger de extra säkerhetslager som säkerställer att ditt konto inte kan komprometteras med ett enda lösenord.
Google meddelade att multifaktorautentisering kommer att vara obligatoriskt för 150 miljoner användare 2021 för att ge ett förbättrat säkerhetslager mot hot och därmed minska antalet komprometterade konton med 50%.
Slutsats
Vishing kanske inte är ett stort problem för din organisation, men det borde det vara. Oavsett hur smarta eller kompetenta ditt företag och dina kollegor är, är socialtekniska metoder tillräckligt kraftfulla för att överraska vem som helst.
Nu när du känner till vishing är det viktigt att du delar med dig av denna information till dina anställda.
Låt dem veta att om du frågar den som ringer och verifierar informationen med någon via officiella kanaler kan det vara skillnaden mellan säkra data och risken för en cyberincident eller ett dataintrång.
