Що таке вішинг?
Вішинг - це кібератака, під час якої зловмисник зв'язується з жертвою по телефону і намагається завоювати її довіру за допомогою методів соціальної інженерії, щоб отримати конфіденційні дані, виманити кошти або завдати іншої шкоди людині.
По суті, це різновид фішингової атаки, що здійснюється через голосові носії, тому її ще називають вішинг-атакою.
Механізм вішингової атаки
Вішинг зазвичай відбувається у формі термінового або тривожного телефонного дзвінка. Наприклад, абонент може стверджувати, що обліковий запис жертви було зламано і що йому потрібен PIN-код для підтвердження особи або відновлення доступу до рахунку.
Вони також можуть стверджувати, що телефонують від імені державної установи, наприклад, Служби внутрішніх доходів (IRS) або Адміністрації соціального забезпечення. Вони можуть навіть наполягати на тому, що жертва винна гроші або виграла конкурс.
Це все випадки "вішингу" (як уже зазначалося, словосполучення, що поєднує в собі "голос" і "фішинг", позначає телефонне шахрайство). Фішинг - це термін, який використовується для опису будь-яких спроб кіберзлочинців обманом змусити людей передати гроші, персональні дані або секретну інформацію. Аналогічно, електронна пошта та системи обміну короткими повідомленнями або текстовими повідомленнями ("смішинг") також можуть бути використані для вчинення шахрайства.
Вішинг - це кіберзлочин, в якому злочинці використовують телефони жертв для отримання інформації, яка може зашкодити людині або принести певну вигоду злочинцю.
Кібер-шахраї використовують складні методи соціальної інженерії, щоб переконати жертв надати персональні дані та навіть доступ до банківських рахунків або комерційної таємниці. Як і смішинг та фішинг, вішинг фокусується на переконанні жертв у тому, що виконання вимог абонента є правильною відповіддю. Телефонуючі часто представляються державними органами, податковою службою, фінансовою установою жертви або поліцією.
Успіх цієї тактики залежить від ефективної соціальної інженерії, тобто використання психології людини для створення переконливого ефекту. Зловмисники використовують погрози або позитивне переконання, щоб змусити жертву відчути, що вона повинна надати запитувану інформацію. Жертви також можуть отримувати голосові повідомлення з погрозами про те, що їм загрожує кримінальне переслідування або заморожування банківських рахунків, якщо вони не передзвонять належним чином.
Як працює вішинг?
Фішингові зловмисники часто використовують підробку ідентифікатора абонента, щоб обдурити жертву і змусити її повірити, що дзвінок надходить з перевіреної компанії або місцевого телефонного коду.
Вони часто діють як довірені особи, щоб обманом змусити жертву поділитися своїми даними. Наприклад, вони можуть видавати себе за керівника банку або кредитного агентства, кредитора або агента податкової служби. Ці шахраї створюють відчуття терміновості, коли жертва відповідає на телефонний дзвінок, щоб зіграти на її почуттях і змусити відповісти на вимоги.
Вішинг може набувати різних форм, але мета завжди одна: обманом змусити жертву розкрити особисту інформацію для отримання грошової винагороди або для вчинення інших злочинів, наприклад, крадіжки особистих даних.
Однією з причин переконливості цих атак є те, що шахраї можуть використовувати особисту інформацію, отриману з інших джерел, щоб надати спробам вішингу легітимного вигляду.
Найпоширеніші види вішингу
1. охорона
2. Атаки на основі VoIP
3. підробка ідентифікатора абонента
4. Сміття в контейнерах
1. охорона
Вардіалінг використовує різні типи технологій для автоматичного набору великої кількості телефонних номерів у швидкій послідовності, як правило, для виявлення недоліків у системі безпеки та ІТ-інфраструктурі.
Хакери часто використовують інструменти для пошуку незахищених модемів, які іноді називають "вартовими" або "демонічними номеронабирачами". Це займає дуже мало часу
зробити це, якщо шахрай знайде список номерів, які підключені до модемів.
2. Атаки на основі VoIP
Передача голосу та мультимедійного контенту через Інтернет-з'єднання відома як передача голосу через Інтернет-протокол (VoIP). Користувачі можуть здійснювати голосові дзвінки за допомогою VoIP через комп'ютери, смартфони, інші цифрові платформи, такі як VoIP-телефони та сайти з підтримкою Web Real Time Communication (WebRTC).
VoIP - це вигідна технологія як для приватних осіб, так і для бізнесу, оскільки вона часто містить додаткові можливості, яких немає в традиційних телефонних системах. Вона також корисна для бізнесу як засіб уніфікації комунікацій.
На жаль, VoIP може використовуватися шахраями для здійснення вішингових атак. Зловмисник реєструє домен і створює фішингові сторінки, які нагадують сторінку входу в мережу організації. В результаті VoIP-дзвінки, ініційовані зловмисником, здаються такими, що походять з тієї ж мережі. Крім того, оскільки VoIP часто вимагає багатофакторної автентифікації, зловмисник може попросити жертву перейти на шахрайську сторінку і повідомити свої дані.
3. підробка ідентифікатора абонента
Спуфінг відбувається, коли абонент навмисно фальсифікує інформацію, що надсилається на екран вхідного дзвінка, щоб приховати свою особу. Шахраї часто використовують техніку "підміни сусіда", щоб створити враження, що дзвінок надходить з місцевого номера, або видають себе за компанію чи державну установу, якій жертва вже довіряє.
Якщо на такий дзвінок відповідають, зловмисник намагається викрасти кошти або важливі дані, які можуть бути використані в шахрайських діях. Шахрайські скрипти є важливою частиною атак на підміну ідентифікатора абонента, оскільки вони ще більше зміцнюють віру в те, що абонент є легітимним.
4. Сміття в контейнерах
Порпання у сміттєвих баках - як фізичних, так і цифрових - у банках, корпоративних будівлях та інших установах є простим і популярним способом збору контактної інформації жертв вішингу.
Злочинці можуть зібрати достатньо інформації з подрібнених документів, викинутих носіїв інформації, старих календарів, фотокопій тощо, щоб здійснити цілеспрямовану фішингову атаку.
Запобігання фішинговим атакам: вісім найкращих практик на 2022 рік
Після того, як людина стає жертвою вішинг-атаки, важко виправити її наслідки та відшкодувати завдані збитки. Навіть якщо правоохоронні органи встановлять особу злочинця, відшкодування збитків є складним завданням. Саме тому дуже важливо вживати проактивних заходів для запобігання вішинг-атакам, дотримуючись цих найкращих практик:
Найкращі практики для запобігання вішингу
1. мати VPN-з'єднання
Віртуальна приватна мережа (VPN) захищає інформацію, якою ви ділитеся через Інтернет, і ускладнює шахраям доступ до ваших контактних даних.
VPN шифрує мережевий трафік і надсилає його через захищений тунель, перш ніж він потрапить на VPN-сервер, який маскує свою IP-адресу. В результаті зловмисники не знатимуть вашого місцезнаходження, що ускладнює проведення атак соціальної інженерії. Потенційна жертва може просто запитати абонента про його місцезнаходження, щоб перевірити, чи є дзвінок легітимним.
2. Будьте уважні до "термінових" дзвінків.
Коли абонент створює відчуття терміновості, це має бути тривожним сигналом. Наприклад, шахраї можуть намагатися переконати жертву, що можуть бути негативні наслідки, якщо вона не надасть свої банківські реквізити або негайно не сплатить неоплачений рахунок.
Ви можете покласти слухавку або попросити контактні дані абонента і сказати, що передзвоните пізніше. Якщо це шахрайство, абонент, як правило, чинитиме більший тиск або кидатиме слухавку.
3. Використовуйте інструменти для блокування дзвінків
Інструменти для блокування робо-дзвінків, відомі як фільтри дзвінків, - це комп'ютерні програми, які виявляють автоматизовані дзвінки. Якщо третя сторона застосувала методи нагляду, робот-блокувальник негайно ідентифікує та заблокує їх.
4. Впроваджувати внутрішні процеси
Хто піднімає слухавку, коли дзвонить загальний номер організації? Чи не потрапить вона до рук не того працівника?
Передача телефону від одного користувача до іншого може створити плутанину і призвести до того, що співробітники організації втратять з поля зору, хто знаходиться на іншому кінці дроту.
За потреби може бути корисним найняти спеціального адміністратора, який відфільтрує погані дзвінки від хороших і переконається, що всі співробітники перевіряють, хто дзвонить, перш ніж передати їх комусь іншому.
Інший варіант - створити процес, коли одержувач підтверджує зв'язок із "запитувачем" безпосередньо через інший офіційний канал, перш ніж передати слухавку.
5. Переконайтеся, що всі пристрої мають багатофакторну автентифікацію.
Використання надійних паролів - це дуже добре, але багатофакторна автентифікація забезпечує додаткові рівні безпеки, які гарантують, що ваш обліковий запис не може бути скомпрометований за допомогою одного пароля.
Google оголосив, що багатофакторна автентифікація стане обов'язковою для 150 мільйонів користувачів до 2021 року, щоб забезпечити посилений рівень захисту від загроз і таким чином зменшити кількість скомпрометованих акаунтів на 50%.
Висновок
Можливо, вішинг не є серйозною проблемою для вашої організації, але це не повинно бути проблемою. Незалежно від того, наскільки розумними чи здібними є ваша компанія та колеги, тактика соціальної інженерії є достатньо потужною, щоб застати зненацька будь-кого.
Тепер, коли ви знаєте про вішинг, важливо поділитися цією інформацією зі своїми співробітниками.
Повідомте їм, що допит абонента та перевірка інформації з кимось через офіційні канали може стати різницею між безпекою даних та ризиком кіберінциденту або витоку даних.
