Apa itu Vishing? Mengungkap Penipuan dan Teknik Phishing Suara

Diterbitkan: 2023-10-12
serangan vishing menjelaskan

Vishing, perpaduan berbahaya antara komunikasi suara dan taktik phishing, menghadirkan tantangan berat ketika para penipu menyempurnakan metode mereka dengan kecanggihan yang mengkhawatirkan. Dalam artikel ini, kami mempelajari mekanismenya, manipulasi psikologis yang digunakannya, dan strategi penting untuk pengenalan dan pencegahan, membekali individu dengan pengetahuan untuk menavigasi situasi berbahaya penipuan dunia maya berbasis suara.

Apa itu vishing?

Vishing, atau phishing suara, adalah bentuk serangan rekayasa sosial di mana pelaku ancaman menggunakan panggilan telepon atau pesan suara untuk mengelabui individu agar membocorkan informasi sensitif, seperti kata sandi, detail kartu kredit, atau nomor Jaminan Sosial. Dengan mengeksploitasi kecenderungan manusia untuk memercayai komunikasi suara, pelaku vishing menciptakan rasa urgensi atau ketakutan palsu, sehingga mendorong korban untuk bertindak tanpa memverifikasi identitas penelepon.

Ketika masyarakat semakin menyukai pesan teks, maka penting untuk mengedukasi mereka mengenai cara mengenali dan memerangi vishing, memastikan lanskap komunikasi yang aman di era di mana panggilan telepon terkadang tidak biasa dilakukan. Menyeimbangkan kenyamanan berkirim pesan dengan kesadaran akan ancaman berbasis suara sangat penting dalam menciptakan saluran komunikasi yang aman dan disukai.

Menavigasi lanskap phishing-smishing-vishing

Berasal dari tahun 1990-an, istilah "phishing" menggambarkan taktik yang digunakan penipu sebagai "umpan" untuk menipu korbannya di dunia digital. Istilah ini masih ada sampai sekarang, mewakili penipuan yang melibatkan rekayasa sosial untuk mengelabui individu agar menjadi korban perangkap yang menipu.

Dengan berkembangnya kejahatan dunia maya, terminologi baru seperti "smishing" dan "vishing" bermunculan, termasuk dalam kategori phishing yang lebih luas. Serangan smishing menyebabkan penipu mengirimkan SMS, yang bertujuan untuk meyakinkan penerima agar mengeklik tautan berbahaya atau membagikan informasi pribadi melalui pertukaran teks.

Di sisi lain, vishing menggabungkan komunikasi suara pada beberapa tahap serangan. Tujuan pesan awal adalah untuk membujuk calon korban agar menghubungi suatu nomor, sehingga penyerang dapat melanjutkan penipuannya atau mengonfirmasi kepemilikan nomor yang dihubungi.

Bagaimana cara kerja vishing?

Serangan vishing adalah operasi rumit yang melibatkan lebih dari sekadar memanggil nomor acak untuk mencapai kesuksesan. Selami perjalanan empat fase serangan vishing secara mendetail di bawah ini:

Infografis cara kerja serangan vishing

Fase 1: Investigasi

Serangan dimulai ketika pelaku ancaman meneliti target mereka secara menyeluruh. Pada fase ini, mereka mungkin menyebarkan email phishing, mengantisipasi tanggapan dari calon korban yang siap membagikan rincian kontak mereka. Penggunaan perangkat lunak canggih memungkinkan mereka menelepon banyak orang, memanfaatkan nomor yang berbagi kode area korbannya.

Fase 2: Eksekusi panggilan

Jika korban tertipu oleh email phishing sebelumnya, kemungkinan besar mereka tidak akan terlalu curiga terhadap panggilan masuk tersebut. Tergantung pada kelicikan taktik vishing, korban mungkin mengantisipasi panggilan, sehingga memudahkan para peretas. Para penyerang mengeksploitasi kemungkinan dijawabnya panggilan dari kode area lokal.

Fase 3: Persuasi

Setelah melakukan kontak, tujuan pelaku ancaman beralih ke memanipulasi naluri percaya, ketakutan, keserakahan, dan altruisme yang melekat pada korban. Dengan menggunakan gabungan dari teknik rekayasa sosial ini, mereka meyakinkan para korban dan mungkin membujuk mereka untuk:

  • Mengungkapkan rincian perbankan dan kartu kredit

  • Bagikan alamat email

  • Transfer dana

  • Meneruskan dokumen rahasia terkait pekerjaan

  • Mengungkapkan informasi tentang majikan mereka

Fase 4: Klimaks

Perjalanan vishing tidak berakhir di sini. Berbekal informasi yang diperoleh, pelaku kejahatan siap melakukan pelanggaran tambahan. Mereka mungkin menghabiskan sumber daya bank korban, menggunakan identitas mereka, dan melakukan transaksi yang tidak sah. Terlebih lagi, mereka mungkin memanfaatkan email korban untuk menipu rekan kerja agar memberikan informasi sensitif organisasi.

Metode vishing

Vishers menggunakan berbagai taktik untuk mencapai tujuan menipu mereka. Metode umum meliputi:

  • Spoofing ID Penelepon : Penyerang memanipulasi ID penelepon agar tampak seolah-olah ada entitas tepercaya, seperti bank atau lembaga pemerintah, yang menelepon.

  • Berpura-pura : Penyerang membuat skenario atau dalih palsu untuk mengekstrak informasi dari target.

  • IVR Phishing : Sistem Respon Suara Interaktif Otomatis (IVR) meniru perusahaan sah untuk menangkap data sensitif.

Contoh vishing yang umum

Ketika penipuan ini menjadi semakin canggih, penting untuk mengenali pola dan skenario umum. Sebelum kita mempelajari berbagai contoh vishing, mari kita kenali beberapa taktik yang paling umum sehingga Anda dapat tetap selangkah lebih maju dan melindungi informasi Anda.

Penipuan IRS

Penelepon menyamar sebagai agen IRS, mengklaim korban berhutang pajak dan menghadapi penangkapan kecuali mereka segera membayar, biasanya meminta pembayaran melalui kartu hadiah atau transfer kawat. Varian ini sering kali melibatkan pesan otomatis yang mengklaim perbedaan dalam pengembalian pajak dan ancaman tindakan hukum, ditambah dengan spoofing ID penelepon untuk meniru kontak IRS. Sangat penting untuk memverifikasi klaim tersebut secara langsung dengan IRS dan menghindari keterlibatan dengan penipu.

Penipuan dukungan teknis

Penipu menyamar sebagai agen dukungan teknis dari perusahaan terkemuka, menuduh komputer korban terkena virus. Mereka meminta akses jarak jauh atau pembayaran untuk memperbaiki masalah yang sebenarnya tidak ada.

Peringatan penipuan bank

Penipu berpura-pura berasal dari bank korban, menyatakan ada aktivitas mencurigakan di rekening mereka. Mereka meminta detail akun dan PIN untuk 'memverifikasi' identitas korban dan 'mengamankan' akun. Daripada menurutinya, disarankan untuk mengakhiri percakapan dan menghubungi bank secara langsung menggunakan informasi kontak dari situs resmi mereka.

Penipuan lotere atau hadiah

Korban menerima telepon yang memberi tahu mereka bahwa mereka telah memenangkan hadiah atau lotre tetapi harus membayar pajak atau biaya di muka untuk mengklaim hadiah tersebut. Kewaspadaan dan verifikasi adalah kunci untuk menghindari menjadi mangsa taktik tersebut.

Penipuan jaminan sosial

Penelepon mengaku berasal dari Administrasi Jaminan Sosial, menyatakan SSN korban telah ditangguhkan karena aktivitas mencurigakan, dan meminta informasi pribadi untuk menyelesaikan masalah tersebut. Khususnya, Komisi Perdagangan Federal mengidentifikasi panggilan telepon sebagai metode utama yang digunakan oleh penipu yang menargetkan warga lanjut usia.

Peringatan medis/penipuan asuransi

Penipu menawarkan sistem peringatan medis gratis atau berpura-pura menjadi perwakilan asuransi kesehatan untuk mengambil informasi pribadi dan keuangan dari korban, terutama yang menargetkan warga lanjut usia.

Penipuan kakek-nenek

Penelepon berpura-pura menjadi seorang cucu yang sedang kesusahan, membutuhkan bantuan keuangan segera, dan meminta kakek neneknya untuk tidak memberi tahu anggota keluarga lainnya.

Penipuan utilitas

Dengan menyamar sebagai perwakilan perusahaan utilitas, penipu mengklaim layanan korban akan terputus kecuali pembayaran segera dilakukan.

Penipuan hibah pemerintah

Para korban diberitahu bahwa mereka telah dipilih untuk menerima hibah pemerintah dan perlu membayar biaya pemrosesan atau memberikan rincian rekening bank untuk menerima dana tersebut.

Penipuan penagihan utang

Penelepon menyamar sebagai penagih utang, mengancam akan mengambil tindakan hukum kecuali korban membayar utang yang sebenarnya bukan utangnya. Penting untuk tetap bersikap skeptis, karena pemberi pinjaman dan investor yang sah tidak melakukan tindakan seperti ini atau memulai kontak yang tidak terduga.

mengenali serangan vishing

Cara mengenali serangan vishing

Mengenali vishing dapat menjadi hal yang sangat penting dalam melindungi diri agar tidak menjadi korban praktik penipuan tersebut. Salah satu aspek penting yang perlu diperhatikan adalah audio selama panggilan. Kualitas audio panggilan mungkin buruk, dengan kebisingan latar belakang yang tidak sesuai dengan pengaturan profesional.

Selain itu, serangan vishing sering kali menunjukkan tanda-tanda:

  • Urgensi : Penelepon mendesak untuk segera mengambil tindakan, menekan korban untuk segera menyampaikan informasi.

  • Permintaan informasi sensitif : Organisasi yang sah jarang meminta data pribadi melalui telepon.

  • Penelepon tidak dikenal : Menerima panggilan dari nomor tak dikenal atau tidak terduga bisa menjadi tanda bahaya.

Bagaimana mencegah vishing

Bertahan melawan vishing memerlukan pendekatan multifaset. Untuk melindungi diri Anda agar tidak menjadi korban, pastikan Anda mematuhi tindakan pencegahan berikut:

Jaga informasi sensitif

Jangan mengonfirmasi atau membocorkan informasi sensitif melalui telepon. Ingat, bank atau lembaga pemerintah asli tidak akan pernah meminta rincian pribadi melalui panggilan.

Berhati-hatilah

Perhatikan bahasa dan sikap penelepon. Tetap waspada terhadap pengungkapan informasi pribadi apa pun dan waspada terhadap segala ancaman atau tuntutan mendesak yang dibuat selama panggilan berlangsung.

Saring panggilan Anda

Jika ada nomor tak dikenal yang menelepon, lebih aman membiarkannya masuk ke pesan suara. ID penelepon dapat dimanipulasi, jadi verifikasi identitas penelepon dengan mendengarkan pesannya sebelum memutuskan apakah akan membalas panggilan tersebut.

Batasi informasi yang dibagikan

Jika Anda menjawab, hindari memberikan rincian tentang diri Anda, tempat kerja Anda, atau lokasi Anda.

Tanyakan dan verifikasi

Jika penelepon memasarkan produk atau menawarkan hadiah, mintalah bukti identitas dan afiliasinya. Konfirmasikan informasi yang diberikan sebelum membagikan informasi Anda. Hentikan panggilan jika mereka ragu untuk mematuhinya.

Daftar dengan Do Not Call Registry

Mendaftarkan nomor Anda di Daftar Jangan Panggil akan menghalangi telemarketer, membuat panggilan apa pun dari entitas tersebut mencurigakan karena perusahaan yang sah biasanya menghormati daftar ini.

Perhatikan permintaan resmi

Ketahuilah bahwa atasan sah atau perwakilan SDM tidak akan meminta transfer uang, data sensitif, atau penyerahan dokumen melalui jalur pribadi.

Abaikan komunikasi yang mencurigakan

Jangan menanggapi email atau pesan media sosial yang meminta nomor telepon Anda. Komunikasi semacam itu bisa menjadi awal terjadinya serangan yang ditargetkan. Laporkan pesan mencurigakan apa pun ke tim TI atau dukungan Anda.

Didiklah diri Anda sendiri

Carilah informasi secara proaktif, hadiri program kesadaran, dan gunakan sumber daya online untuk memahami ancaman terkini dan langkah-langkah perlindungan.

Bisnis yang menggunakan pemasaran SMS dapat berperan dalam mendidik konsumen tentang vishing, dengan memberikan informasi tentang mengenali dan menanggapi potensi penipuan dan menyoroti perbedaan antara komunikasi yang sah dan taktik yang menipu.

Langkah apa yang harus Anda ambil jika ingin?

Jika Anda tanpa sadar membagikan detail perbankan Anda kepada orang yang dicurigai sebagai penipu, tindakan segera sangat penting.

Hubungi bank Anda, perusahaan kartu kredit, lembaga keuangan, atau kontak Medicare yang relevan. Menanyakan kemungkinan menghentikan transaksi mencurigakan dan mencegah tagihan tidak sah lebih lanjut. Untuk meningkatkan keamanan dan melindungi terhadap akses tidak sah, pertimbangkan untuk mengubah nomor akun Anda.

Selanjutnya, ajukan pengaduan ke Komisi Perdagangan Federal atau Pusat Pengaduan Kejahatan Internet FBI untuk mendapatkan tindakan yang tepat.

Kesimpulan

Meskipun bersifat menipu dan berpotensi merusak, vishing dapat dimitigasi secara efektif melalui kewaspadaan, pendidikan, dan penggunaan teknologi secara bijaksana. Dengan tetap mendapatkan informasi dan menerapkan kehati-hatian, individu dan organisasi dapat menggagalkan upaya para pelaku kejahatan, sehingga menjamin keamanan informasi sensitif.