Co to jest Vishing? Demaskowanie oszustw i technik phishingu głosowego
Opublikowany: 2023-10-12Vishing, podstępne połączenie komunikacji głosowej i taktyki phishingu, stanowi ogromne wyzwanie, ponieważ oszuści udoskonalają swoje metody z alarmującym wyrafinowaniem. W tym artykule zagłębiamy się w mechanikę tego zjawiska, stosowane przez niego manipulacje psychologiczne oraz istotne strategie rozpoznawania i zapobiegania, wyposażając jednostki w wiedzę niezbędną do poruszania się po niepewnych wodach cyberoszustwa opartego na głosie.
Co to jest vishing?
Vishing, czyli phishing głosowy, to forma ataku socjotechnicznego, podczas którego ugrupowania zagrażające wykorzystują połączenia telefoniczne lub wiadomości głosowe w celu nakłonienia osób do ujawnienia poufnych informacji, takich jak hasła, dane kart kredytowych czy numery ubezpieczenia społecznego. Wykorzystując ludzką skłonność do ufania komunikacji głosowej, sprawcy vishingu tworzą fałszywe poczucie pilności lub strachu, co skłania ofiary do działania bez weryfikacji tożsamości osoby dzwoniącej.
Ponieważ ludzie nadal preferują wysyłanie SMS-ów, niezwykle istotna staje się edukacja ich w zakresie rozpoznawania i zwalczania vishingu, zapewniając w ten sposób bezpieczną komunikację w czasach, gdy rozmowa telefoniczna może czasami być niecodzienna. Równowaga między wygodą wysyłania SMS-ów a świadomością zagrożeń głosowych jest niezbędna do wspierania bezpiecznych i preferowanych kanałów komunikacji.
Poruszanie się po świecie phishingu, smishingu i vishingu
Pochodzący z lat 90. XX wieku termin „phishing” opisywał taktykę stosowaną przez oszustów jako „przynętę” w celu oszukania ofiar w świecie cyfrowym. Termin ten obowiązuje do dziś i reprezentuje oszustwa wykorzystujące socjotechnikę, mające na celu oszukanie osób, aby wpadły w zwodnicze pułapki.
Wraz z rozwojem cyberprzestępczości pojawiły się nowe terminologie, takie jak „smishing” i „vishing”, które zaliczają się do szerszej kategorii phishingu. W atakach Smishing oszuści wysyłają wiadomości SMS, których celem jest przekonanie odbiorców do kliknięcia szkodliwego łącza lub udostępnienia danych osobowych w drodze wymiany SMS-ów.
Z drugiej strony vishing obejmuje komunikację głosową na pewnym etapie ataku. Celem początkowej wiadomości jest nakłonienie potencjalnej ofiary do wybrania numeru, co umożliwi atakującym kontynuację oszustwa lub potwierdzenie własności numeru, z którym się skontaktowano.
Jak działa vishing?
Ataki Vishing to skomplikowane operacje wymagające znacznie więcej niż tylko wybierania losowych numerów, aby odnieść sukces. Poniżej szczegółowo opisujemy czteroetapową podróż ataku vishingowego:
Faza 1: Dochodzenie
Atak rozpoczyna się od dokładnego zbadania celów przez cyberprzestępców. Na tym etapie mogą rozpowszechniać wiadomości e-mail phishingowe, oczekując odpowiedzi od potencjalnych ofiar gotowych udostępnić swoje dane kontaktowe. Dzięki wykorzystaniu zaawansowanego oprogramowania mogą dzwonić do wielu osób, korzystając z numeru udostępniającego numer kierunkowy swoich ofiar.
Faza 2: Wykonanie wywołania
Jeśli ofiara zostanie oszukana przez poprzedzającą ją wiadomość e-mail phishingową, prawdopodobnie będzie mniej podejrzliwa w stosunku do połączenia przychodzącego. W zależności od przebiegłości taktyki vishingu ofiara może spodziewać się telefonu, co ułatwi hakerom. Atakujący wykorzystują prawdopodobieństwo odebrania połączeń z lokalnych numerów kierunkowych.
Faza 3: Perswazja
Po nawiązaniu kontaktu cel ugrupowania zagrażającego zmienia się na manipulowanie wrodzonymi instynktami ofiary, takimi jak zaufanie, strach, chciwość i altruizm. Stosując kombinację technik inżynierii społecznej, uspokajają ofiary i mogą je przekonać do:
Ujawnij dane bankowe i karty kredytowej
Udostępnij adresy e-mail
Przekaż fundusze
Przesyłaj poufne dokumenty związane z pracą
Ujawnij informacje o swoim pracodawcy
Faza 4: Kulminacja
Podróż vishingowa na tym się nie kończy. Uzbrojeni w zdobyte informacje szkodliwi przestępcy są gotowi popełnić dodatkowe przestępstwa. Mogą wyczerpać zasoby bankowe ofiary, przyjąć jej tożsamość i przeprowadzić nieautoryzowane transakcje. Co więcej, mogą wykorzystać pocztę e-mail ofiary, aby oszukać współpracowników i udostępnić poufne informacje organizacyjne.
Metody Vishingu
Visherzy stosują różne taktyki, aby osiągnąć swoje zwodnicze cele. Typowe metody obejmują:
Fałszowanie identyfikatora dzwoniącego : osoby atakujące manipulują identyfikatorem dzwoniącego, aby sprawiał wrażenie, jakby dzwonił zaufany podmiot, np. bank lub agencja rządowa.
Pretekst : osoba atakująca tworzy sfabrykowany scenariusz lub pretekst w celu wydobycia informacji od celu.
Wyłudzanie informacji IVR : systemy zautomatyzowanej interaktywnej odpowiedzi głosowej (IVR) naśladują legalne firmy w celu przechwytywania wrażliwych danych.
Typowe przykłady vishingu
Ponieważ oszustwa te stają się coraz bardziej wyrafinowane, istotne jest rozpoznanie typowych wzorców i scenariuszy. Zanim zagłębimy się w różne przykłady vishingu, zapoznajmy się z niektórymi z najbardziej powszechnych taktyk, abyś mógł pozostać o krok do przodu i chronić swoje informacje.
Oszustwo skarbowe
Rozmówcy podszywają się pod agentów IRS, twierdząc, że ofiara jest winna podatki i grozi jej areszt, jeśli nie zapłaci natychmiast, zazwyczaj żądając płatności kartami podarunkowymi lub przelewami bankowymi. Ten wariant często obejmuje automatyczne wiadomości informujące o rozbieżnościach w zeznaniach podatkowych i grożące podjęciem kroków prawnych, w połączeniu z fałszowaniem identyfikatora dzwoniącego w celu imitowania kontaktu z IRS. Bardzo ważne jest, aby weryfikować takie roszczenia bezpośrednio w IRS i unikać kontaktu z oszustem.
Oszustwo związane z pomocą techniczną
Oszuści podają się za agentów pomocy technicznej renomowanych firm, twierdząc, że na komputerze ofiary znajduje się wirus. Proszą o zdalny dostęp lub płatność w celu naprawienia nieistniejącego problemu.
Alarm dotyczący oszustwa bankowego
Oszuści udają, że pochodzą z banku ofiary, twierdząc, że na ich koncie dzieje się podejrzana aktywność. Proszą o dane konta i kody PIN, aby „zweryfikować” tożsamość ofiary i „zabezpieczyć” konto. Zamiast się do tego zastosować, zaleca się zakończenie rozmowy i skontaktowanie się bezpośrednio z bankiem, korzystając z danych kontaktowych z jego oficjalnej strony internetowej.
Oszustwa związane z loterią lub nagrodami
Ofiary otrzymują telefony z informacją, że wygrały nagrodę lub na loterii, ale aby móc ubiegać się o nagrodę, muszą z góry zapłacić podatki lub opłaty. Czujność i weryfikacja są kluczem do uniknięcia padnięcia ofiarą takiej taktyki.
Oszustwa związane z ubezpieczeniami społecznymi
Osoby dzwoniące podają się za pracownika Zakładu Ubezpieczeń Społecznych i twierdzą, że numer SSN ofiary został zawieszony z powodu podejrzanej aktywności, i proszą o podanie danych osobowych w celu rozwiązania problemu. Warto zauważyć, że Federalna Komisja Handlu uznaje rozmowy telefoniczne za podstawową metodę stosowaną przez oszustów, których celem są seniorzy.
Oszustwa związane z alertami medycznymi/ubezpieczeniami
Oszuści oferują bezpłatne systemy powiadamiania medycznego lub podają się za przedstawicieli ubezpieczenia zdrowotnego w celu wydobycia od ofiar danych osobowych i finansowych, szczególnie atakując seniorów.
Oszustwo dziadków
Rozmówca udaje wnuka znajdującego się w trudnej sytuacji, potrzebującego natychmiastowej pomocy finansowej i prosi dziadka, aby nie mówił innym członkom rodziny.
Oszustwa użytkowe
Oszuści podszywając się pod przedstawicieli przedsiębiorstw użyteczności publicznej twierdzą, że usługa ofiary zostanie odłączona, jeśli nie zostanie dokonana natychmiastowa płatność.
Oszustwa związane z dotacjami rządowymi
Ofiary są informowane, że zostały wybrane do otrzymania dotacji rządowej i aby otrzymać środki, muszą uiścić opłatę manipulacyjną lub podać dane konta bankowego.
Oszustwa windykacyjne
Osoby dzwoniące podają się za windykatorów i grożą podjęciem kroków prawnych, chyba że ofiara spłaci dług, którego w rzeczywistości nie ma. Zachowanie sceptycyzmu jest niezwykle istotne, ponieważ legalni pożyczkodawcy i inwestorzy nie działają w ten sposób ani nie nawiązują nieoczekiwanych kontaktów.
Jak rozpoznać ataki vishingowe
Rozpoznanie vishingu może mieć kluczowe znaczenie w ochronie przed staniem się ofiarą takich zwodniczych praktyk. Jednym z kluczowych aspektów, na który należy zwrócić uwagę, jest dźwięk podczas połączenia. Jakość dźwięku połączenia może być niska, a dźwięki w tle nie odpowiadają profesjonalnemu otoczeniu.
Ponadto ataki vishingowe często dają charakterystyczne objawy:
Pilność : osoba dzwoniąca nalega na natychmiastowe działanie, wywierając presję na ofiarę, aby pośpiesznie podzieliła się informacjami.
Prośba o podanie poufnych informacji : Uzasadnione organizacje rzadko proszą o podanie danych osobowych przez telefon.
Nieznany rozmówca : odbieranie połączeń z nieznanych lub nieoczekiwanych numerów może być sygnałem ostrzegawczym.
Jak zapobiegać vishingowi
Ochrona przed vishingiem wymaga wieloaspektowego podejścia. Aby uchronić się przed staniem się ofiarą, należy przestrzegać następujących środków ostrożności:
Chroń wrażliwe informacje
Powstrzymaj się od potwierdzania i ujawniania poufnych informacji przez telefon. Pamiętaj, że autentyczne banki lub agencje rządowe nigdy nie będą prosić o podanie danych osobowych podczas rozmowy telefonicznej.
Przestrzegać czegoś
Sprawdź język i zachowanie rozmówcy. Zachowaj czujność i nie ujawniaj żadnych danych osobowych oraz uważaj na groźby lub pilne żądania zgłaszane podczas rozmowy.
Ekranuj swoje połączenia
Jeśli zadzwoni nieznany numer, bezpieczniej będzie przełączyć się na pocztę głosową. Identyfikatorami rozmówców można manipulować, dlatego przed podjęciem decyzji o oddzwonieniu należy zweryfikować tożsamość dzwoniącego, odsłuchując wiadomość.
Ogranicz udostępnianie informacji
Jeśli odpowiesz, unikaj podawania szczegółów o sobie, swoim miejscu pracy lub lokalizacji.
Zapytaj i zweryfikuj
Jeśli dzwoniący promuje produkt lub oferuje nagrody, żądaj dowodu tożsamości i przynależności. Potwierdź podane informacje przed udostępnieniem jakichkolwiek swoich. Zakończ połączenie, jeśli waha się zastosować.
Zarejestruj się w rejestrze Do Not Call
Zapisanie swojego numeru w rejestrze „Do Not Call” odstraszy telemarketerów, sprawiając, że wszelkie połączenia od takich podmiotów będą podejrzane, ponieważ legalne firmy zwykle szanują tę listę.
Pamiętaj o oficjalnych prośbach
Należy pamiętać, że prawowici przełożeni lub przedstawiciele działów kadr nie będą żądać przelewów pieniężnych, danych wrażliwych ani przesyłania dokumentów kanałami osobistymi.
Ignoruj podejrzaną komunikację
Nie odpowiadaj na e-maile ani wiadomości w mediach społecznościowych z prośbą o podanie numeru telefonu. Taka komunikacja może być prekursorem ataków ukierunkowanych. Zgłaszaj wszelkie podejrzane wiadomości swojemu działowi IT lub wsparciu.
Kształcić się
Aktywnie szukaj informacji, uczestnicz w programach uświadamiających i korzystaj z zasobów internetowych, aby zapoznać się z najnowszymi zagrożeniami związanymi z vishingiem i środkami ochronnymi.
Firmy stosujące marketing SMS mogą odegrać rolę w edukowaniu konsumentów na temat vishingu, dostarczając informacji na temat rozpoznawania potencjalnych oszustw i reagowania na nie, a także podkreślając różnice między legalną komunikacją a oszukańczymi taktykami.
Jakie kroki należy podjąć, jeśli chcesz?
Jeśli okaże się, że nieświadomie udostępniłeś swoje dane bankowe podejrzanemu oszustowi, natychmiastowe działanie jest niezbędne.
Skontaktuj się ze swoim bankiem, wystawcą karty kredytowej, instytucją finansową lub odpowiednią osobą kontaktową w Medicare. Zapytaj o możliwość wstrzymania podejrzanych transakcji i zapobieżenia dalszym nieautoryzowanym obciążeniom. Aby zwiększyć bezpieczeństwo i zabezpieczyć się przed nieautoryzowanym dostępem, rozważ zmianę numerów kont.
Następnie złóż skargę do Federalnej Komisji Handlu lub Centrum składania skarg dotyczących przestępstw internetowych FBI w celu podjęcia odpowiednich działań.
Wniosek
Choć zwodniczy i potencjalnie szkodliwy, vishing można skutecznie złagodzić poprzez czujność, edukację i rozsądne wykorzystanie technologii. Pozostając na bieżąco i zachowując ostrożność, osoby i organizacje mogą udaremnić próby włamań, zapewniając bezpieczeństwo poufnych informacji.