Что такое вишинг? Разоблачение мошенничества и методов голосового фишинга

Опубликовано: 2023-10-12
Объяснение атак вишинга

Вишинг, коварная смесь голосовой связи и тактики фишинга, представляет собой серьезную проблему, поскольку мошенники совершенствуют свои методы с пугающей изощренностью. В этой статье мы углубляемся в его механику, психологические манипуляции, которые он использует, а также жизненно важные стратегии распознавания и предотвращения, вооружая людей знаниями, позволяющими ориентироваться в опасных водах голосового киберобмана.

Что такое вишинг?

Вишинг, или голосовой фишинг, — это форма атаки социальной инженерии, при которой злоумышленники используют телефонные звонки или голосовые сообщения, чтобы обманом заставить людей раскрыть конфиденциальную информацию, такую ​​​​как пароли, данные кредитной карты или номера социального страхования. Эксплуатируя человеческую склонность доверять голосовому общению, злоумышленники создают ложное чувство срочности или страха, побуждая жертв действовать без проверки личности звонящего.

Поскольку люди продолжают отдавать предпочтение текстовым сообщениям, первостепенное значение приобретает обучение их распознаванию вишинга и борьбе с ним, обеспечивая безопасную среду общения в эпоху, когда телефонный звонок иногда может быть необычным. Баланс между удобством текстовых сообщений и осознанием голосовых угроз имеет важное значение для развития безопасных и предпочтительных каналов связи.

Навигация по ландшафту фишинга и вишинга

Термин «фишинг», возникший в 1990-х годах, обозначал тактику, которую мошенники использовали в качестве «приманки» для обмана жертв в цифровом мире. Этот термин сохраняется и сегодня, обозначая мошенничество с использованием социальной инженерии, призванное заставить людей стать жертвами обманных ловушек.

С развитием киберпреступности появились новые термины, такие как «смишинг» и «вишинг», подпадающие под более широкую категорию фишинга. В ходе смишинг-атак мошенники рассылают SMS-сообщения с целью убедить получателей либо нажать на вредоносную ссылку, либо поделиться личной информацией посредством обмена текстовыми сообщениями.

С другой стороны, вишинг предполагает голосовую связь на каком-то этапе атаки. Цель первоначального сообщения — побудить потенциальную жертву набрать номер, что позволит злоумышленникам либо продолжить обман, либо подтвердить право собственности на номер, с которым контактировали.

Как работает вишинг?

Вишинг-атаки — это сложные операции, требующие гораздо большего, чем просто набор случайных чисел для достижения успеха. Погрузитесь в подробное четырехэтапное путешествие атаки вишинга ниже:

Как работает вишинг-атака, инфографика

Этап 1: Расследование

Атака начинается с того, что злоумышленники тщательно исследуют свои цели. На этом этапе они могут распространять фишинговые электронные письма, ожидая ответов от потенциальных жертв, готовых поделиться своими контактными данными. Использование сложного программного обеспечения позволяет им звонить множеству людей, используя номер, совпадающий с кодом города их жертв.

Этап 2: выполнение вызова

Если жертва была обманута предыдущим фишинговым письмом, она, скорее всего, будет менее подозрительно относиться к входящему звонку. В зависимости от хитрости тактики вишинга жертва может ожидать звонка, что облегчает задачу хакерам. Злоумышленники используют вероятность ответа на звонки с кодами местных городов.

Фаза 3: Убеждение

После установления контакта цель злоумышленника смещается в сторону манипулирования присущими жертве инстинктами доверия, страха, жадности и альтруизма. Используя сочетание этих методов социальной инженерии, они успокаивают жертв и могут убедить их:

  • Раскрытие банковских данных и данных кредитной карты

  • Поделитесь адресами электронной почты

  • Перевести средства

  • Пересылать конфиденциальные рабочие документы

  • Раскрыть информацию о своем работодателе

Фаза 4: Кульминация

Путешествие вишинга на этом не заканчивается. Вооружившись полученной информацией, злоумышленники готовы совершить дополнительные преступления. Они могут истощить банковские ресурсы жертвы, выдать их личность и выполнить несанкционированные транзакции. Более того, они могут использовать электронную почту жертвы, чтобы обманом заставить коллег раскрыть конфиденциальную информацию организации.

Методы Вишинга

Вишеры используют различные тактики для достижения своих обманных целей. Общие методы включают в себя:

  • Подмена идентификатора вызывающего абонента . Злоумышленники манипулируют идентификатором вызывающего абонента, чтобы создать впечатление, будто звонит доверенная организация, например банк или государственное учреждение.

  • Претекст : злоумышленник создает сфабрикованный сценарий или предлог для извлечения информации из цели.

  • IVR-фишинг : системы автоматического интерактивного голосового ответа (IVR) имитируют законные компании для сбора конфиденциальных данных.

Распространенные примеры вишинга

Поскольку подобные мошенничества становятся все более изощренными, важно распознавать общие закономерности и сценарии. Прежде чем мы углубимся в различные примеры вишинга, давайте познакомимся с некоторыми из наиболее распространенных тактик, которые помогут вам оставаться на шаг впереди и защитить свою информацию.

мошенничество с налоговой службой

Звонящие выдают себя за агентов IRS, утверждая, что жертва должна заплатить налоги и ей грозит арест, если она не заплатит немедленно, обычно требуя оплаты посредством подарочных карт или банковского перевода. Этот вариант часто включает в себя автоматические сообщения с утверждениями о расхождениях в налоговых декларациях и угрозами судебного иска, а также подделку идентификатора вызывающего абонента для имитации контакта с налоговой службой. Крайне важно проверять такие заявления непосредственно в IRS и избегать взаимодействия с мошенниками.

Мошенничество с техподдержкой

Мошенники выдают себя за агентов техподдержки авторитетных компаний, утверждая, что на компьютере жертвы есть вирус. Они просят удаленный доступ или оплату для устранения несуществующей проблемы.

Предупреждение о банковском мошенничестве

Мошенники выдают себя за сотрудников банка жертвы, заявляя, что на их счету наблюдается подозрительная активность. Они запрашивают данные учетной записи и PIN-коды, чтобы «проверить» личность жертвы и «защитить» учетную запись. Вместо того, чтобы подчиниться, рекомендуется прекратить разговор и напрямую обратиться в банк, используя контактную информацию с его официального сайта.

Мошенничество с лотереями или призами

Жертвам звонят и сообщают, что они выиграли приз или лотерею, но им необходимо заранее заплатить налоги или сборы, чтобы получить вознаграждение. Бдительность и проверка являются ключом к тому, чтобы не стать жертвой такой тактики.

Мошенничество с социальным обеспечением

Звонящие утверждают, что они из Управления социального обеспечения, заявляют, что SSN жертвы был приостановлен из-за подозрительной активности, и просят предоставить личную информацию для решения проблемы. Примечательно, что Федеральная торговая комиссия называет телефонные звонки основным методом, используемым мошенниками для нападения на пожилых людей.

Мошенничество с медицинскими предупреждениями/страхованием

Мошенники предлагают бесплатные системы медицинского оповещения или выдают себя за представителей медицинской страховки, чтобы получить личную и финансовую информацию от жертв, особенно в отношении пожилых людей.

Мошенничество с бабушками и дедушками

Звонивший притворяется внуком, попавшим в беду и нуждающимся в немедленной финансовой помощи, и просит бабушку и дедушку не говорить об этом другим членам семьи.

Мошенничество в сфере коммунальных услуг

Мошенники, выдавая себя за представителей коммунальных компаний, заявляют, что услуги жертвы будут отключены, если не будет произведена немедленная оплата.

Мошенничество с государственными грантами

Жертвам сообщают, что они были выбраны для получения государственного гранта и должны заплатить комиссию за обработку или предоставить данные банковского счета, чтобы получить средства.

Мошенничество по взысканию долгов

Звонящие выдают себя за сборщиков долгов и угрожают судебным иском, если жертва не выплатит долг, которого на самом деле у нее нет. Очень важно сохранять скептицизм, поскольку законные кредиторы и инвесторы не действуют таким образом и не инициируют неожиданные контакты.

распознавание атак вишинга

Как распознать атаку вишинга

Признание вишинга может иметь решающее значение для защиты себя от такой обманной практики. Одним из ключевых аспектов, на который следует обратить внимание, является звук во время разговора. Качество звука во время разговора может быть плохим, а фоновые шумы не соответствуют профессиональным настройкам.

Кроме того, атаки вишинга часто имеют явные признаки:

  • Срочность : звонящий настаивает на немедленных действиях, вынуждая жертву поспешно поделиться информацией.

  • Запрос конфиденциальной информации . Законные организации редко запрашивают личные данные по телефону.

  • Неизвестный абонент . Получение звонков с неизвестных или неожиданных номеров может быть тревожным сигналом.

Как предотвратить вишинг

Защита от вишинга требует многогранного подхода. Чтобы не стать жертвой, обязательно соблюдайте следующие меры предосторожности:

Берегите конфиденциальную информацию

Воздержитесь от подтверждения или разглашения конфиденциальной информации по телефону. Помните, что настоящие банки или государственные учреждения никогда не будут запрашивать личные данные по телефону.

Будьте наблюдательны

Внимательно изучите язык и поведение звонящего. Сохраняйте бдительность, не разглашайте любую личную информацию и остерегайтесь любых угроз или срочных требований, высказанных во время разговора.

Проверяйте свои звонки

Если звонит неизвестный номер, безопаснее перевести его на голосовую почту. Идентификаторами вызывающего абонента можно манипулировать, поэтому проверьте личность вызывающего абонента, прослушав сообщение, прежде чем решить, следует ли перезванивать.

Ограничить передаваемую информацию

Если вы ответите, не раскрывайте подробности о себе, своем месте работы или местонахождении.

Запросите и проверьте

Если звонивший рекламирует продукт или предлагает вознаграждение, потребуйте подтверждение его личности и принадлежности. Подтвердите предоставленную информацию, прежде чем делиться ею. Прекратите разговор, если они не решаются подчиниться.

Зарегистрируйтесь в реестре «Не звонить»

Внесение вашего номера в реестр «Не звонить» отпугнет телемаркетеров, делая любой звонок от таких лиц подозрительным, поскольку законные фирмы обычно соблюдают этот список.

Помните об официальных запросах

Имейте в виду, что законное начальство или представители отдела кадров не будут требовать денежных переводов, конфиденциальных данных или предоставления документов по личным каналам.

Игнорируйте подозрительные сообщения

Не отвечайте на электронные письма или сообщения в социальных сетях с запросом вашего номера телефона. Такие сообщения могут стать предшественником целенаправленных атак. Сообщайте о любых подозрительных сообщениях своему ИТ-специалисту или команде поддержки.

Воспитывать себя

Активно ищите информацию, посещайте информационные программы и используйте онлайн-ресурсы, чтобы ознакомиться с новейшими угрозами вишинга и мерами защиты.

Компании, использующие SMS-маркетинг, могут сыграть роль в просвещении потребителей о вишинге, предоставляя информацию о том, как распознавать потенциальное мошенничество и реагировать на него, а также подчеркивая различия между законным общением и тактикой обмана.

Какие шаги следует предпринять, если вы этого хотите?

Если вы обнаружили, что невольно поделились своими банковскими реквизитами с подозреваемым мошенником, необходимо принять немедленные меры.

Обратитесь в свой банк, компанию-эмитент кредитной карты, финансовое учреждение или к соответствующему контактному лицу Medicare. Узнайте о возможности остановки подозрительных транзакций и предотвращения дальнейших несанкционированных списаний. Чтобы повысить безопасность и защититься от несанкционированного доступа, рассмотрите возможность изменения номеров своих счетов.

Впоследствии подайте жалобу либо в Федеральную торговую комиссию, либо в Центр рассмотрения жалоб на интернет-преступления ФБР для принятия соответствующих мер.

Заключение

Несмотря на то, что вишинг обманчив и потенциально вреден, его можно эффективно смягчить за счет бдительности, образования и разумного использования технологий. Оставаясь в курсе и соблюдая осторожность, отдельные лица и организации могут пресечь попытки вишеров, гарантируя безопасность конфиденциальной информации.