วิชชิ่งคืออะไร? การเปิดโปงกลโกงและเทคนิคฟิชชิ่งด้วยเสียง

เผยแพร่แล้ว: 2023-10-12
อธิบายการโจมตีแบบวิชชิ่ง

Vishing ซึ่งเป็นการผสมผสานระหว่างการสื่อสารด้วยเสียงและกลวิธีฟิชชิ่งอย่างร้ายกาจ ก่อให้เกิดความท้าทายที่น่าเกรงขามเมื่อนักต้มตุ๋นปรับแต่งวิธีการของตนอย่างซับซ้อนจนน่าตกใจ ในบทความนี้ เราจะเจาะลึกกลไกของมัน การจัดการทางจิตวิทยาที่ใช้ และกลยุทธ์ที่สำคัญสำหรับการรับรู้และการป้องกัน โดยเตรียมบุคคลให้มีความรู้เพื่อนำทางไปสู่น่านน้ำที่ไม่ปลอดภัยของการหลอกลวงทางไซเบอร์ด้วยเสียง

วิชชิ่งคืออะไร?

Vishing หรือฟิชชิ่งด้วยเสียงเป็นรูปแบบหนึ่งของการโจมตีทางวิศวกรรมสังคม โดยผู้คุกคามใช้โทรศัพท์หรือข้อความเสียงเพื่อหลอกให้บุคคลเปิดเผยข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน รายละเอียดบัตรเครดิต หรือหมายเลขประกันสังคม ด้วยการใช้ประโยชน์จากแนวโน้มของมนุษย์ที่จะเชื่อถือการสื่อสารด้วยเสียง ผู้กระทำผิดที่ประสงค์ร้ายจะสร้างความรู้สึกเร่งด่วนหรือความกลัวที่ผิดพลาด กระตุ้นให้เหยื่อดำเนินการโดยไม่ตรวจสอบตัวตนของผู้โทร

ในขณะที่ผู้คนยังคงชื่นชอบการส่งข้อความ การให้ความรู้แก่พวกเขาเกี่ยวกับการจดจำและต่อสู้กับ vishing จึงเป็นสิ่งสำคัญยิ่ง เพื่อสร้างความมั่นใจในภูมิทัศน์การสื่อสารที่ปลอดภัยในยุคที่บางครั้งการโทรอาจไม่ธรรมดา การสร้างสมดุลระหว่างความสะดวกในการส่งข้อความกับการตระหนักถึงภัยคุกคามทางเสียงถือเป็นสิ่งสำคัญในการส่งเสริมช่องทางการสื่อสารที่ปลอดภัยและเป็นที่ต้องการ

การสำรวจภูมิทัศน์ฟิชชิ่งสมิชชิ่ง

คำว่า "ฟิชชิ่ง" มีต้นกำเนิดในช่วงทศวรรษ 1990 โดยบรรยายถึงกลยุทธ์ที่นักต้มตุ๋นใช้เป็น "เหยื่อล่อ" เพื่อหลอกลวงเหยื่อในโลกดิจิทัล คำนี้ยังคงมีอยู่ในปัจจุบัน โดยเป็นตัวแทนของกลโกงที่เกี่ยวข้องกับวิศวกรรมทางสังคมเพื่อหลอกให้บุคคลตกเป็นเหยื่อของกับดักที่หลอกลวง

ด้วยความก้าวหน้าของอาชญากรรมในโลกไซเบอร์ คำศัพท์ใหม่ๆ เช่น "smishing" และ "vishing" ก็ได้ถือกำเนิดขึ้น และจัดอยู่ในประเภทฟิชชิ่งที่กว้างขึ้น การโจมตีแบบ Smishing จะทำให้ผู้ฉ้อโกงส่ง SMS โดยมีเป้าหมายเพื่อโน้มน้าวให้ผู้รับคลิกลิงก์ที่เป็นอันตรายหรือแบ่งปันข้อมูลส่วนบุคคลผ่านการแลกเปลี่ยนข้อความ

ในทางกลับกัน vishing รวมเอาการสื่อสารด้วยเสียงในบางช่วงของการโจมตี วัตถุประสงค์ของข้อความเริ่มต้นคือการล่อลวงผู้ที่ตกเป็นเหยื่อให้กดหมายเลข ทำให้ผู้โจมตีสามารถหลอกลวงต่อไปหรือยืนยันความเป็นเจ้าของหมายเลขติดต่อได้

วิชชิ่งทำงานอย่างไร?

การโจมตีแบบวิชชิ่งเป็นปฏิบัติการที่ซับซ้อนซึ่งเกี่ยวข้องมากกว่าแค่การหมุนหมายเลขสุ่มเพื่อความสำเร็จ ดำดิ่งสู่การเดินทางสี่ระยะโดยละเอียดของการโจมตีแบบวิชชิ่งด้านล่าง:

การโจมตีแบบวิชชิ่งทำงานอย่างไร อินโฟกราฟิก

ระยะที่ 1: การสอบสวน

การโจมตีเริ่มต้นโดยผู้คุกคามทำการวิจัยเป้าหมายอย่างละเอียดถี่ถ้วน ในระยะนี้ พวกเขาอาจเผยแพร่อีเมลฟิชชิ่งโดยคาดหวังการตอบกลับจากผู้ที่ตกเป็นเหยื่อที่พร้อมจะแชร์รายละเอียดการติดต่อของพวกเขา การใช้ซอฟต์แวร์ที่ซับซ้อนช่วยให้พวกเขาสามารถโทรหาผู้คนจำนวนมากได้ โดยใช้หมายเลขที่แชร์รหัสพื้นที่ของเหยื่อ

ขั้นตอนที่ 2: การดำเนินการโทร

หากเหยื่อถูกหลอกโดยอีเมลฟิชชิ่งก่อนหน้านี้ พวกเขามีแนวโน้มที่จะสงสัยน้อยลงกับสายเรียกเข้า ขึ้นอยู่กับความฉลาดแกมโกงของกลยุทธ์การมองเห็น เหยื่ออาจคาดหวังสายเรียกเข้า ทำให้แฮกเกอร์ง่ายขึ้น ผู้โจมตีใช้ประโยชน์จากโอกาสที่จะมีการตอบรับสายจากรหัสพื้นที่ท้องถิ่น

ระยะที่ 3: การโน้มน้าวใจ

เมื่อเริ่มการติดต่อ เป้าหมายของผู้คุกคามจะเปลี่ยนเป็นการบงการสัญชาตญาณโดยธรรมชาติของเหยื่อในเรื่องความไว้วางใจ ความกลัว ความโลภ และความเห็นแก่ผู้อื่น ด้วยการใช้เทคนิควิศวกรรมสังคมผสมกัน พวกเขาสร้างความมั่นใจให้กับเหยื่อและอาจชักชวนพวกเขาให้:

  • เปิดเผยรายละเอียดธนาคารและบัตรเครดิต

  • แบ่งปันที่อยู่อีเมล

  • โอนเงิน

  • ส่งต่อเอกสารที่เกี่ยวข้องกับการทำงานที่เป็นความลับ

  • เปิดเผยข้อมูลเกี่ยวกับนายจ้างของตน

ระยะที่ 4: จุดสุดยอด

การเดินทางอันน่าปรารถนาไม่ได้สิ้นสุดเพียงแค่นี้ เมื่อได้รับข้อมูลที่ได้มา ผู้ประสงค์ร้ายก็พร้อมที่จะกระทำความผิดเพิ่มเติม พวกเขาอาจทำให้ทรัพยากรธนาคารของเหยื่อหมดสิ้น ยอมรับตัวตนของพวกเขา และดำเนินธุรกรรมที่ไม่ได้รับอนุญาต ยิ่งไปกว่านั้น พวกเขาอาจใช้ประโยชน์จากอีเมลของเหยื่อเพื่อหลอกลวงเพื่อนร่วมงานให้เปิดเผยข้อมูลองค์กรที่ละเอียดอ่อน

วิธีการวิชชิ่ง

วิชเชอร์ใช้กลวิธีต่างๆ เพื่อบรรลุเป้าหมายที่หลอกลวง วิธีการทั่วไปได้แก่:

  • การปลอมแปลงหมายเลขผู้โทรเข้า : ผู้โจมตีดัดแปลงหมายเลขผู้โทรเพื่อให้ดูเหมือนว่าหน่วยงานที่เชื่อถือได้ เช่น ธนาคารหรือหน่วยงานรัฐบาลกำลังโทรมา

  • การส่งข้อความล่วงหน้า : ผู้โจมตีสร้างสถานการณ์จำลองหรือข้ออ้างเพื่อดึงข้อมูลจากเป้าหมาย

  • ฟิชชิ่ง IVR : ระบบตอบรับเสียงโต้ตอบอัตโนมัติ (IVR) เลียนแบบบริษัทที่ถูกกฎหมายเพื่อเก็บข้อมูลที่ละเอียดอ่อน

ตัวอย่างการวิชชิ่งทั่วไป

เนื่องจากการหลอกลวงเหล่านี้มีความซับซ้อนมากขึ้นเรื่อยๆ การจดจำรูปแบบและสถานการณ์ทั่วไปจึงเป็นสิ่งสำคัญ ก่อนที่เราจะเจาะลึกตัวอย่าง vishing ต่างๆ เรามาทำความคุ้นเคยกับกลยุทธ์ที่แพร่หลายที่สุดเพื่อให้คุณก้าวนำหน้าและปกป้องข้อมูลของคุณก่อน

การหลอกลวงของกรมสรรพากร

ผู้โทรปลอมแปลงเป็นเจ้าหน้าที่ IRS โดยอ้างว่าเหยื่อเป็นหนี้ภาษีและถูกจับกุม เว้นแต่พวกเขาจะชำระเงินทันที โดยทั่วไปจะเรียกร้องให้ชำระเงินผ่านบัตรของขวัญหรือการโอนเงิน รูปแบบนี้มักเกี่ยวข้องกับข้อความอัตโนมัติที่อ้างว่ามีความคลาดเคลื่อนในการคืนภาษีและการขู่ว่าจะดำเนินการทางกฎหมาย ควบคู่ไปกับการปลอมแปลงหมายเลขผู้โทรเพื่อเลียนแบบการติดต่อของ IRS การตรวจสอบการเรียกร้องดังกล่าวโดยตรงกับ IRS เป็นสิ่งสำคัญอย่างยิ่ง และหลีกเลี่ยงการติดต่อกับผู้หลอกลวง

การหลอกลวงการสนับสนุนด้านเทคนิค

ผู้ฉ้อโกงปลอมตัวเป็นตัวแทนสนับสนุนด้านเทคนิคจากบริษัทที่มีชื่อเสียง โดยกล่าวหาว่าคอมพิวเตอร์ของเหยื่อมีไวรัส พวกเขาขอการเข้าถึงระยะไกลหรือการชำระเงินเพื่อแก้ไขปัญหาที่ไม่มีอยู่จริง

แจ้งเตือนการฉ้อโกงทางธนาคาร

นักต้มตุ๋นแกล้งทำเป็นว่ามาจากธนาคารของเหยื่อ โดยระบุว่ามีกิจกรรมที่น่าสงสัยในบัญชีของพวกเขา พวกเขาขอรายละเอียดบัญชีและ PIN เพื่อ 'ยืนยัน' ตัวตนของเหยื่อและ 'รักษาความปลอดภัย' ของบัญชี แทนที่จะปฏิบัติตาม ขอแนะนำให้ยุติการสนทนาและติดต่อกับธนาคารโดยตรงโดยใช้ข้อมูลติดต่อจากเว็บไซต์อย่างเป็นทางการของธนาคาร

ลอตเตอรีหรือกลโกงรางวัล

ผู้ที่ตกเป็นเหยื่อจะได้รับโทรศัพท์แจ้งว่าพวกเขาถูกรางวัลหรือลอตเตอรี่ แต่ต้องจ่ายภาษีหรือค่าธรรมเนียมล่วงหน้าเพื่อรับรางวัล การเฝ้าระวังและการตรวจสอบเป็นกุญแจสำคัญในการหลีกเลี่ยงการตกเป็นเหยื่อของกลยุทธ์ดังกล่าว

กลโกงประกันสังคม

ผู้โทรอ้างว่ามาจากสำนักงานประกันสังคม โดยระบุว่า SSN ของเหยื่อถูกระงับเนื่องจากมีกิจกรรมที่น่าสงสัย และขอข้อมูลส่วนบุคคลเพื่อแก้ไขปัญหา โดยเฉพาะอย่างยิ่ง Federal Trade Commission ระบุว่าการโทรเป็นวิธีการหลักที่นักต้มตุ๋นใช้ซึ่งกำหนดเป้าหมายไปที่ผู้อาวุโส

การหลอกลวงด้านการแจ้งเตือนทางการแพทย์/การประกันภัย

นักต้มตุ๋นเสนอระบบแจ้งเตือนทางการแพทย์ฟรี หรือแกล้งทำเป็นตัวแทนประกันสุขภาพเพื่อดึงข้อมูลส่วนบุคคลและข้อมูลทางการเงินจากเหยื่อ โดยเฉพาะอย่างยิ่งที่กำหนดเป้าหมายเป็นผู้สูงอายุ

การหลอกลวงปู่ย่าตายาย

ผู้โทรแกล้งทำเป็นหลานที่กำลังทุกข์ยาก ต้องการความช่วยเหลือทางการเงินทันที และขอให้ปู่ย่าตายายอย่าบอกสมาชิกครอบครัวคนอื่นๆ

การหลอกลวงด้านสาธารณูปโภค

ผู้หลอกลวงอ้างว่าบริการของเหยื่อจะถูกยกเลิกการเชื่อมต่อ เว้นแต่จะมีการชำระเงินทันที โดยปลอมตัวเป็นตัวแทนของบริษัทสาธารณูปโภค

กลโกงทุนรัฐบาล

เหยื่อจะได้รับแจ้งว่าพวกเขาได้รับเลือกให้รับเงินช่วยเหลือจากรัฐบาล และจำเป็นต้องจ่ายค่าธรรมเนียมการดำเนินการ หรือให้รายละเอียดบัญชีธนาคารเพื่อรับเงิน

กลโกงทวงหนี้

ผู้โทรปลอมตัวเป็นผู้ทวงหนี้ โดยขู่ว่าจะดำเนินการทางกฎหมาย เว้นแต่เหยื่อจะชำระหนี้ที่ตนไม่ได้เป็นหนี้จริง จำเป็นอย่างยิ่งที่จะต้องคงความสงสัย เนื่องจากผู้ให้กู้และนักลงทุนที่ถูกต้องตามกฎหมายไม่ได้ดำเนินการในลักษณะนี้หรือเริ่มต้นการติดต่อที่ไม่คาดคิด

ตระหนักถึงการโจมตีแบบวิชชิ่ง

วิธีรับรู้การโจมตีแบบวิชชิ่ง

การตระหนักรู้ถึงความปรารถนาสามารถเป็นส่วนสำคัญในการปกป้องตนเองจากการตกเป็นเหยื่อของการกระทำที่หลอกลวงดังกล่าว สิ่งสำคัญประการหนึ่งที่ต้องใส่ใจคือเสียงระหว่างการโทร คุณภาพเสียงของการโทรอาจไม่ดี โดยมีเสียงรบกวนพื้นหลังที่ไม่สอดคล้องกับการตั้งค่าแบบมืออาชีพ

นอกจากนี้ การโจมตีแบบวิชชิ่งมักแสดงสัญญาณที่ชัดเจน:

  • ความเร่งด่วน : ผู้โทรยืนกรานให้ดำเนินการทันที โดยกดดันให้ผู้เสียหายเปิดเผยข้อมูลอย่างเร่งรีบ

  • การขอข้อมูลที่ละเอียดอ่อน : องค์กรที่ถูกกฎหมายแทบจะไม่ขอข้อมูลส่วนบุคคลทางโทรศัพท์

  • ผู้โทรที่ไม่รู้จัก : การรับสายจากหมายเลขที่ไม่รู้จักหรือไม่คาดคิดอาจเป็นสัญญาณอันตรายได้

วิธีป้องกันการวิชชิ่ง

การป้องกัน vishing จำเป็นต้องมีแนวทางที่หลากหลาย เพื่อป้องกันตัวเองจากการตกเป็นเหยื่อ โปรดปฏิบัติตามข้อควรระวังต่อไปนี้:

ป้องกันข้อมูลที่ละเอียดอ่อน

หลีกเลี่ยงการยืนยันหรือเปิดเผยข้อมูลที่ละเอียดอ่อนทางโทรศัพท์ โปรดจำไว้ว่าธนาคารหรือหน่วยงานของรัฐที่แท้จริงจะไม่ขอรายละเอียดส่วนบุคคลผ่านการโทร

ช่างสังเกต

กลั่นกรองภาษาและพฤติกรรมของผู้โทร ระมัดระวังไม่ให้เปิดเผยข้อมูลส่วนบุคคลใดๆ และระวังภัยคุกคามหรือข้อเรียกร้องเร่งด่วนที่เกิดขึ้นระหว่างการโทร

คัดกรองการโทรของคุณ

หากมีหมายเลขที่ไม่รู้จักโทรเข้า ปล่อยให้ไปที่วอยซ์เมลจะปลอดภัยกว่า หมายเลขผู้โทรสามารถปรับเปลี่ยนได้ ดังนั้น โปรดยืนยันตัวตนของผู้โทรโดยการฟังข้อความก่อนตัดสินใจว่าจะโทรกลับหรือไม่

จำกัดการแชร์ข้อมูล

หากคุณตอบ ให้หลีกเลี่ยงการให้รายละเอียดเกี่ยวกับตัวคุณเอง ที่ทำงาน หรือสถานที่ของคุณ

สอบถามและตรวจสอบ

หากผู้โทรกำลังทำการตลาดผลิตภัณฑ์หรือเสนอรางวัล ให้ขอหลักฐานยืนยันตัวตนและความเกี่ยวข้องของพวกเขา ยืนยันข้อมูลที่ให้ไว้ก่อนที่จะแบ่งปันข้อมูลใด ๆ ของคุณ ยุติการโทรหากพวกเขาลังเลที่จะปฏิบัติตาม

ลงทะเบียนกับ Do Not Call Registry

การลงทะเบียนหมายเลขของคุณใน Do Not Call Registry จะขัดขวางนักการตลาดทางโทรศัพท์ การโทรใดๆ จากหน่วยงานดังกล่าวที่น่าสงสัย เนื่องจากบริษัทที่ถูกกฎหมายมักจะเคารพรายการนี้

คำนึงถึงคำขออย่างเป็นทางการ

โปรดทราบว่าผู้บังคับบัญชาที่ชอบด้วยกฎหมายหรือตัวแทนฝ่ายทรัพยากรบุคคลจะไม่เรียกร้องการโอนเงิน ข้อมูลที่ละเอียดอ่อน หรือการส่งเอกสารผ่านช่องทางส่วนตัว

ละเว้นการสื่อสารที่น่าสงสัย

อย่าตอบกลับอีเมลหรือข้อความโซเชียลมีเดียที่ขอหมายเลขโทรศัพท์ของคุณ การสื่อสารดังกล่าวสามารถเป็นจุดเริ่มต้นของการโจมตีแบบกำหนดเป้าหมายได้ รายงานข้อความที่น่าสงสัยไปยังฝ่ายไอทีหรือทีมสนับสนุนของคุณ

ให้ความรู้แก่ตัวเอง

ค้นหาข้อมูลเชิงรุก เข้าร่วมโปรแกรมการรับรู้ และใช้แหล่งข้อมูลออนไลน์เพื่อทำความคุ้นเคยกับภัยคุกคามและมาตรการป้องกันล่าสุด

ธุรกิจที่ใช้การตลาดผ่าน SMS สามารถมีบทบาทในการให้ความรู้แก่ผู้บริโภคเกี่ยวกับ vishing โดยการให้ข้อมูลเกี่ยวกับการรับรู้และการตอบสนองต่อกลโกงที่อาจเกิดขึ้น และเน้นย้ำความแตกต่างระหว่างการสื่อสารที่ถูกกฎหมายและกลวิธีหลอกลวง

คุณควรทำอย่างไรหากได้รับวิชิต?

หากคุณพบว่าตัวเองได้เปิดเผยรายละเอียดการธนาคารของคุณกับผู้ต้องสงสัยหลอกลวงโดยไม่รู้ตัว การดำเนินการทันทีถือเป็นสิ่งสำคัญ

ติดต่อธนาคาร บริษัทบัตรเครดิต สถาบันการเงิน หรือผู้ติดต่อ Medicare ที่เกี่ยวข้อง สอบถามเกี่ยวกับความเป็นไปได้ในการระงับธุรกรรมที่น่าสงสัยและป้องกันการเรียกเก็บเงินที่ไม่ได้รับอนุญาตเพิ่มเติม เพื่อเพิ่มความปลอดภัยและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต โปรดพิจารณาเปลี่ยนหมายเลขบัญชีของคุณ

จากนั้น ยื่นเรื่องร้องเรียนต่อ Federal Trade Commission หรือศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตของ FBI เพื่อดำเนินการตามความเหมาะสม

บทสรุป

แม้ว่าจะเป็นการหลอกลวงและอาจสร้างความเสียหายได้ แต่การวิชชิ่งสามารถบรรเทาลงได้อย่างมีประสิทธิภาพผ่านการเฝ้าระวัง การศึกษา และการใช้เทคโนโลยีอย่างรอบคอบ ด้วยการรับทราบข้อมูลและปฏิบัติตามข้อควรระวัง บุคคลและองค์กรสามารถขัดขวางความพยายามของวิชเชอร์ได้ และรับประกันความปลอดภัยของข้อมูลที่ละเอียดอ่อน