Hvad er vishing?
Vishing er en form for angreb, hvor man forsøger at narre ofrene til at opgive følsomme personlige oplysninger over telefonen. Selv om det får det til at lyde som et gammeldags svindelnummer, har vishing-angreb højteknologiske elementer: De involverer f.eks. automatiseret stemmesimuleringsteknologi, eller svindleren kan bruge personlige oplysninger om offeret, der er indsamlet fra tidligere cyberangreb, for at berolige dem.
Uanset hvilken teknologi der anvendes, følger opsætningen af angrebet et velkendt social engineering-manuskript: En angriber skaber et scenarie for at udnytte menneskelige følelser, almindeligvis grådighed eller frygt, og overbeviser offeret om at afsløre følsomme oplysninger som f.eks. kreditkortnumre eller adgangskoder. På den måde afspejler vishing-teknikkerne de phishing-svindelnumre, der har eksisteret siden 1990’erne. Men vishing-opkald udnytter det faktum, at vi er mere tilbøjelige til at stole på en menneskelig stemme – og kan være rettet mod ældre og teknofobiske personer, som er naive og ikke har nogen erfaring med denne type svindel.
Vishing-statistikker
Disse bemærkelsesværdige tal giver en fornemmelse af, hvordan det står til med vishing, og hvorfor det kan være en lukrativ forretning for angriberne.
- Vishing-angreb har været stigende i de seneste par år. I 2018 udgjorde svindelopkald næsten 30 % af alle indgående mobilopkald.
- Så det bør ikke komme som en overraskelse, at dette underlige begreb er begyndt at blive mere almindeligt anerkendt. Proofpoints 2020 State of the Phish-rapport viste, at 25 % af de ansatte i deres verdensomspændende undersøgelse kunne definere begrebet korrekt.
- 75 % af ofrene for svindelnumre rapporterer, at vishere allerede havde nogle personlige oplysninger om dem, som de brugte til at målrette dem og få endnu flere oplysninger.
- Af de personer, der anmelder statslige svindelnumre til FTC, havde kun 6 % faktisk mistet penge – men de, der gjorde, mistede en hel del, idet median tabet var 960 dollars.
Vishing vs. phishing vs. smishing: Hvad er forskellen?
Phishing er den største af dem alle, og CSO har en komplet forklaring med alle detaljerne, men i det væsentlige drejer det sig om at sende målrettede e-mails for at narre modtagerne. “Phish” udtales, som det staves, dvs. som ordet “fisk” – analogien er, at en lystfisker kaster en agnet krog ud (phishing-e-mailen) og håber, at du bider på. Udtrykket opstod i midten af 1990’erne blandt hackere, der forsøgte at narre AOL-brugere til at opgive deres login-oplysninger. “ph” er en del af en tradition for finurlig hackerskrivning og er sandsynligvis påvirket af udtrykket “phreaking”, en forkortelse for “phone phreaking”, en tidlig form for hacking, hvor man spillede lydtoner i telefonapparater for at få gratis opkald.
Vishing er i princippet phishing via telefonopkald. Ligesom phishing betragtes som en delmængde af spam, er vishing en udløber af VoIP-spam, også kendt som spam over telephony, eller SPIT. Selve udtrykket “vishing” har eksisteret siden slutningen af 00’erne.
“Smishing” er en lignende type angreb, hvor der anvendes tekstbeskeder i stedet for e-mails eller taleopkald; ordet er et portmanteau af “SMS” og “phishing”. Du kan læse mere om smishing i vores forklaring om emnet.
Vishing-teknikker
Næsten alle vishing-angreb har et par ting til fælles. Telefonopkaldene foretages i første omgang via VoIP-tjenester (voice over IP), hvilket gør det lettere for visherne at automatisere hele eller dele af processen og vanskeligere for ofrene eller de retshåndhævende myndigheder at spore dem. Og angribernes endelige mål er at drage fordel af dig på en eller anden måde – enten ved at indsamle bankkontooplysninger eller andre personlige oplysninger, som de kan bruge til at få adgang til dine bankkonti, eller ved at narre dig til at betale dem direkte.
Men inden for vishing-svindel findes der en lang række forskellige teknikker og strategier. De spænder fra stort set automatiserede “shotgun”-angreb, der er rettet mod mange potentielle ofre i håb om at få et par bidder, til laserfokuserede svindelnumre, der tager sigte på et specifikt mål af høj værdi.
Den måske mest udbredte form for vishing begynder med såkaldt “wardialing” – det vil sige hundredvis eller tusindvis af automatiserede opkald til hundredvis eller tusindvis af numre. Det potentielle offer (eller dets telefonsvarer) får en optagelse, der har til formål at skræmme eller narre det til selv at foretage et telefonopkald tilbage til svindlerne. Ofte vil svindlerne hævde at være fra skattevæsenet eller et andet statsligt organ eller fra en bank eller en kreditforening. Opkaldet kan fokusere på et bestemt områdenummer og bruge navnet på en lokal institution i håb om at finde faktiske kunder.
En variation af denne teknik indebærer brug af popup-vinduer på din computer, som ofte er plantet af malware, for at simulere en advarsel fra dit operativsystem om et teknisk problem. Offeret får at vide, at det skal ringe til “Microsoft Support” eller noget lignende og får et telefonnummer. Dette sætter dem i forbindelse med den, der besøger dem, som kan ende med at bruge en kombination af rigtige og automatiserede stemmesvar under samtalen – igen er målet her at få mest muligt ud af en lille indsats.
Spear vishing
I denne form for shotgun-angreb ved besøgerne generelt næsten intet om dig og skal bluffe sig frem til at få dig til at tro, at de er dem, de siger, de er; derfor kan de relativt let blive opdaget. Meget mere foruroligende er dog vishers, der henvender sig specifikt til dig. Denne teknik er kendt som “spear vishing”; ligesom spear phishing kræver den, at angriberne allerede har nogle oplysninger om deres mål. F.eks. kan en spear visher allerede kende din hjemmeadresse og vide, hvem du er i banken hos, før han ringer til dig, hvilket gør det lettere for ham at narre dig til at oplyse din pinkode.
Men hvordan kan han allerede vide så meget om dig? “Mange af disse data kommer fra det mørke net, som ofte stammer fra databrud,” siger Paige Schaffer, CEO for Global Identity and Cyber Protection services for Generali Global Assistance (GGA). Så når du læser om store databrud, skal du vide, at de kan være med til at gøre vishing meget lettere. Det kan virke mærkeligt, at en angriber, der allerede har dine personlige oplysninger, er ivrig efter at få flere, men som Schaffer påpeger, “jo flere oplysninger en svindler har, jo mere skade kan de gøre. Hvorfor være tilfreds med de sidste fire SSN-cifre, når de potentielt kan få dig til at udlevere de fem andre? Et fuldt SSN giver dem mulighed for at åbne svigagtige kreditkort, lån og meget mere.”
Hvis alt dette lyder som meget mere arbejde end at ringe til nogen og fortælle dem, at du er fra skattevæsenet, så har du ret. Men de fleste mennesker – især målgrupper af høj værdi, som ofte er mere veluddannede og cybersmarte – vil gennemskue disse mere enkle svindelnumre. Hvis belønningen er stor nok, kan det være værd at bruge tid på at opbygge en overbevisende identitet for at få oplysninger ud af offeret. “En hacker kan have arbejdet tålmodigt på at skaffe sig oplysninger over tid fra offeret via phishing-e-mails eller opsamle dem via malware”, siger Schaffer. “Når spear vishers går efter større ‘fisk’ (så at sige) som f.eks. administrerende direktører, kalder vi det ‘hvalfangst’.” Og efterhånden som stemmesimuleringsteknikkerne forbedres, har hvalfangerne endnu flere værktøjer i deres arsenal, idet de har mulighed for at efterligne specifikke personer for at forsøge at narre deres ofre.
Vishing-eksempler
Så vidt vi har været lidt vage om de specifikke svindelnumre, som vishere vil trække for at få fat i dine penge eller personlige oplysninger. HashedOut opdeler dem i fire brede kategorier:
Telemarketing-svindel. Disse typer svindel er ærligt talt fra før vishing-æraen, men har overtaget mange af deres teknikker. Viserne ringer dig op uden at have nogen som helst baggrundsviden om, hvem du er, og kommer med et tilbud, der er for godt til at være sandt: du har vundet i et lotteri, du aldrig har deltaget i, du er blevet tilbudt en gratis Marriott-ferie, du kan reducere renten på dit kreditkort osv. Som regel er der en forhåndsudgift for at få dine “gratis” penge, og selvfølgelig kommer den madding, som du blev lovet, aldrig.
Regeringsudgivelser. En almindelig svindel går ud på at antyde, at et problem blokerer for ydelser, som offeret burde modtage, f.eks. Medicare- eller socialsikringsydelser; ved at tilbyde at “løse” problemet åbnes der mulighed for at lokke offeret til at udlevere personlige oplysninger, f.eks. socialsikrings- eller bankkontonumre. En mere aggressiv version af dette kommer fra falske “efterforskere” fra skattevæsenet, som ofte hævder, at ofrene skylder skatterestancer, og truer dem med bøder eller fængsel. Denne video viser en politibetjent, der interagerer med en af disse svindlere.
Det er ikke usædvanligt, at disse typer svindlere kræver at blive betalt ved, at offeret køber Amazon-gavekort og derefter læser dem numrene på bagsiden, da kortkøbene ikke kan spores. Dette er et godt tip om, at du ikke har med et statsligt organ at gøre!
Svindel med teknisk support. Vi diskuterede dette lidt ovenfor – svindlere kan udnytte de teknologisk naive og deres bekymringer for at blive hacket ved at bruge popup-annoncer eller malware forklædt som en advarsel fra operativsystemet for at narre ofrene til at ringe til visherskerne. Kapersky advarer om en variant af denne fidus, der grundlæggende er en form for ransomware: malware låser en pc, men giver et “teknisk support”-nummer, hvor en venlig “tekniker” – i virkeligheden en del af den bande, der har installeret malware i første omgang – vil reparere din computer mod betaling og lade dig tro, at de faktisk har hjulpet dig.
Vishing-angreb på bankkonti. At få adgang til dine bankoplysninger er naturligvis den hellige gral for en visher. Og hvis en angriber allerede har adgang til nogle af dine personlige oplysninger fra en anden kilde, som vi diskuterede tidligere, kan de nemt efterligne den slags legitime opkald, som man ville forvente at få fra sit pengeinstitut, på en måde, der kan snyde selv de mest kyndige blandt os. Panic Inc.s grundlægger Caleb Sasser fortalte Krebs on Security en rystende historie om et næsten succesfuldt vishing-angreb. Det lykkedes angriberen at forfalske deres telefonnummer til at matche Wells Fargo’s, Sasser’s bank, og påstod, at han ville følge op på nogle potentielt bedrageriske opkrævninger. Da “banken” tilbød at sende et nyt hævekort, gik Sasser næsten så langt som til at indtaste en ny pinkode i sin telefon, før han i sidste øjeblik trak sig tilbage; havde han gjort det, ville visherne have været i stand til at klone hans kort og bruge det frit.
Disse typer svindlere er mest tilbøjelige til at gå på hvalfangst og lede efter mål af meget høj værdi, som kan hjælpe dem med at blive rige hurtigt. En variant er blevet kendt som “fredag eftermiddagssvindel”, hvor visherne ringer til et investeringsfirma eller et andet velhavende mål i slutningen af arbejdsugen og regner med, at den person, der besvarer telefonen, er træt og distraheret og lader sin vagt falde.
Sådan undgår du vishing
Hvis du ønsker at identificere og undgå vishing, vil det materiale, vi har behandlet indtil nu, forhåbentlig hjælpe dig med at vide, hvad du skal kigge efter. FTC har en god oversigt over de vigtigste punkter, som alle bør vide:
- Vær mistænksom over for opkald, der hævder at være fra et statsligt organ, der beder om penge eller oplysninger. Offentlige myndigheder ringer aldrig ud af det blå og forlanger – eller tilbyder – penge. Når du er i tvivl, skal du lægge på, uafhængigt af hinanden finde det rigtige nummer til myndigheden og ringe til dem for at finde ud af, om de forsøger at få fat i dig.
- Betal aldrig for noget med et gavekort eller en bankoverførsel. Det er et stærkt tegn på svindel.
- Du skal ikke stole på opkaldsnummeret. Det er meget nemt at forfalske.
Kapersky har en anden god tommelfingerregel: En ting, som alle vishing-svindelnumre har til fælles, er et forsøg på at skabe en falsk følelse af hastværk, så du tror, at du er i problemer eller er ved at gå glip af en mulighed og er nødt til at handle lige nu. Det skader aldrig at tage et øjeblik til at holde en pause, skrive oplysninger om den, der ringer, ned uden at give nogen af dine egne oplysninger, og så ringe tilbage, når du har lavet research.
Hvis du ønsker at tage proaktive skridt til at beskytte din organisation, kan du måske inkludere vishing som en del af en sikkerhedsbevidsthedsuddannelse. Flere leverandører tilbyder simulerede vishing-platforme, der kan hjælpe dig med at opdage sårbarheder i medarbejdernes holdninger og demonstrere truslens karakter for dine medarbejdere.