Vishing selitti:

Posted on by admin

Mitä on vishing?

Vishing on hyökkäysmuoto, jossa uhreja yritetään huijata luovuttamaan arkaluonteisia henkilötietoja puhelimitse. Vaikka tämä saa sen kuulostamaan vanhanaikaiselta huijaukselta, vishing-hyökkäyksissä on huipputeknisiä elementtejä: niissä käytetään esimerkiksi automatisoitua äänisimulaatiotekniikkaa, tai huijari voi käyttää uhrista aiemmista verkkohyökkäyksistä kerättyjä henkilökohtaisia tietoja saadakseen uhrin tuntemaan olonsa rauhallisemmaksi.

Käytettiinpä mitä tekniikkaa tahansa, hyökkäyksen asetelma noudattaa tuttua sosiaalisen manipuloinnin (social engineering) käsikirjoitusta: Hyökkääjä luo skenaarion, jossa käytetään hyväksi ihmisten tunteita, yleensä ahneutta tai pelkoa, ja suostuttelee uhrin paljastamaan arkaluonteisia tietoja, kuten luottokorttinumeroita tai salasanoja. Tässä mielessä vishing-tekniikat heijastavat phishing-huijauksia, jotka ovat olleet käytössä 1990-luvulta lähtien. Vishing-puheluissa hyödynnetään kuitenkin sitä, että luotamme todennäköisemmin ihmisääniin – ja ne voivat kohdistua iäkkäisiin ja tekniikkakammoisiin henkilöihin, jotka ovat naiiveja ja joilla ei ole kokemusta tämäntyyppisistä huijauksista.

Vishing-tilastot

Nämä huomattavat luvut antavat käsityksen vishing-toiminnan tilasta ja siitä, miksi se voi olla tuottoisaa liiketoimintaa hyökkääjille.

  • Vishing-hyökkäykset ovat olleet kasvussa viime vuosina. Vuonna 2018 huijauspuhelujen osuus kaikista saapuvista matkapuheluista oli lähes 30 prosenttia.
  • Ei siis liene yllätys, että tämä outo termi alkaa olla laajemmin tunnettu. Proofpointin vuoden 2020 State of the Phish -raportissa todettiin, että 25 prosenttia heidän maailmanlaajuiseen kyselyynsä osallistuneista työntekijöistä osasi määritellä termin oikein.
  • 75 prosenttia huijauksen uhreista raportoi, että huijareilla oli jo jonkin verran henkilökohtaisia tietoja heistä, joita he käyttivät kohdistaakseen heidät ja saadakseen vielä lisää tietoja.
  • Hallituksen huijarivishing-huijauksista FTC:lle ilmoittaneista henkilöistä vain 6 prosenttia oli todella menettänyt rahaa – mutta ne, jotka olivat menettäneet, menettivät melko paljon, mediaanitappion ollessa 960 dollaria.

Vishing vs. phishing vs. phishing. smishing: Mitä eroa on?

Phishing on niiden kaikkien isoisä, ja CSO:lla on täydellinen selitys kaikkine yksityiskohtineen, mutta pohjimmiltaan siinä lähetetään kohdennettuja sähköpostiviestejä vastaanottajien huijaamiseksi. ”Phish” lausutaan aivan kuten se kirjoitetaan, eli kuten sana ”kala” – analogia on, että kalastaja heittää syötillä varustetun koukun (phishing-sähköpostin) ja toivoo, että puraisit. Termi syntyi 1990-luvun puolivälissä hakkereiden keskuudessa, jotka pyrkivät huijaamaan AOL-käyttäjiä luovuttamaan kirjautumistietonsa. ”ph” on osa hakkerien omituisen kirjoitusasun perinnettä, ja se on luultavasti saanut vaikutteita termistä ”phreaking”, joka on lyhenne sanoista ”phone phreaking” (puhelinmurtautuminen), varhaisesta hakkeroinnin muodosta, jossa soitettiin äänimerkkejä puhelimiin ilmaisten puheluiden saamiseksi.

Vishing on pohjimmiltaan kalastelua puheluiden välityksellä. Aivan kuten phishingiä pidetään roskapostin alaryhmänä, myös vishing on VoIP-roskapostin, joka tunnetaan myös nimellä spam over telephony (SPIT), kehittymää. Itse termi ”vishing” on ollut käytössä 00-luvun lopusta lähtien.

”Smishing” on samantyyppinen hyökkäys, jossa käytetään tekstiviestejä sähköpostien tai puheluiden sijasta; sana on portmanteau sanoista ”SMS” ja ”phishing”. Lisätietoja smishingistä saat selostuksestamme aiheesta.

Vishing-tekniikat

Lähes kaikilla vishing-hyökkäyksillä on muutama yhteinen piirre. Puhelut soitetaan aluksi VoIP-palveluiden (voice over IP) kautta, mikä helpottaa vishing-hyökkääjiä automatisoimaan prosessin osittain tai kokonaan ja vaikeuttaa uhrien tai lainvalvontaviranomaisten jäljittämistä. Hyökkääjien perimmäisenä tavoitteena on hyötyä sinusta jollakin tavalla – joko keräämällä pankkitilitietoja tai muita henkilökohtaisia tietoja, joiden avulla he voivat päästä käsiksi pankkitileihisi, tai huijaamalla sinut maksamaan suoraan heille.

Vishing-huijausten maailmankaikkeudessa on kuitenkin monenlaisia tekniikoita ja strategioita. Ne vaihtelevat pitkälti automatisoiduista ”haulikkohyökkäyksistä”, jotka kohdistuvat moniin potentiaalisiin uhreihin muutaman puraisun toivossa, aina laserpainotteisiin huijauksiin, joissa tähdätään tiettyyn arvokkaaseen kohteeseen.

Visailuhyökkäysten kenties laajimmalle levinnyt muoto alkaa niin sanotulla ”wardialingilla” eli sadoilla tai tuhansilla automatisoiduilla puheluilla satoihin tai tuhansiin numeroihin. Mahdollinen uhri (tai hänen vastaajaansa) saa nauhoituksen, jonka tarkoituksena on pelotella tai huijata häntä käynnistämään itse puhelu takaisin huijareille. Usein huijarit väittävät olevansa verovirastosta tai muusta valtion virastosta tai pankista tai luotto-osuuskunnasta. Huijaajat keskittyvät tiettyyn suuntanumeroon ja käyttävät paikallisen laitoksen nimeä siinä toivossa, että he löytäisivät todellisia asiakkaita.

Tämän tekniikan muunnelmana käytetään tietokoneen ponnahdusikkunoita, jotka on usein sijoitettu haittaohjelmilla ja jotka simuloivat käyttöjärjestelmän varoitusta jostain teknisestä ongelmasta. Uhrille kerrotaan, että hänen on soitettava ”Microsoftin tukeen” tai vastaavaan, ja annetaan puhelinnumero. Tämä asettaa uhrin puhelinyhteyteen vierailijan kanssa, joka saattaa päätyä käyttämään keskustelun aikana oikeiden ja automaattisten äänivastausten yhdistelmää – tässäkin tapauksessa tavoitteena on saada mahdollisimman suuri hyöty pienellä vaivalla.

Spear vishing

Tällaisissa haulikkohyökkäyksissä vierailijat eivät yleensä tiedä sinusta juuri mitään, ja heidän täytyy huijata sinut uskomaan, että he luulevat olevansa sitä, keitä sanovat olevansa; tämän vuoksi heidät voidaan havaita suhteellisen helposti. Paljon huolestuttavampia ovat kuitenkin näkijät, jotka tavoittelevat nimenomaan sinua. Tämä tekniikka tunnetaan nimellä ”spear vishing”; kuten spear phishing, se edellyttää, että hyökkääjillä on jo jonkin verran tietoa kohteesta. Spear-vishing voi esimerkiksi jo ennen soittamista tietää kotiosoitteesi ja pankkitilisi, jolloin heidän on helpompi huijata sinut kertomaan PIN-koodisi.

Mutta miten he tietävät sinusta jo niin paljon? ”Suuri osa näistä tiedoista tulee pimeästä verkosta, joka on usein peräisin tietomurroista”, sanoo Paige Schaffer, Generali Global Assistance (GGA) Global Identity and Cyber Protection -palvelujen toimitusjohtaja. Kun siis luet suurista tietomurroista, tiedä, että ne voivat helpottaa kalastelua huomattavasti. Saattaa tuntua oudolta, että hyökkääjä, jolla on jo henkilökohtaiset tietosi, haluaa saada lisää, mutta kuten Schaffer huomauttaa, ”mitä enemmän tietoa huijarilla on, sitä enemmän vahinkoa hän voi aiheuttaa. Miksi tyytyä neljään viimeiseen SSN-numeroon, kun he voivat saada sinut luovuttamaan viisi muuta numeroa? Täydellisen SSN-tunnuksen avulla he voivat avata vilpillisiä luottokortteja, lainoja ja paljon muuta.”

Jos tämä kaikki kuulostaa paljon työläämmältä kuin se, että soitat jollekulle ja kerrot olevasi verovirastosta, olet oikeassa. Mutta useimmat ihmiset – etenkin arvokkaat kohteet, jotka ovat usein koulutetumpia ja tietoverkkotietoisempia – näkevät yksinkertaisempien huijausten läpi. Jos palkkio on tarpeeksi suuri, voi olla vaivan arvoista rakentaa vakuuttava henkilöllisyys, jotta uhrilta saataisiin tietoja irti. ”Hakkeri on saattanut kärsivällisesti hankkia tietoja uhrilta phishing-sähköpostien avulla tai kaapata niitä haittaohjelmilla”, Schaffer sanoo. ”Kun keihäsmurtajat jahtaavat isompia ’kaloja’, kuten toimitusjohtajia, kutsumme sitä ’valaanpyynniksi’.” Ja kun äänisimulointitekniikat kehittyvät, valaanpyytäjillä on entistä enemmän työkaluja arsenaalissaan, sillä he voivat jäljitellä tiettyjä henkilöitä yrittäessään huijata uhrejaan.

Vishing-esimerkkejä

Tähän mennessä olemme olleet melko epämääräisiä siitä, millaisia erityisiä huijauksia valaanpyytäjät tekevät saadakseen rahojasi tai henkilökohtaisia tietojasi. HashedOut jakaa nämä neljään laajaan kategoriaan:

Telemarkkinointipetokset. Tämäntyyppiset huijaukset ovat rehellisesti sanottuna vishing-aikaa vanhempia, mutta ne ovat omaksuneet monia niiden tekniikoita. Vishing-huijaaja soittaa sinulle kylmästi ilman oikeastaan minkäänlaista taustatietoa siitä, kuka olet, ja tekee tarjouksen, joka on liian hyvä ollakseen totta: olet voittanut lotossa, johon et ole koskaan osallistunut, sinulle on tarjottu ilmaista Marriott-lomaa, voit vähentää luottokorttisi korkoja jne. Yleensä ”ilmaisen” rahan saamiseen liittyy etukäteiskustannuksia, ja tietenkään luvattua syöttiä ei koskaan saada.

Hallituksen imitaatiot. Yleinen huijaus on vihjailla, että jokin ongelma estää etuuksia, joita uhrin pitäisi saada, kuten Medicare- tai sosiaaliturvamaksuja; ongelman ”korjaamisen” tarjoaminen avaa mahdollisuuden houkutella uhri luovuttamaan henkilökohtaisia tietoja, kuten sosiaaliturva- tai pankkitilinumeroita. Aggressiivisemman version tästä tarjoavat väärennetyt IRS-”tutkijat”, jotka usein väittävät, että uhrit ovat velkaa maksamattomia veroja, ja uhkaavat heitä sakoilla tai vankilalla. Tällä videolla näkyy poliisi vuorovaikutuksessa yhden tällaisen huijarin kanssa.

Ei ole epätavallista, että tämäntyyppiset huijarit vaativat uhria maksamaan ostamalla Amazonin lahjakortteja ja lukemalla heille sitten numerot kääntöpuolelta, koska korttiostoksia ei voida jäljittää. Tämä on hyvä vihje siitä, että et ole tekemisissä valtion viraston kanssa!

Teknisen tuen huijaus. Keskustelimme tästä hieman edellä – huijarit voivat käyttää hyväkseen teknisesti naiiveja ja heidän huoliaan joutua hakkeroiduksi, käyttämällä ponnahdusikkunamainoksia tai haittaohjelmia, jotka on naamioitu käyttöjärjestelmän varoitukseksi, huijatakseen uhreja soittamaan vishersille. Kapersky varoittaa tämän huijauksen muunnelmasta, joka on pohjimmiltaan eräänlainen lunnasohjelma: haittaohjelma lukitsee tietokoneen, mutta tarjoaa ”teknisen tuen” numeron, jossa kiltti ”teknikko” – joka todellisuudessa kuuluu haittaohjelman asentaneeseen jengiin – korjaa tietokoneen maksua vastaan, jolloin käyttäjä luulee, että hän on oikeasti auttanut häntä.

Pankkitileihin kohdistuvat Vishing-hyökkäykset. Pääsy pankkitietoihisi on tietysti vishing-hyökkääjän pyhä Graalin malja. Ja jos hyökkääjällä on jo pääsy joihinkin henkilötietoihisi toisesta lähteestä, kuten aiemmin keskustelimme, hän voi helposti jäljitellä sellaisia laillisia puheluita, joita odottaisi saavansa rahoituslaitokselta, tavalla, joka voi huijata jopa kaikkein fiksuimpia meistä. Panic Inc:n perustaja Caleb Sasser kertoi Krebs on Securitylle karmivan tarinan lähes onnistuneesta vishing-hyökkäyksestä. Hyökkääjä onnistui väärentämään puhelinnumeronsa siten, että se vastasi Sasserin pankin Wells Fargon puhelinnumeroa, ja väitti olevansa seuraamassa joitakin mahdollisesti vilpillisiä veloituksia. Koska ”pankki” tarjoutui lähettämään uuden pankkikortin, Sasser oli vähällä syöttää uuden PIN-koodin puhelimeensa ennen kuin perääntyi viime hetkellä; jos hän olisi tehnyt niin, vishing-hyökkääjät olisivat voineet kloonata hänen korttinsa ja käyttää sitä vapaasti.

Tämmöiset huijarit lähtevät todennäköisimmin valaanpyyntiin etsien erittäin arvokkaita kohteita, joiden avulla he voivat rikastua nopeasti. Yksi muunnelma on tullut tunnetuksi nimellä ”perjantai-iltapäivähuijaus”, jossa huijarit soittavat sijoitusyhtiölle tai muulle varakkaalle kohteelle aivan työviikon loppupuolella luottaen siihen, että puhelimeen vastaava henkilö on väsynyt ja hajamielinen ja että hän on varuillaan.

Miten ehkäistä vishing-petoksia

Jos etsit keinoja vishing-petosten tunnistamiseen ja välttämiseen, toivottavasti tähän mennessä käsittelemämme aineisto auttaa sinua tietämään, mitä etsiä. FTC:llä on hyvä yhteenveto tärkeimmistä seikoista, jotka kaikkien tulisi tietää:

  • Ole epäluuloinen puheluihin, jotka väittävät olevansa viranomaiselta ja joissa pyydetään rahaa tai tietoja. Valtion virastot eivät koskaan soita sinulle yllättäen ja vaadi – tai tarjoa – rahaa. Kun olet epävarma, katkaise puhelu, etsi itsenäisesti viraston oikea numero ja soita sinne selvittääksesi, yrittävätkö he tavoittaa sinua.
  • Älä koskaan maksa mitään lahjakortilla tai tilisiirrolla. Se on vahva merkki huijauksesta.
  • Älä luota soittajan tunnistukseen. Se on hyvin helppo väärentää.

Kaperskyn toinenkin hyvä nyrkkisääntö: kaikille vishing-huijauksille on yhteistä se, että niissä yritetään luoda vääränlainen kiireen tuntu ja saada sinut luulemaan, että olet pulassa tai menettämässä tilaisuutta ja että sinun on toimittava juuri nyt. Koskaan ei ole pahitteeksi pysähtyä hetkeksi, kirjoittaa ylös tietoja soittajasta tarjoamatta mitään omia tietoja ja soittaa sitten takaisin tutkittuaan asiaa.

Jos haluat ryhtyä ennakoiviin toimenpiteisiin organisaatiosi suojaamiseksi, voit ottaa vishing-huijauksen osaksi tietoturvatietoisuuskoulutusta. Useat toimittajat tarjoavat simuloituja vishing-alustoja, joiden avulla voit havaita haavoittuvuuksia henkilöstön asenteissa ja havainnollistaa uhan luonnetta työntekijöillesi.

Vastaa

Sähköpostiosoitettasi ei julkaista.