Mi az a vishing?
A vishing egy olyan támadási forma, amely arra próbálja rávenni az áldozatokat, hogy érzékeny személyes adatokat adjanak meg telefonon keresztül. Bár ettől még régimódi átverésnek hangzik, a vishing-támadásoknak vannak high-tech elemei: például automatizált hangszimulációs technológiát alkalmaznak, vagy a csaló korábbi kibertámadásokból származó, az áldozatra vonatkozó személyes információkat használhat fel, hogy megnyugtassa az áldozatot.
Nem számít, milyen technológiát használnak, a támadás felépítése egy jól ismert social engineering forgatókönyvet követ: A támadó olyan forgatókönyvet hoz létre, amely az emberi érzelmekre – általában kapzsiságra vagy félelemre – támaszkodik, és meggyőzi az áldozatot, hogy közölje érzékeny adatait, például hitelkártyaszámokat vagy jelszavakat. Ebben az értelemben a vishing technikák az 1990-es évek óta ismert adathalász csalásokat tükrözik. A vishing-hívások azonban kihasználják azt a tényt, hogy nagyobb valószínűséggel bízunk meg egy emberi hangban – és az időseket és a technofóbokat célozhatják meg, akik naivak és nincs tapasztalatuk az ilyen típusú csalásokkal kapcsolatban.
Vishing statisztikák
Ezek a figyelemre méltó számok érzékeltetik a vishing helyzetét, és azt, hogy miért lehet jövedelmező üzlet a támadók számára.
- A vishing-támadások száma az elmúlt években egyre nőtt. 2018-ban a csaló hívások az összes bejövő mobilhívás közel 30%-át tették ki.
- Nem meglepő tehát, hogy ez a furcsa kifejezés kezd szélesebb körben ismertté válni. A Proofpoint 2020-as State of the Phish jelentése szerint a világszerte végzett felmérésben részt vevő munkavállalók 25%-a tudta helyesen definiálni a kifejezést.
- A csalás áldozatainak 75%-a számolt be arról, hogy a csalók már rendelkeztek róluk valamilyen személyes információval, amelyet arra használtak fel, hogy célba vegyék őket és még több információt szerezzenek.
- Az FTC-nek a kormányzati imposztor vishing-csalásokat bejelentő személyek közül csak 6% veszített ténylegesen pénzt – de azok, akik igen, elég sokat vesztettek, a veszteség mediánja 960 dollár volt.
Vishing vs. phishing vs. phishing. smishing: Mi a különbség?
A phishing mind közül a legnagyobb, és a CSO-nak van egy teljes magyarázata a részletekkel, de lényegében arról van szó, hogy célzott e-mail üzeneteket küldenek a címzettek megtévesztésére. A “Phish” szót úgy ejtik, ahogyan írják, vagyis úgy, mint a “hal” szót – az analógia az, hogy a horgász bedobja a csalival megrakott horgot (az adathalász e-mailt), és reméli, hogy ráharapsz. A kifejezés az 1990-es évek közepén keletkezett hackerek körében, akik az AOL-felhasználókat akarták rávenni, hogy adják meg bejelentkezési adataikat. A “ph” a hackerek szeszélyes helyesírásának hagyományához tartozik, és valószínűleg a “phreaking” kifejezés hatott rá, amely a “phone phreaking” rövidítése, a hackelés egy korai formája, amelynek lényege az volt, hogy hangjelzéseket játszottak be a telefonkagylókba, hogy ingyenes telefonhívásokat kapjanak.
A vishing lényegében a telefonhívásokon keresztüli adathalászat. Ahogy az adathalászatot a spamek egy alcsoportjának tekintik, úgy a vishing is a VoIP spamek, más néven a telefonos spamek (spam over telephony, vagy SPIT) kinövése. Maga a “vishing” kifejezés a ’00-as évek vége óta létezik.
A “smishing” egy hasonló típusú támadás, amely e-mailek vagy hanghívások helyett szöveges üzeneteket használ; a szó az “SMS” és a “phishing” szó összetételéből született. Ha többet szeretne megtudni a smishingről, tekintse meg a témáról szóló magyarázatunkat.
Vishing technikák
Majdnem minden vishing-támadásban van néhány közös dolog. A telefonhívásokat kezdetben Voice over IP (VoIP) szolgáltatásokon keresztül bonyolítják le, ami megkönnyíti a vishingesek számára, hogy a folyamat egy részét vagy egészét automatizálják, és nehezebbé teszi az áldozatok vagy a bűnüldöző szervek számára a nyomon követést. A támadók végső célja pedig az, hogy valamilyen módon hasznot húzzanak Önből – vagy bankszámlaadatok vagy más személyes adatok begyűjtésével, amelyekkel hozzáférhetnek bankszámláihoz, vagy azzal, hogy ráveszik Önt, hogy közvetlenül fizessen nekik.
A vishing-csalások univerzumán belül azonban a technikák és stratégiák széles skálája létezik. A nagyrészt automatizált, sok potenciális áldozatot megcélzó “shotgun” támadásoktól kezdve a lézerfókuszú csalásokig, amelyek egy konkrét, nagy értékű célpontot vesznek célba.
A vishing talán legelterjedtebb formája az úgynevezett “wardialing”, azaz a több száz vagy ezer számra indított több száz vagy ezer automatikus hívás. A potenciális áldozat (vagy a hangpostája) egy hangfelvételt kap, amelynek célja, hogy megijessze vagy becsapja, hogy maga kezdeményezzen telefonhívást a csalóknak. Gyakran a csalók azt állítják, hogy az IRS-től vagy más kormányzati szervtől, illetve egy banktól vagy hitelszövetkezettől jöttek. A csalók egy adott körzetszámra összpontosítanak, és egy helyi intézmény nevét használják abban a reményben, hogy tényleges ügyfeleket találnak.
A technika egy változata a számítógépen megjelenő, gyakran rosszindulatú programok által elhelyezett felugró ablakok használatával szimulálja az operációs rendszer figyelmeztetését valamilyen technikai problémáról. Az áldozatnak azt mondják, hogy fel kell hívnia a “Microsoft Support” vagy valami hasonlót, és megadnak egy telefonszámot. Ezáltal egy vonalba kerül a látogatóval, aki a beszélgetés során valódi és automatizált hangválaszok kombinációját használhatja – a cél itt is az, hogy kevés erőfeszítéssel a lehető legtöbb hasznot hozzák ki.
Spear vishing
Az ilyen típusú puskatámadásoknál a látogatók általában szinte semmit sem tudnak Önről, és blöffölniük kell, hogy elhitessék Önnel, hogy ők azok, akiknek mondják magukat; emiatt viszonylag könnyen kiszúrhatók. Sokkal aggasztóbbak azonban azok a látnokok, akik kifejezetten téged keresnek meg. Ezt a technikát “spear vishing”-nek nevezik; a spear phishinghez hasonlóan ez is megköveteli, hogy a támadók már rendelkezzenek bizonyos adatokkal a célpontjukról. A spear visher például már a felhívás előtt tudhatja az otthoni címét és azt, hogy ki a bankja, így könnyebben ráveheti Önt, hogy megadja a PIN-kódját.
De honnan tudnak már ennyi mindent Önről? “Ezen adatok nagy része a dark webről származik, amely gyakran adatszivárgásokból ered” – mondja Paige Schaffer, a Generali Global Assistance (GGA) globális személyazonosság- és kibervédelmi szolgáltatásainak vezérigazgatója. Amikor tehát nagy adatszivárgásokról olvasol, tudd, hogy ezek segítségével sokkal könnyebbé válhat a vishing. Furcsának tűnhet, hogy egy támadó, aki már rendelkezik az Ön személyes adataival, még többre vágyik, de ahogy Schaffer rámutat, “minél több információval rendelkezik egy csaló, annál nagyobb kárt tud okozni. Miért elégednének meg az SSN utolsó négy számjegyével, ha potenciálisan rávehetik Önt a másik öt számjegy átadására? A teljes SSN lehetővé teszi számukra, hogy csalárd hitelkártyákat, hiteleket és egyebeket nyissanak.”
Ha mindez sokkal több munkának hangzik, mint valakit megkörnyékezni és azt mondani, hogy az adóhivataltól jöttél, akkor igazad van. De a legtöbb ember – különösen a nagy értékű célpontok, akik gyakran képzettebbek és informatikusabbak – átlátnak ezeken az egyszerűbb átveréseken. Ha a jutalom elég nagy, érdemes lehet időt szánni arra, hogy meggyőző személyazonosságot építsenek fel, hogy az áldozatból információkat rázzanak ki. “Egy hacker türelmesen dolgozhatott azon, hogy idővel információkat szerezzen az áldozattól adathalász e-mailek útján, vagy rosszindulatú szoftverek segítségével” – mondja Schaffer. “Amikor a spear visherek nagyobb “halakra” (úgymond), például vezérigazgatókra vadásznak, ezt nevezzük “bálnavadászatnak”.” És ahogy a hangszimulációs technikák fejlődnek, a bálnavadászok még több eszközzel rendelkeznek a fegyvertárukban, és képesek konkrét személyeket utánozni, hogy megpróbálják becsapni az áldozataikat.
Vishing példák
Eleddig elég homályosan fogalmaztunk arról, hogy milyen konkrét csalásokat követnek el a visherek annak érdekében, hogy megszerezzék a pénzét vagy személyes adatait. A HashedOut ezeket négy nagy kategóriára bontja:
Telemarketing csalás. Az ilyen típusú csalások becsületesen megelőzték a vishing-korszakot, de számos technikájukat átvették. A visher hideg telefonon hívja fel Önt anélkül, hogy tényleg bármilyen háttérismerete lenne arról, hogy ki Ön, és olyan ajánlatot tesz, amely túl szép ahhoz, hogy igaz legyen: nyert valamilyen lottót, amin soha nem vett részt, felajánlottak Önnek egy ingyenes Marriott-nyaralást, csökkentheti a hitelkártyája kamatát stb. Általában az “ingyen” pénz megszerzésének van egy előzetes költsége, és természetesen az ígért csali sosem érkezik meg.
Kormányzati megszemélyesítések. Gyakori átverés az, hogy azt sugallják, hogy egy probléma akadályozza az áldozatnak járó juttatásokat, például a Medicare- vagy társadalombiztosítási kifizetéseket; a probléma “megoldásának” felajánlása utat nyit ahhoz, hogy az áldozatot személyes adatok, például társadalombiztosítási vagy bankszámlaszámok átadására csábítsák. Ennek egy agresszívebb változata a hamis IRS “nyomozóktól” származik, akik gyakran azt állítják, hogy az áldozatoknak adóhátralékkal tartoznak, és pénzbírsággal vagy börtönnel fenyegetik őket. Ezen a videón egy rendőr látható, amint az egyik ilyen csalóval interakcióba lép.
Nem ritka, hogy az ilyen típusú csalók azt követelik, hogy az áldozat Amazon ajándékkártyákat vásároljon, majd felolvassák nekik a számokat a hátoldalról, mivel a kártyás vásárlások nem követhetők nyomon. Ez egy jó tipp arra, hogy nem egy kormányzati szervvel van dolga!
Technikai támogatási csalás. Erről fentebb már beszéltünk egy kicsit – a csalók kihasználhatják a technológiailag naivakat és a feltörés miatti aggodalmukat, és felugró hirdetésekkel vagy az operációs rendszer figyelmeztetésének álcázott rosszindulatú szoftverekkel rávehetik az áldozatokat, hogy felhívják a vitorlázókat. A Kapersky figyelmeztet ennek az átverésnek egy olyan változatára, amely alapvetően egyfajta zsarolóprogram: a rosszindulatú szoftver blokkolja a számítógépet, de egy “technikai támogatási” számot ad meg, ahol egy kedves “technikus” – aki valójában annak a bandának a tagja, amely a rosszindulatú programot telepítette – megjavítja a számítógépet, bizonyos összegért cserébe, így az ember azt hiszi, hogy valóban segített neki.
Vishing-támadások bankszámlák ellen. A banki adatokhoz való hozzáférés megszerzése természetesen a visher szent grálja. És ha egy támadó már hozzáfér az Ön néhány személyes adatához egy másik forrásból, ahogyan azt korábban tárgyaltuk, akkor könnyen utánozhatja azokat a fajta legitim hívásokat, amelyeket az ember a pénzintézetétől várna, olyan módon, hogy még a legügyesebbeket is becsapja közülünk. A Panic Inc. alapítója, Caleb Sasser a Krebs on Securitynek mesélt egy majdnem sikeres vishing-támadás megrázó történetét. A támadónak sikerült sikeresen meghamisítania a telefonszámát, hogy az megegyezzen a Wells Fargo, Sasser bankjának telefonszámával, és azt állította, hogy néhány potenciálisan csalárd terhelést követett nyomon. Mivel a “bank” felajánlotta, hogy új bankkártyát küld, Sasser majdnem odáig ment, hogy új PIN-kódot írt be a telefonjába, mielőtt az utolsó pillanatban visszalépett volna; ha így tesz, a visherek klónozhatták volna a kártyáját, és szabadon használhatták volna.
Az ilyen típusú csalók leginkább bálnavadászatra indulnak, nagyon nagy értékű célpontokat keresnek, hogy gyorsan meggazdagodjanak. Az egyik változat a “péntek délutáni átverés” néven vált ismertté, amikor a csalók a munkahét legvégén hívnak fel egy befektetési céget vagy más gazdag célpontot, arra számítva, hogy a telefonáló fáradt és szórakozott lesz, és nem lesz résen.
Hogyan előzze meg a vishinget
Ha szeretné felismerni és elkerülni a vishinget, remélhetőleg az eddig tárgyalt anyag segít abban, hogy tudja, mire kell figyelnie. Az FTC jól összefoglalja a legfontosabb tudnivalókat, amelyeket mindenkinek tudnia kell:
- Gyanakodjon az olyan hívásokra, amelyek azt állítják, hogy egy kormányzati szervtől jöttek és pénzt vagy információt kérnek. A kormányhivatalok soha nem hívják fel Önt váratlanul, és nem kérnek – vagy ajánlanak – pénzt. Ha kétségei vannak, tegye le a telefont, önállóan keresse meg az ügynökség valódi számát, és hívja fel őket, hogy megtudja, valóban Önt próbálják-e elérni.
- Ne fizessen soha semmiért ajándékkártyával vagy átutalással. Ez az átverés erős jele.
- Ne bízzon a hívószám azonosítójában. Nagyon könnyű meghamisítani.
A Kapszkynak van még egy jó szabálya: egy dolog, ami minden vishing-csalásban közös, az az, hogy megpróbálnak hamis sürgősségérzetet kelteni, elhitetve Önnel, hogy bajban van, vagy hogy elszalaszt egy lehetőséget, és hogy most azonnal cselekednie kell. Soha nem árt egy pillanatnyi szünetet tartani, feljegyezni a hívó félre vonatkozó információkat anélkül, hogy a sajátjait felajánlaná, majd a kutatás után visszahívni.
Ha proaktív lépéseket szeretne tenni a szervezet védelme érdekében, érdemes a vishinget a biztonságtudatossági képzés részévé tenni. Számos gyártó kínál szimulált vishing platformokat, amelyek segítségével felfedezheti a munkatársak hozzáállásában rejlő sebezhetőségeket, és bemutathatja a fenyegetés természetét az alkalmazottaknak.