Vishing wyjaśniony: Jak głosowe ataki phishingowe oszukują ofiary

Co to jest vishing?

Vishing to forma ataku polegająca na próbie nakłonienia ofiar do podania poufnych informacji osobistych przez telefon. Chociaż brzmi to jak staroświeckie oszustwo, ataki vishingowe zawierają elementy zaawansowane technologicznie: wykorzystują na przykład technologię automatycznej symulacji głosu lub oszust może użyć informacji osobistych o ofierze zebranych podczas wcześniejszych cyberataków, aby ją uspokoić.

Niezależnie od tego, jaka technologia jest wykorzystywana, konfiguracja ataku przebiega według znanego scenariusza socjotechnicznego: Atakujący tworzy scenariusz, aby żerować na ludzkich emocjach, zwykle chciwości lub strachu, i przekonuje ofiarę do ujawnienia poufnych informacji, takich jak numery kart kredytowych lub hasła. W tym sensie techniki vishingu odzwierciedlają oszustwa typu phishing, które są znane od lat 90. ubiegłego wieku. Jednak połączenia vishingowe wykorzystują fakt, że jesteśmy bardziej skłonni zaufać ludzkiemu głosowi – i mogą być kierowane do osób starszych i technofobicznych, które są naiwne i nie mają doświadczenia z tego typu oszustwami.

Statystyki vishingu

Te godne uwagi liczby dają wyobrażenie o stanie vishingu i o tym, dlaczego może on być lukratywnym biznesem dla atakujących.

  • Ataki vishingowe rosły w ciągu ostatnich kilku lat. W 2018 r. połączenia scamowe stanowiły prawie 30% wszystkich przychodzących połączeń mobilnych.
  • Nie powinno więc dziwić, że ten dziwny termin zaczyna być szerzej rozpoznawany. Raport Proofpoint „2020 State of the Phish” wykazał, że 25% pracowników biorących udział w ogólnoświatowej ankiecie potrafiło poprawnie zdefiniować ten termin.
  • 75% ofiar oszustw donosi, że visherzy posiadali już pewne informacje osobiste na ich temat, które wykorzystali, aby dotrzeć do nich i uzyskać jeszcze więcej informacji.
  • Wśród osób, które zgłosiły do FTC oszustwa vishingowe z udziałem rządowego oszusta, tylko 6% rzeczywiście straciło pieniądze – ale ci, którzy stracili, stracili całkiem sporo, z medianą strat wynoszącą 960 USD.

Vishing vs. phishing vs. Co za różnica?

Phishing jest największym z nich wszystkich, a CSO ma kompletne wyjaśnienie ze wszystkimi szczegółami, ale w istocie polega na wysyłaniu ukierunkowanych wiadomości e-mail, aby oszukać odbiorców. „Phish” wymawia się tak, jak się go pisze, czyli jak słowo „ryba” – analogia jest taka, że wędkarz zarzuca haczyk z przynętą (e-mail phishingowy) i ma nadzieję, że go złapie. Termin ten pojawił się w połowie lat 90. wśród hakerów, których celem było oszukanie użytkowników AOL, aby podali swoje dane logowania. „ph” jest częścią tradycji kapryśnej pisowni hakerów, i był prawdopodobnie pod wpływem terminu „phreaking”, skrót od „phreaking telefonu”, wczesna forma hackingu, który obejmował odtwarzanie dźwięków do telefonów, aby uzyskać bezpłatne połączenia telefoniczne.

Vishing jest, zasadniczo, phishing poprzez rozmowy telefoniczne. Tak jak phishing jest uważany za podzbiór spamu, tak vishing jest wytworem spamu VoIP, znanego również jako spam przez telefonię lub SPIT. Sam termin „vishing” istnieje od końca lat 00.

„Smishing” to podobny rodzaj ataku, który wykorzystuje wiadomości tekstowe zamiast wiadomości e-mail lub połączeń głosowych; słowo to jest portmanteau słów „SMS” i „phishing”. Aby dowiedzieć się więcej na temat smishingu, sprawdź nasze wyjaśnienie na ten temat.

Techniki vishingu

Prawie wszystkie ataki vishingowe mają kilka wspólnych cech. Połączenia telefoniczne są początkowo wykonywane za pośrednictwem usług VoIP (Voice over IP), co ułatwia visherom automatyzację części lub całości procesu, a utrudnia śledzenie ofiar lub organów ścigania. Ostatecznym celem atakujących jest wyciągnięcie od Ciebie korzyści w jakiś sposób – albo poprzez zebranie informacji o koncie bankowym lub innych danych osobowych, które mogą wykorzystać do uzyskania dostępu do Twoich kont bankowych, albo poprzez nakłonienie Cię do zapłacenia im bezpośrednio.

Ale we wszechświecie oszustw vishingowych istnieje szeroki zakres technik i strategii. Ich zakres sięga od w dużej mierze zautomatyzowanych ataków typu „shotgun”, skierowanych na wiele potencjalnych ofiar w nadziei na kilka ukąszeń, po laserowo skoncentrowane oszustwa, których celem jest konkretny, wartościowy cel.

Prawdopodobnie najbardziej rozpowszechniona forma vishingu rozpoczyna się od tak zwanego „wardialingu” – czyli setek lub tysięcy automatycznych połączeń z setkami lub tysiącami numerów. Potencjalna ofiara (lub jej poczta głosowa) otrzymuje nagranie, które ma ją przestraszyć lub oszukać, aby sama zainicjowała połączenie telefoniczne z oszustami. Często oszuści twierdzą, że są z IRS lub innej agencji rządowej, banku lub unii kredytowej. Wariacja tej techniki polega na wykorzystaniu wyskakujących okienek na komputerze, często zasadzonych przez złośliwe oprogramowanie, w celu symulowania ostrzeżenia systemu operacyjnego o jakimś problemie technicznym. Ofiara dowiaduje się, że musi zadzwonić do „Microsoft Support” lub czegoś podobnego i otrzymuje numer telefonu. To stawia je na linii z visherem, który może w końcu użyć kombinacji prawdziwych i automatycznych odpowiedzi głosowych podczas rozmowy – ponownie, celem jest uzyskanie jak największego zwrotu z niewielkiego wysiłku.

Spear vishing

W tego rodzaju atakach visherzy zazwyczaj nie wiedzą o użytkowniku prawie nic i będą musieli blefować, aby skłonić użytkownika do myślenia, że są tym, za kogo się podają; z tego powodu można ich stosunkowo łatwo wykryć. Znacznie bardziej niepokojące są jednak vishery, które zwracają się konkretnie do Ciebie. Technika ta znana jest jako „spear vishing”; podobnie jak spear phishing, wymaga ona od atakujących posiadania pewnych danych o celu. Na przykład, spear visher może już znać Twój adres domowy i wiedzieć, kto jest Twoim bankierem, zanim do Ciebie zadzwoni, co ułatwi mu podstępne nakłonienie Cię do podania kodu PIN.

Ale skąd wiedzą o Tobie tak dużo? „Wiele z tych danych pochodzi z ciemnej sieci, a ich źródłem są często naruszenia danych” – mówi Paige Schaffer, dyrektor generalny ds. usług globalnej ochrony tożsamości i cyberprzestrzeni w Generali Global Assistance (GGA). Kiedy więc czytasz o dużych naruszeniach danych, wiedz, że mogą one znacznie ułatwić vishing. Może się to wydawać dziwne, że napastnik, który już posiada Twoje dane osobowe, chce zdobyć ich więcej, ale jak zauważa Schaffer, „im więcej informacji posiada oszust, tym większe szkody może wyrządzić”. Po co zadowalać się czterema ostatnimi cyframi SSN, skoro można potencjalnie zmusić Cię do podania pozostałych pięciu? Pełny numer SSN pozwala im na otwarcie oszukańczych kart kredytowych, pożyczek i nie tylko.”

Jeśli to wszystko brzmi jak dużo więcej pracy niż wybieranie kogoś i mówienie mu, że jesteś z IRS, masz rację. Ale większość ludzi – zwłaszcza ci, którzy mają wysoką wartość, a często są bardziej wykształceni i obyci w świecie cyberprzestrzeni – przejrzy te prostsze oszustwa. Jeśli nagroda jest wystarczająco duża, może warto poświęcić czas na zbudowanie przekonującej tożsamości, aby wytrząsnąć informacje z ofiary. „Haker mógł cierpliwie pracować nad pozyskaniem informacji od ofiary za pośrednictwem wiadomości phishingowych lub przechwycić je za pomocą złośliwego oprogramowania” – mówi Schaffer. „Kiedy spear vishers idą po większe 'ryby’ (że tak powiem), takie jak dyrektorzy generalni, nazywamy to 'whalingiem'”. A w miarę doskonalenia technik symulacji głosu, wielorybnicy mają jeszcze więcej narzędzi w swoim arsenale, z możliwością imitowania konkretnych osób, aby spróbować oszukać swoje ofiary.

Przykłady vishingu

Do tej pory byliśmy niejasni w kwestii konkretnych oszustw, które visherzy wyciągną w celu zdobycia waszych pieniędzy lub informacji osobistych. HashedOut dzieli je na cztery szerokie kategorie:

Oszustwa telemarketingowe. Tego typu oszustwa szczerze mówiąc poprzedzają erę vishingu, ale przyjęły wiele z jego technik. Visher dzwoni do Ciebie bez żadnej wiedzy o tym, kim jesteś, i składa Ci ofertę, która jest zbyt dobra, aby mogła być prawdziwa: wygrałeś w loterii, w której nigdy nie brałeś udziału, zaoferowano Ci darmowe wakacje w Marriott, możesz zmniejszyć oprocentowanie swojej karty kredytowej itp. Zazwyczaj uzyskanie „darmowych” pieniędzy wiąże się z kosztami wstępnymi, a obiecana przynęta oczywiście nigdy nie nadchodzi.

Podszywanie się pod rząd. Powszechne oszustwo polega na insynuowaniu, że jakiś problem blokuje świadczenia, które ofiara powinna otrzymywać, takie jak Medicare lub Social Security; oferowanie „rozwiązania” problemu otwiera drzwi do nakłaniania ofiary do przekazania danych osobowych, takich jak numery Social Security lub konta bankowego. Bardziej agresywna wersja tego procederu pochodzi od fałszywych „śledczych” z IRS, którzy często twierdzą, że ofiary są winne zaległe podatki i grożą im grzywnami lub więzieniem. Ten film pokazuje policjanta wchodzącego w interakcję z jednym z takich oszustów.

Nie jest niczym niezwykłym, że tego typu oszuści żądają zapłaty od ofiary kupującej karty upominkowe Amazon, a następnie odczytują im numery z ich odwrotnej strony, ponieważ zakupy kartą nie mogą być śledzone. Jest to dobra wskazówka, że nie masz do czynienia z agencją rządową!

Oszustwo w zakresie wsparcia technicznego. Omówiliśmy to nieco powyżej – oszuści mogą wykorzystać technologiczną naiwność i ich obawy przed włamaniem, wykorzystując reklamy popup lub szkodliwe oprogramowanie maskujące się jako ostrzeżenia systemu operacyjnego, aby oszukać ofiary i nakłonić je do zadzwonienia do visherów. Kapersky ostrzega przed wariantem tego oszustwa, który jest w zasadzie rodzajem oprogramowania ransomware: szkodliwe oprogramowanie blokuje komputer, ale udostępnia numer „pomocy technicznej”, pod którym uprzejmy „technik” – tak naprawdę część gangu, który zainstalował szkodliwe oprogramowanie – naprawi komputer za odpowiednią opłatą, pozostawiając użytkownika w przekonaniu, że faktycznie mu pomógł.

Ataki vishingowe na konta bankowe. Uzyskanie dostępu do informacji bankowych jest, oczywiście, świętym Graalem vishera. A jeśli atakujący ma już dostęp do niektórych danych osobowych z innego źródła, o czym mówiliśmy wcześniej, może z łatwością naśladować rodzaje uzasadnionych telefonów, jakich można oczekiwać od instytucji finansowej, w sposób, który może oszukać nawet najbardziej sprytnych z nas. Caleb Sasser, założyciel Panic Inc. opowiedział serwisowi Krebs on Security wstrząsającą historię o prawie nieudanym ataku vishingowym. Atakującemu udało się sfałszować numer telefonu, tak aby pasował do numeru Wells Fargo, banku Sassera, i twierdził, że chce sprawdzić potencjalnie oszukańcze opłaty. Ponieważ „bank” oferował wysłanie nowej karty bankomatowej, Sasser prawie posunął się do wprowadzenia nowego kodu PIN do swojego telefonu, zanim wycofał się w ostatniej chwili; gdyby to zrobił, oszust byłby w stanie sklonować jego kartę i używać jej swobodnie.

Te typy oszustów są najbardziej prawdopodobne, aby przejść do polowania na wieloryby, szukając bardzo wartościowych celów, które pomogą im szybko się wzbogacić. Jeden z wariantów stał się znany jako „oszustwo piątkowego popołudnia”, w którym oszuści dzwonią do firmy inwestycyjnej lub innego zamożnego celu pod sam koniec tygodnia pracy, licząc na to, że osoba odbierająca telefon będzie zmęczona i rozproszona, co pozwoli jej stracić czujność.

Jak zapobiegać vishingowi

Jeśli chcesz zidentyfikować i uniknąć vishingu, miejmy nadzieję, że materiał, który omówiliśmy do tej pory, pomoże Ci wiedzieć, czego szukać. FKH ma dobre podsumowanie kluczowych punktów, które każdy powinien znać:

  • Bądź podejrzliwy wobec połączeń twierdzących, że pochodzą z agencji rządowej i proszą o pieniądze lub informacje. Agencje rządowe nigdy nie dzwonią do Ciebie znienacka, żądając – lub oferując – pieniądze. W razie wątpliwości rozłącz się, niezależnie poszukaj prawdziwego numeru agencji i zadzwoń do nich, aby dowiedzieć się, czy próbują się z Tobą skontaktować.
  • Nigdy nie płać za nic kartą upominkową lub przelewem bankowym. To wyraźny znak oszustwa.
  • Nie ufaj identyfikatorowi rozmówcy. Bardzo łatwo je podrobić.

Kapersky ma jeszcze jedną dobrą zasadę: jedną wspólną cechą każdego oszustwa vishingowego jest próba wywołania fałszywego poczucia pilności, co sprawia, że wydaje Ci się, iż masz kłopoty lub tracisz okazję i musisz działać już teraz. Nigdy nie zaszkodzi zatrzymać się na chwilę, zapisać informacje o dzwoniącym, nie oferując żadnych własnych, a następnie oddzwonić po przeprowadzeniu badań.

Jeśli chcesz podjąć proaktywne kroki w celu ochrony swojej organizacji, możesz chcieć włączyć vishing jako część szkolenia świadomości bezpieczeństwa. Kilku dostawców oferuje symulowane platformy vishingowe, które mogą pomóc w odkryciu słabych punktów w postawach personelu i zademonstrowaniu pracownikom natury zagrożenia.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.