Ce este vishing-ul?
Vishing-ul este o formă de atac care încearcă să păcălească victimele să ofere informații personale sensibile prin telefon. Deși acest lucru îl face să sune ca o înșelătorie de modă veche, atacurile de vishing au elemente de înaltă tehnologie: de exemplu, implică o tehnologie de simulare automată a vocii sau escrocul poate folosi informații personale despre victimă, culese în urma unor atacuri cibernetice anterioare, pentru a le liniști.
Nu contează ce tehnologie este folosită, configurația atacului urmează un scenariu familiar de inginerie socială: Un atacator creează un scenariu pentru a profita de emoțiile umane, de obicei lăcomia sau frica, și convinge victima să dezvăluie informații sensibile, cum ar fi numerele de card de credit sau parolele. În acest sens, tehnicile de vishing oglindesc escrocheriile de phishing care au existat încă din anii 1990. Dar apelurile de vishing exploatează faptul că suntem mai predispuși să avem încredere într-o voce umană – și pot viza persoanele în vârstă și tehnofobii care sunt naivi și nu au experiență cu aceste tipuri de escrocherii.
Statisticile de vishing
Aceste cifre notabile oferă o idee despre starea vishing-ului și despre motivul pentru care poate fi o afacere profitabilă pentru atacatori.
- Atacurile de vishing au fost în creștere în ultimii ani. În 2018, apelurile înșelătoare au reprezentat aproape 30% din toate apelurile mobile primite.
- Așa că nu ar trebui să fie o surpriză faptul că acest termen ciudat începe să fie recunoscut pe scară mai largă. Raportul Proofpoint’s 2020 State of the Phish a constatat că 25% dintre lucrătorii din sondajul lor la nivel mondial ar putea defini corect termenul.
- 75% dintre victimele escrocheriilor raportează că vizitii aveau deja unele informații personale despre ei, pe care le-au folosit pentru a-i viza și a obține și mai multe informații.
- Dintre persoanele care raportează escrocheriile de vishing cu impostori guvernamentali către FTC, doar 6% au pierdut efectiv bani – dar cei care au pierdut au pierdut destul de mult, pierderea mediană fiind de 960 de dolari.
Vishing vs. phishing vs. phishing vs. smishing: Care este diferența?
Phishing-ul este bunicul tuturor, iar CSO are o explicație completă cu toate detaliile, dar, în esență, implică trimiterea de mesaje de e-mail direcționate pentru a păcăli destinatarii. „Phish” se pronunță exact așa cum se scrie, adică la fel ca și cuvântul „fish” – analogia este aceea a unui pescar care aruncă un cârlig cu momeală (e-mailul de phishing) și speră să muști. Termenul a apărut la mijlocul anilor 1990 printre hackerii care urmăreau să păcălească utilizatorii AOL pentru a le oferi informațiile de conectare. „ph” face parte dintr-o tradiție a ortografiei capricioase a hackerilor și a fost probabil influențat de termenul „phreaking”, prescurtare de la „phone phreaking”, o formă timpurie de hacking care implica redarea de tonuri sonore în aparatele telefonice pentru a obține apeluri telefonice gratuite.
Vishing este, în esență, phishing prin intermediul apelurilor telefonice. La fel cum phishing-ul este considerat un subset al spam-ului, la fel și vishing-ul este o excrescență a spam-ului VoIP, cunoscut și sub numele de spam prin telefonie, sau SPIT. Termenul „vishing” în sine există încă de la sfârșitul anilor ’00.
„Smishing” este un tip similar de atac care folosește mesaje text în loc de e-mailuri sau apeluri vocale; cuvântul este un portmanteau de la „SMS” și „phishing”. Pentru mai multe informații despre smishing, consultați explicația noastră pe această temă.
Tehnici de vishing
Chiar toate atacurile de vishing au câteva lucruri în comun. Apelurile telefonice sunt inițial plasate prin intermediul serviciilor de voce pe IP (VoIP), ceea ce le face mai ușor pentru visheri să automatizeze o parte sau întregul proces și mai greu de urmărit de către victime sau de către forțele de ordine. Iar scopul final al atacatorilor este de a profita de pe urma dvs. într-un fel sau altul – fie prin colectarea de informații despre contul bancar sau alte detalii personale pe care le pot folosi pentru a vă accesa conturile bancare, fie prin păcălirea dvs. pentru a-i plăti direct.
Dar în cadrul universului escrocheriilor de tip vishing, există o gamă largă de tehnici și strategii. Acestea variază de la atacuri „shotgun”, în mare parte automatizate, care vizează multe victime potențiale în speranța de a obține câteva mușcături, până la escrocherii concentrate cu laser care țintesc o anumită țintă de mare valoare.
Poate cea mai răspândită formă de vishing începe cu așa-numitul „wardialing” – adică sute sau mii de apeluri automate către sute sau mii de numere. Potențiala victimă (sau căsuța vocală) va primi o înregistrare menită să o sperie sau să o păcălească să inițieze ea însăși un apel telefonic către escroci. De multe ori, escrocii pretind că sunt de la IRS sau de la o altă agenție guvernamentală, sau de la o bancă sau o uniune de credit. Wardialing-ul meu se concentrează pe un anumit indicativ zonal și utilizează numele unei instituții locale în speranța de a găsi clienți reali.
O variantă a acestei tehnici implică utilizarea de ferestre pop-up pe computerul dumneavoastră, adesea plantate de malware, pentru a simula un avertisment din partea sistemului de operare cu privire la o problemă tehnică. Victimei i se spune că trebuie să sune la „Microsoft Support” sau ceva similar și i se dă un număr de telefon. Acest lucru îi pune în legătură cu vizorul, care poate sfârși prin a folosi o combinație de răspunsuri vocale reale și automate în timpul conversației – din nou, scopul aici este de a obține cel mai mare randament dintr-un efort mic.
Spear vishing
În aceste tipuri de atacuri de tip „shotgun”, vizorii, în general, nu știu aproape nimic despre dumneavoastră și vor trebui să blufeze pentru a vă face să credeți că sunt cine spun că sunt; din acest motiv, ei pot fi depistați relativ ușor. Cu toate acestea, mult mai tulburători sunt visterii care se îndreaptă către tine în mod special. Această tehnică este cunoscută sub numele de „spear vishing”; la fel ca și spear phishing-ul, este necesar ca atacatorii să dețină deja anumite date despre ținta lor. De exemplu, un „spear visher” poate ști deja adresa dvs. de domiciliu și cu cine sunteți la bancă înainte de a vă suna, ceea ce le este mai ușor să vă păcălească pentru a vă convinge să le spuneți PIN-ul.
Dar cum de știu deja atât de multe despre dvs.? „O mare parte din aceste date provin de pe dark web, care de multe ori își au originea în breșele de date”, spune Paige Schaffer, CEO al serviciilor Global Identity and Cyber Protection pentru Generali Global Assistance (GGA). Așadar, atunci când citiți despre mari breșe de date, să știți că acestea pot contribui la facilitarea vishing-ului. Poate părea ciudat ca un atacator care are deja informațiile dvs. personale să fie dornic să obțină mai mult, dar, după cum subliniază Schaffer, „cu cât mai multe informații are un escroc, cu atât mai multe pagube poate face. De ce să se mulțumească cu ultimele patru cifre din SSN când vă poate convinge să le dați pe celelalte cinci? Un SSN complet le permite să deschidă carduri de credit frauduloase, împrumuturi și multe altele.”
Dacă toate acestea sună ca fiind mult mai mult de muncă decât să chemi pe cineva la război și să-i spui că ești de la IRS, ai dreptate. Dar majoritatea oamenilor – în special țintele de mare valoare, care sunt adesea mai educate și mai experimentate din punct de vedere cibernetic – vor vedea imediat aceste escrocherii mai simple. Dacă răsplata este suficient de mare, poate merita timpul necesar pentru a vă construi o identitate convingătoare pentru a smulge informații de la victimă. „Un hacker ar fi putut să lucreze cu răbdare la dobândirea de informații în timp de la victimă prin intermediul e-mailurilor de phishing sau să le captureze prin malware”, spune Schaffer. „Atunci când pirații de tip spear vishers se duc după „pești” mai mari (ca să spunem așa), cum ar fi directorii executivi, numim asta „vânătoare de balene”.” Și, pe măsură ce tehnicile de simulare a vocii se îmbunătățesc, vânătorii de balene au și mai multe instrumente în arsenalul lor, având capacitatea de a imita anumite persoane pentru a încerca să își păcălească victimele.
Exemple de phishing
Până acum, am fost cam vagi în ceea ce privește escrocheriile specifice pe care le vor face vizitatorii pentru a vă obține banii sau informațiile personale. HashedOut le împarte în patru mari categorii:
Fraude de telemarketing. Aceste tipuri de escrocherii sunt, în mod cinstit, anterioare erei vishing, dar au adoptat multe dintre tehnicile lor. Vizitatorul vă va suna la rece fără să știe cu adevărat cine sunteți și vă va face o ofertă care este prea bună pentru a fi adevărată: ați câștigat la o loterie la care nu ați participat niciodată, vi s-a oferit o vacanță gratuită la Marriott, puteți reduce dobânda la cardul de credit etc. De obicei, există un cost inițial pentru a obține banii „gratis” și, bineînțeles, momeala care v-a fost promisă nu ajunge niciodată.
Închipuiri guvernamentale. O înșelătorie frecventă implică insinuarea faptului că o problemă blochează beneficiile pe care victima ar trebui să le primească, cum ar fi plățile Medicare sau de securitate socială; oferirea de a „rezolva” problema deschide ușa pentru a convinge victima să predea informații personale, cum ar fi numerele de securitate socială sau de cont bancar. O versiune mai agresivă a acestei situații vine din partea unor falși „investigatori” ai Fiscului, care pretind adesea că victimele datorează impozite restante și le amenință cu amenzi sau cu închisoarea. Acest videoclip arată un ofițer de poliție care interacționează cu unul dintre acești escroci.
Nu este neobișnuit ca aceste tipuri de escroci să ceară să fie plătiți de către victimă cumpărând carduri cadou Amazon și apoi citindu-le numerele de pe spate, deoarece achizițiile de carduri nu pot fi urmărite. Acesta este un bun indiciu că nu aveți de-a face cu o agenție guvernamentală!
Fraudă de asistență tehnică. Am discutat puțin despre acest lucru mai sus – escrocii pot profita de cei naivi din punct de vedere tehnologic și de grijile lor legate de faptul că pot fi piratați, folosind reclame pop-up sau malware care se deghizează în avertisment din partea sistemului de operare pentru a păcăli victimele să sune la vizitii. Kapersky avertizează cu privire la o variantă a acestei escrocherii care este, practic, un tip de ransomware: malware-ul blochează PC-ul, dar oferă un număr de „suport tehnic”, unde un „tehnician” amabil – care, de fapt, face parte din banda care a instalat malware-ul în primul rând – vă va repara calculatorul, contra unui preț, lăsându-vă să credeți că v-a ajutat cu adevărat.
Atacuri de tip vishing asupra conturilor bancare. Obținerea accesului la informațiile dvs. bancare este, bineînțeles, Sfântul Graal al unui vishing. Iar dacă un atacator are deja acces la unele dintre datele dvs. personale dintr-o altă sursă, așa cum am discutat mai devreme, poate emula cu ușurință tipul de apeluri legitime pe care cineva s-ar aștepta să le primească de la instituția sa financiară, într-un mod care îi poate păcăli chiar și pe cei mai pricepuți dintre noi. Fondatorul Panic Inc., Caleb Sasser, a relatat pentru Krebs on Security o poveste cutremurătoare despre un atac de vishing aproape reușit. Atacatorul a reușit să își falsifice cu succes numărul de telefon pentru a se potrivi cu cel al Wells Fargo, banca lui Sasser, și a pretins că urmărește niște taxe potențial frauduloase. Deoarece „banca” se oferea să trimită un nou card ATM, Sasser aproape că a mers atât de departe încât a introdus un nou PIN în telefon, înainte de a se retrage în ultimul moment; dacă ar fi făcut acest lucru, vizionarii ar fi putut să-i cloneze cardul și să-l folosească în mod liber.
Aceste tipuri de escroci sunt cel mai probabil să meargă la vânătoare de balene, căutând ținte cu valoare foarte mare care să-i ajute să se îmbogățească rapid. O variantă a devenit cunoscută sub numele de „înșelătoria de vineri după-amiază”, în care vizionarii sună la o firmă de investiții sau la o altă țintă bogată chiar la sfârșitul săptămânii de lucru, mizând pe faptul că persoana care răspunde la telefon este obosită și distrasă și lasă garda jos.
Cum să preveniți vishingul
Dacă doriți să identificați și să evitați vishingul, sperăm că materialul pe care l-am acoperit până acum vă va ajuta să știți ce să căutați. FTC are un rezumat bun al punctelor cheie pe care toată lumea ar trebui să le cunoască:
- Să fiți suspicios față de un apel care pretinde a fi de la o agenție guvernamentală care solicită bani sau informații. Agențiile guvernamentale nu vă sună niciodată din senin cerând – sau oferind – bani. În caz de îndoială, închideți, căutați independent numărul real al agenției și sunați-o pentru a afla dacă încearcă să vă contacteze.
- Nu plătiți niciodată nimic cu un card cadou sau cu un transfer bancar. Acesta este un semn puternic al unei escrocherii.
- Nu vă încredeți în identificarea apelantului. Este foarte ușor de falsificat.
Kapersky are o altă regulă bună: un lucru pe care fiecare escrocherie de tip vishing îl are în comun este încercarea de a crea un fals sentiment de urgență, făcându-vă să credeți că aveți probleme sau că sunteți pe cale să ratați o oportunitate și că trebuie să acționați chiar acum. Nu strică niciodată să vă luați un moment de pauză, să notați informații despre cel care sună, fără să oferiți informații proprii, și apoi să sunați înapoi după ce ați făcut cercetări.
Dacă doriți să luați măsuri proactive pentru a vă proteja organizația, ați putea dori să includeți vishing-ul ca parte a unui training de conștientizare a securității. Mai mulți furnizori oferă platforme simulate de vishing care vă pot ajuta să descoperiți vulnerabilitățile în atitudinea personalului și să le demonstrați angajaților dumneavoastră natura amenințării.