Vishing förklarade: Hur röstfiskeattacker lurar offer

Vad är vishing?

Vishing är en form av attack som försöker lura offren att lämna ut känslig personlig information via telefon. Även om det låter som en gammaldags bluff har vishing-attacker högteknologiska inslag: de involverar till exempel automatiserad röstsimuleringsteknik, eller så kan bedragaren använda personlig information om offret som han eller hon har samlat in från tidigare cyberattacker för att lugna offret.

Oavsett vilken teknik som används följer upplägget för attacken ett välbekant social engineering-manus: En angripare skapar ett scenario för att utnyttja mänskliga känslor, vanligen girighet eller rädsla, och övertygar offret om att lämna ut känslig information, t.ex. kreditkortsnummer eller lösenord. I det avseendet speglar vishing-tekniken de phishing-bedrägerier som har funnits sedan 1990-talet. Men vishing-samtal utnyttjar det faktum att vi är mer benägna att lita på en mänsklig röst – och kan rikta sig till äldre och teknikfientliga personer som är naiva och inte har någon erfarenhet av den här typen av bedrägerier.

Vishing-statistik

De här anmärkningsvärda siffrorna ger en bild av hur det står till med vishing och varför det kan vara en lukrativ verksamhet för angriparna.

  • Vishing-attacker har ökat under de senaste åren. Under 2018 stod bluffsamtal för nästan 30 % av alla inkommande mobilsamtal.
  • Så det borde inte komma som en överraskning att denna konstiga term börjar bli mer allmänt erkänd. Proofpoints rapport 2020 State of the Phish visade att 25 % av arbetstagarna i deras världsomspännande undersökning kunde definiera termen korrekt.
  • 75 % av offren för bluffsamtal rapporterar att vishers redan hade viss personlig information om dem, som de använde för att rikta in sig på dem och få ännu mer information.
  • Av de personer som rapporterar statliga bedragare till FTC hade endast 6 % faktiskt förlorat pengar – men de som gjorde det förlorade ganska mycket, med en medianförlust på 960 dollar.

Vishing vs. phishing vs. phishing.

Phishing är den största av dem alla, och CSO har en fullständig förklaring med alla detaljer, men i huvudsak handlar det om att skicka riktade e-postmeddelanden för att lura mottagarna. ”Phish” uttalas precis som det stavas, det vill säga som ordet ”fisk” – analogin är att en fiskare kastar ut en betad krok (phishing-e-postmeddelandet) och hoppas att du nappar. Termen uppstod i mitten av 1990-talet bland hackare som försökte lura AOL-användare att lämna ut sina inloggningsuppgifter. ”Ph” är en del av en tradition av nyckfull hackerskrivning och påverkades troligen av termen ”phreaking”, en förkortning för ”phone phreaking”, en tidig form av hackning som gick ut på att spela upp ljudtoner i telefonlurar för att få gratis telefonsamtal.

Vishing är i princip phishing via telefonsamtal. Precis som nätfiske anses vara en delmängd av skräppost är vishing en utväxt av VoIP-spam, även känt som spam over telephony (SPIT). Själva termen ”vishing” har funnits sedan slutet av 00-talet.

”Smishing” är en liknande typ av angrepp som använder textmeddelanden i stället för e-post eller röstsamtal; ordet är en portmanteau av ”SMS” och ”phishing”. För mer information om smishing kan du läsa vår förklaring i ämnet.

Vishing-tekniker

Nästan alla vishing-attacker har några saker gemensamt. Telefonsamtalen sker inledningsvis via VoIP-tjänster (Voice over IP), vilket gör det lättare för vishers att automatisera hela eller delar av processen och svårare för offren eller brottsbekämpande myndigheter att spåra dem. Och angriparnas slutliga mål är att dra nytta av dig på något sätt – antingen genom att samla in bankkontouppgifter eller andra personliga uppgifter som de kan använda för att komma åt dina bankkonton, eller genom att lura dig att betala dem direkt.

Men inom universumet av vishing-bedrägerier finns det ett stort antal olika tekniker och strategier. De sträcker sig från i stort sett automatiserade ”hagelgevärsattacker” som riktar sig mot många potentiella offer i hopp om att få några bett till laserfokuserade bedrägerier som tar sikte på ett specifikt mål med högt värde.

Den kanske mest utbredda formen av vishing börjar med s.k. ”wardialing” – det vill säga hundratals eller tusentals automatiserade samtal till hundratals eller tusentals nummer. Det potentiella offret (eller dess röstbrevlåda) får en inspelning som syftar till att skrämma eller lura dem att själva initiera ett telefonsamtal tillbaka till bedragarna. Ofta hävdar bedragarna att de kommer från skattemyndigheten eller någon annan statlig myndighet, eller från en bank eller ett kreditinstitut. Varseln kan fokusera på ett specifikt riktnummer och använda ett lokalt institutionsnamn i hopp om att hitta verkliga kunder.

En variant av denna teknik innebär att man använder sig av popup-fönster på datorn, ofta planterade av skadlig kod, för att simulera en varning från operativsystemet om något tekniskt problem. Offret får veta att de måste ringa ”Microsoft Support” eller något liknande och får ett telefonnummer. Detta ger dem en linje med den som försöker få tag på dem, som kan komma att använda en kombination av riktiga och automatiserade röstsvar under samtalet – även här är målet att få ut så mycket som möjligt av en liten insats.

Spear vishing

I dessa typer av ”shotgun”-attacker vet de som försöker få tag på dig i allmänhet nästan ingenting om dig, och de måste bluffa sig fram för att du ska tro att de är de som de utger sig för att vara; på grund av detta kan de vara relativt lätta att upptäcka. Mycket mer bekymmersamma är dock de visirare som sträcker ut sig till dig specifikt. Den här tekniken kallas ”spear vishing”. Precis som vid spear phishing krävs det att angriparna redan har vissa uppgifter om sin måltavla. En spear visher kan till exempel redan känna till din hemadress och vem du har i din bank innan de ringer dig, vilket gör det lättare för dem att lura dig att uppge din PIN-kod.

Men hur kan de redan veta så mycket om dig? ”En stor del av dessa uppgifter kommer från den mörka webben, som ofta har sitt ursprung i dataintrång”, säger Paige Schaffer, vd för globala identitets- och cyberskyddstjänster för Generali Global Assistance (GGA). Så när du läser om stora dataintrång ska du veta att de kan bidra till att göra vishing mycket enklare. Det kan verka konstigt att en angripare som redan har din personliga information är angelägen om att få mer, men som Schaffer påpekar: ”Ju mer information en bedragare har, desto mer skada kan de göra. Varför nöja sig med de fyra sista siffrorna i SSN-numret när de potentiellt kan få dig att lämna över de fem andra? Med ett fullständigt SSN kan de öppna bedrägliga kreditkort, lån med mera.”

Om allt detta låter som mycket mer arbete än att ringa någon och säga att du är från skatteverket, så har du rätt. Men de flesta människor – särskilt måltavlor av högt värde, som ofta är mer välutbildade och cybersmarta – ser rakt igenom dessa enklare bedrägerier. Om belöningen är tillräckligt stor kan det vara värt tiden att bygga upp en övertygande identitet för att skaka loss information från offret. ”En hackare kan ha arbetat tålmodigt för att med tiden få fram information från offret via nätfiske via e-post eller genom att fånga den med hjälp av skadlig kod”, säger Schaffer. ”När hackare ger sig på större ’fiskar’ (så att säga) som vd:ar kallar vi det för ’valfångst’.” Och i takt med att tekniken för röstsimulering förbättras har valfångarna ännu fler verktyg i sin arsenal, med möjlighet att imitera specifika personer för att försöka lura sina offer.

Vishing-exempel

Sedan tidigare har vi varit ganska vaga om de specifika bedrägerier som vishers kommer att dra till sig för att få tag på dina pengar eller din personliga information. HashedOut delar upp dessa i fyra breda kategorier:

Telemarketingbedrägeri. Den här typen av bedrägerier är faktiskt äldre än vishing-eran, men har anammat många av deras tekniker. Vishing-aktören ringer upp dig utan att ha någon bakgrundskunskap om vem du är och ger dig ett erbjudande som är för bra för att vara sant: du har vunnit något lotteri som du aldrig deltagit i, du har blivit erbjuden en gratis Marriott-semester, du kan sänka räntan på ditt kreditkort, osv. Vanligtvis finns det en kostnad i förskott för att få dina ”gratis” pengar, och naturligtvis kommer aldrig betet som du blev lovad.

Regeringspersonligheter. Ett vanligt bedrägeri innebär att man insinuerar att ett problem blockerar förmåner som offret borde få, till exempel Medicare- eller socialförsäkringsutbetalningar. Genom att erbjuda sig att ”åtgärda” problemet öppnar man dörren för att övertala offret att lämna ut personlig information, till exempel socialförsäkrings- eller bankkontonummer. En mer aggressiv version av detta kommer från falska ”utredare” från skattemyndigheten, som ofta hävdar att offren är skyldiga efterskatt och hotar dem med böter eller fängelse. Den här videon visar en polis som interagerar med en av dessa bedragare.

Det är inte ovanligt att dessa typer av bedragare kräver att bli betalda genom att offret köper Amazon-presentkort och sedan läser upp numren på baksidan, eftersom kortköpen inte kan spåras. Detta är ett bra tips om att du inte har att göra med en statlig myndighet!

Bedrägeri med teknisk support. Vi diskuterade detta lite ovan – bedragare kan dra nytta av de tekniskt naiva och deras oro för att bli hackade, genom att använda popup-annonser eller skadlig kod som maskeras som en varning från operativsystemet för att lura offren att ringa till vishers. Kapersky varnar för en variant av denna bluff som i princip är en typ av utpressningstrojaner: skadlig kod låser datorn men ger ett nummer för ”teknisk support”, där en vänlig ”tekniker” – som i själva verket är en del av gänget som installerade skadlig kod från första början – kommer att reparera datorn, mot ett pris, vilket gör att du tror att de faktiskt har hjälpt dig.

Vishing-attacker mot bankkonton. Att få tillgång till dina bankuppgifter är naturligtvis den heliga graalen för en visher. Och om en angripare redan har tillgång till några av dina personuppgifter från en annan källa, som vi diskuterade tidigare, kan de lätt efterlikna den typ av legitima samtal som man kan förvänta sig att få från sitt finansinstitut, på ett sätt som kan lura även de mest kunniga av oss. Caleb Sasser, grundare av Panic Inc., berättade för Krebs on Security en skrämmande historia om en nästan lyckad vishing-attack. Angriparen lyckades förvränga deras telefonnummer så att det stämde överens med Wells Fargos, Sassers bank, och hävdade att han skulle följa upp några potentiellt bedrägliga avgifter. Eftersom ”banken” erbjöd sig att skicka ett nytt bankomatkort gick Sasser nästan så långt att han skrev in en ny PIN-kod i sin telefon innan han drog sig tillbaka i sista minuten. Om han hade gjort det hade visharna kunnat klona hans kort och använda det fritt.

Dessa typer av bedragare kommer troligen att gå på valfångst, och leta efter mål av mycket högt värde som kan hjälpa dem att bli rika snabbt. En variant har blivit känd som ”fredagseftermiddagsbedrägeriet”, där vishers ringer till ett investeringsföretag eller ett annat rikt mål i slutet av arbetsveckan och räknar med att den person som svarar i telefonen är trött och distraherad och släpper ner garden.

Hur man förhindrar vishing

Om du vill identifiera och undvika vishing hjälper dig förhoppningsvis det material som vi har behandlat hittills att veta vad du ska leta efter. FTC har en bra sammanfattning av de viktigaste punkterna som alla bör känna till:

  • Var misstänksam mot samtal som påstår sig komma från ett statligt organ och ber om pengar eller information. Myndigheter ringer aldrig plötsligt och kräver – eller erbjuder – pengar. Om du är tveksam, lägg på, sök självständigt upp det riktiga numret till myndigheten och ring dem för att ta reda på om de försöker nå dig.
  • Betala aldrig något med ett presentkort eller en banköverföring. Det är ett starkt tecken på en bluff.
  • Lita inte på nummerpresentationen. Det är mycket lätt att förfalska.

Kapersky har en annan bra tumregel: en sak som alla vishingbedrägerier har gemensamt är ett försök att skapa en falsk känsla av brådska, vilket får dig att tro att du är i trubbel eller på väg att missa ett tillfälle och att du måste agera just nu. Det skadar aldrig att ta en paus, skriva ner information om den som ringer utan att erbjuda någon egen information och sedan ringa tillbaka efter att ha gjort efterforskningar.

Om du vill vidta proaktiva åtgärder för att skydda din organisation kanske du vill inkludera vishing som en del av en utbildning i säkerhetsmedvetenhet. Flera leverantörer erbjuder simulerade vishing-plattformar som kan hjälpa dig att upptäcka sårbarheter i personalens attityder och visa dina anställda hur hotet ser ut.

Lämna ett svar

Din e-postadress kommer inte publiceras.