Vishing vysvětlil:

Posted on by admin

Co je to vishing?

Vishing je forma útoku, která se snaží vylákat z obětí citlivé osobní údaje po telefonu. I když to zní jako staromódní podvod, vishingové útoky mají high-tech prvky: zahrnují například technologii automatické simulace hlasu nebo podvodník může použít osobní informace o oběti získané z dřívějších kybernetických útoků, aby ji uklidnil.

Bez ohledu na použitou technologii se nastavení útoku řídí známým scénářem sociálního inženýrství: Útočník vytvoří scénář, který využívá lidských emocí, obvykle chamtivosti nebo strachu, a přesvědčí oběť, aby sdělila citlivé informace, jako jsou čísla kreditních karet nebo hesla. V tomto smyslu techniky vishingu kopírují podvody typu phishing, které se objevují již od 90. let 20. století. Vishingové hovory však využívají toho, že spíše důvěřujeme lidskému hlasu – a mohou se zaměřovat na starší a technofobní osoby, které jsou naivní a nemají s těmito typy podvodů žádné zkušenosti.

Statistika vishingu

Tato pozoruhodná čísla nabízejí představu o stavu vishingu a o tom, proč může být pro útočníky lukrativním byznysem.

  • Vishingové útoky jsou v posledních několika letech na vzestupu. V roce 2018 představovaly podvodné hovory téměř 30 % všech příchozích mobilních hovorů.
  • Nepřekvapí tedy, že tento podivný termín začíná být více uznáván. Zpráva společnosti Proofpoint o stavu phishingu v roce 2020 zjistila, že 25 % pracovníků v jejich celosvětovém průzkumu dokázalo tento termín správně definovat.
  • 75 % obětí podvodů uvádí, že vizážisté o nich již měli nějaké osobní informace, které využili k jejich zacílení a získání ještě dalších informací.
  • Z lidí, kteří FTC nahlásili vládní podvody typu vishing, pouze 6 % skutečně přišlo o peníze – ale ti, kteří o ně přišli, přišli o poměrně dost, přičemž medián ztráty činil 960 USD.

Vishing vs. phishing vs. phishing. smishing: Jaký je mezi nimi rozdíl?

Phishing je dědečkem všech a CSO má kompletní vysvětlení se všemi podrobnostmi, ale v podstatě jde o zasílání cílených e-mailových zpráv s cílem oklamat příjemce. Slovo „phishing“ se vyslovuje stejně, jako se píše, tedy jako slovo „ryba“ – analogie je, že rybář hodí háček s návnadou (phishingový e-mail) a doufá, že kousnete. Tento termín vznikl v polovině 90. let 20. století mezi hackery, jejichž cílem bylo vylákat od uživatelů AOL přihlašovací údaje. „Ph“ je součástí tradice rozmarného hackerského pravopisu a pravděpodobně byl ovlivněn termínem „phreaking“, zkratkou pro „phone phreaking“, což byla raná forma hackingu, která spočívala v přehrávání zvukových tónů do telefonních sluchátek za účelem získání bezplatných telefonních hovorů.

Vishing je v podstatě phishing prostřednictvím telefonních hovorů. Stejně jako je phishing považován za podmnožinu spamu, je i vishing odnoží spamu VoIP, známého také jako spam přes telefonii neboli SPIT. Samotný termín „vishing“ se objevuje již od konce devadesátých let.

„Smishing“ je podobný typ útoku, který místo e-mailů nebo hlasových hovorů používá textové zprávy; slovo vzniklo jako portmanteau ze slov „SMS“ a „phishing“. Více informací o smishingu najdete v našem vysvětlení k tomuto tématu.

Techniky vishingu

Téměř všechny útoky vishingu mají několik společných rysů. Telefonní hovory jsou zpočátku uskutečňovány prostřednictvím služeb VoIP (Voice over IP), díky čemuž je pro vyšeřovatele snazší část nebo celý proces automatizovat a pro oběti nebo orgány činné v trestním řízení je obtížnější je vystopovat. A konečným cílem útočníků je nějakým způsobem na vás vydělat – buď získáním informací o bankovních účtech nebo jiných osobních údajů, které mohou použít k přístupu k vašim bankovním účtům, nebo vás podvodně přimějí k přímé platbě.

Ve vesmíru vishingových podvodů však existuje široká škála technik a strategií. Jejich škála sahá od převážně automatizovaných „brokovnicových“ útoků zaměřených na mnoho potenciálních obětí v naději na několik kousků až po laserově zaměřené podvody, které se zaměřují na konkrétní vysoce hodnotný cíl.

Snad nejrozšířenější forma vishingu začíná takzvaným „wardialingem“ – tedy stovkami nebo tisíci automatických hovorů na stovky nebo tisíce čísel. Potenciální oběť (nebo její hlasová schránka) obdrží nahrávku, která ji má vyděsit nebo oklamat, aby sama iniciovala telefonát zpět podvodníkům. Návštěvníci často tvrdí, že jsou z finančního úřadu nebo jiné vládní agentury, případně z banky nebo úvěrové společnosti. Při vytáčení se zaměřuji na konkrétní předvolbu a používám název místní instituce v naději, že najdu skutečné zákazníky.

Variantou této techniky je použití vyskakovacích oken v počítači, často podstrčených malwarem, které simulují varování operačního systému před nějakým technickým problémem. Oběti je sděleno, že musí zavolat na „podporu společnosti Microsoft“ nebo něco podobného, a je jí poskytnuto telefonní číslo. Tím se dostane na linku vishera, který může během vašeho rozhovoru nakonec použít kombinaci skutečných a automatických hlasových odpovědí – opět je zde cílem získat co největší výnos z malého úsilí.

Spear vishing

Při těchto typech útoků visher většinou o vás neví téměř nic a musí blafovat, aby vás přesvědčil, že je tím, za koho se vydává; díky tomu může být poměrně snadno odhalen. Mnohem znepokojivější jsou však vidoucí, kteří se obracejí konkrétně na vás. Tato technika je známá jako „spear vishing“; stejně jako spear phishing vyžaduje, aby útočníci již měli o svém cíli nějaké údaje. Předtím, než vám zavolá, může například spear visher znát vaši adresu domů a ví, u koho máte banku, což mu usnadní, aby vás přiměl sdělit kód PIN.

Ale jak to, že toho o vás už tolik ví? „Velká část těchto údajů pochází z temného webu, který často vzniká únikem dat,“ říká Paige Schafferová, generální ředitelka služeb globální identity a kybernetické ochrany společnosti Generali Global Assistance (GGA). Až tedy budete číst o velkých únicích dat, vězte, že díky nim může být vishing mnohem snazší. Může se zdát zvláštní, že útočník, který už má vaše osobní údaje, touží získat další, ale jak upozorňuje Schafferová, „čím více informací podvodník má, tím větší škody může napáchat. Proč by se měl spokojit s posledními čtyřmi číslicemi SSN, když vás může potenciálně přimět k předání dalších pěti? Úplné SSN jim umožňuje otevřít podvodné kreditní karty, půjčky a další.“

Pokud vám to všechno připadá mnohem pracnější než někoho vytočit a říct mu, že jste z finančního úřadu, máte pravdu. Ale většina lidí – zejména vysoce hodnotné cíle, které jsou často vzdělanější a kyberneticky zdatnější – tyto jednodušší podvody prokoukne. Pokud je odměna dostatečně vysoká, může se vyplatit vybudovat si přesvědčivou identitu a informace z oběti vymámit. „Hacker může trpělivě pracovat na získávání informací od oběti v průběhu času prostřednictvím phishingových e-mailů nebo je zachytit pomocí malwaru,“ říká Schaffer. „Když se hackeři vrhnou na větší „ryby“ (takříkajíc), jako jsou generální ředitelé, říkáme tomu „lov velryb“.“ A jak se zdokonalují techniky simulace hlasu, mají velrybáři ve svém arzenálu ještě více nástrojů a mohou napodobovat konkrétní osoby, aby se pokusili své oběti oklamat.

Příklady podvodů

Dosud jsme se tak trochu mlhavě vyjadřovali ke konkrétním podvodům, které visherové provedou, aby získali vaše peníze nebo osobní údaje. HashedOut je rozděluje do čtyř širokých kategorií:

Telemarketingové podvody. Tyto typy podvodů poctivě předcházely éře vishingu, ale převzaly mnoho jejich technik. Visher vám zavolá bez jakýchkoli znalostí o tom, kdo jste, a učiní vám nabídku, která je příliš dobrá na to, aby byla pravdivá: vyhráli jste v nějaké loterii, které jste se nikdy nezúčastnili, byla vám nabídnuta bezplatná dovolená v Marriottu, můžete si snížit úrok na kreditní kartě atd. Za získání „volných“ peněz se obvykle platí předem a slíbená návnada samozřejmě nikdy nedorazí.

Vládní imitace. Běžný podvod spočívá v naznačování, že nějaký problém blokuje dávky, které by oběť měla dostávat, např. platby na zdravotní nebo sociální pojištění; nabídka „vyřešení“ problému otevírá dveře k přemluvení oběti k předání osobních údajů, např. čísla sociálního pojištění nebo bankovního účtu. Agresivnější verze tohoto podvodu přichází od falešných „vyšetřovatelů“ z finančního úřadu, kteří často tvrdí, že oběti dluží daně, a vyhrožují jim pokutami nebo vězením. Na tomto videu je zachycena interakce policisty s jedním z těchto podvodníků.

Není neobvyklé, že podvodníci tohoto typu požadují, aby jim oběť zaplatila tím, že si koupí dárkové karty Amazon a pak jim přečte čísla ze zadní strany, protože nákupy kartou nelze vysledovat. To je dobrý tip, že nemáte co do činění s vládní agenturou!“

Podvody s technickou podporou. O tom jsme hovořili trochu výše – podvodníci mohou využít technologicky naivních lidí a jejich obav z hacknutí a pomocí vyskakovacích reklam nebo malwaru maskovaného jako varování operačního systému oběti obelstít a přimět je, aby zavolali vizážistům. Společnost Kapersky varuje před variantou tohoto podvodu, která je v podstatě druhem ransomwaru: malware zablokuje počítač, ale poskytne číslo na „technickou podporu“, kde vám laskavý „technik“ – ve skutečnosti člen gangu, který malware nainstaloval – za určitou cenu opraví počítač a nechá vás v domnění, že vám skutečně pomohl.

Vishingové útoky na bankovní účty. Získání přístupu k vašim bankovním údajům je samozřejmě svatým grálem vishera. A pokud už má útočník přístup k některým vašim osobním údajům z jiného zdroje, jak jsme o tom hovořili dříve, může snadno napodobit takové legitimní hovory, které by člověk očekával od své finanční instituce, a to způsobem, který dokáže oklamat i ty nejbystřejší z nás. Zakladatel společnosti Panic Inc. Caleb Sasser vyprávěl serveru Krebs on Security otřesný příběh o téměř úspěšném vishingovém útoku. Útočníkovi se podařilo úspěšně podvrhnout telefonní číslo tak, aby odpovídalo číslu banky Wells Fargo, Sasserovy banky, a tvrdil, že sleduje nějaké potenciálně podvodné poplatky. Protože „banka“ nabízela zaslání nové bankomatové karty, Sasser málem zašel tak daleko, že do telefonu zadal nový PIN, než na poslední chvíli couvl; kdyby to udělal, visherové by byli schopni jeho kartu naklonovat a volně ji používat.

Tyto typy podvodníků se nejčastěji vydávají na lov velryb a hledají cíle s velmi vysokou hodnotou, které jim pomohou rychle zbohatnout. Jedna z variant se stala známou jako „páteční odpolední podvod“, kdy vyšeři volají do investiční firmy nebo jinému bohatému cíli na samém konci pracovního týdne a spoléhají na to, že osoba, která zvedne telefon, je unavená a roztržitá a nechá se vyvést z míry.

Jak předcházet vishingu

Pokud chcete rozpoznat vishing a vyhnout se mu, doufejme, že vám materiál, který jsme dosud probrali, pomůže zjistit, na co si dát pozor. FTC má dobré shrnutí klíčových bodů, které by měl znát každý:

  • Buďte podezřívaví k telefonátu, který tvrdí, že je od vládní agentury a žádá o peníze nebo informace. Vládní agentury vám nikdy nevolají z ničeho nic a nepožadují – nebo nenabízejí – peníze. V případě pochybností zavěste, nezávisle na sobě vyhledejte skutečné číslo agentury a zavolejte jí, abyste zjistili, zda se vás snaží kontaktovat.
  • Nikdy za nic neplaťte dárkovou kartou nebo bankovním převodem. To je jasná známka podvodu.
  • Nedůvěřujte identifikaci volajícího. Je velmi snadné ho zfalšovat.

Kapersky má další dobré pravidlo: jedna věc, kterou mají všechny vishingové podvody společnou, je snaha vyvolat falešný pocit naléhavosti, abyste si mysleli, že máte potíže nebo že brzy propásnete příležitost a musíte okamžitě jednat. Nikdy není na škodu se na chvíli zastavit, zapsat si informace o volajícím, aniž byste nabízeli nějaké vlastní, a po prozkoumání zavolat zpět.

Pokud chcete podniknout proaktivní kroky k ochraně své organizace, možná budete chtít zařadit vishing jako součást školení o povědomí o bezpečnosti. Několik dodavatelů nabízí simulované platformy pro vishing, které vám mohou pomoci odhalit slabá místa v přístupu zaměstnanců a ukázat jim podstatu hrozby.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.