Czym jest Vishing?

Vishing - definicja 

Vishing, czyli „phishing głosowy”, to rodzaj ataku socjotechnicznego, który wykorzystuje rozmowy telefoniczne lub komunikację głosową, aby nakłonić kogoś do przekazania wrażliwych informacji, takich jak dane konta bankowego, dane logowania lub dane osobowe (PII). Podczas gdy wiadomości phishingowe są bardziej rozpoznawalne, ataki vishingowe rosną, często pozostając niezauważone. W odróżnieniu od innych cyberataków ukierunkowanych na kanały cyfrowe vishing manipuluje zaufaniem ludzkim poprzez bezpośrednią interakcję głosową, co czyni go potężnym narzędziem dla oszustów. 

Vishing - typowe techniki

Ataki typu Vishing polegają na połączeniu technik manipulacji, aby ich schematy były przekonujące. Oto niektóre z najczęściej stosowanych taktyk: 

Pretekst

Atakujący stworzy zmyśloną historię lub "pretekst", aby uzasadnić połączenie. Mogą oni podawać się za przedstawicieli banku ofiary i informować ją o podejrzanej aktywności na jej koncie. Będą starali się stworzyć atmosferę nagłej potrzeby, aby ofiara zareagowała bez zastanowienia i podała swoje poufne informacje. 

Spofing ID dzwoniącego

Atakujący manipulują informacjami o identyfikatorze dzwoniącego, aby wyglądały tak, jakby połączenie pochodziło z legalnego źródła. Ma to na celu obniżenie czujności rozmówcy i sprawienie, że będzie on bardziej skłonny mu zaufać. 

Taktyka pilnej potrzeby

Jedną z najskuteczniejszych technik vishingu jest stworzenie poczucia, że sprawa jest bardzo pilna. Atakujący mogą twierdzić, że konieczne jest natychmiastowe działanie, aby zapobiec oszustwu lub stratom finansowym, naciskając na ofiarę, aby działała, zanim zdąży dokładnie przemyśleć lub zweryfikować tożsamość dzwoniącego. 

Przykłady oszustw typu vishing z życia wzięte 

Oszustwa związane ze wsparciem technicznym

Atakujący zazwyczaj podają się za pracowników obsługi klienta znanych firm technologicznych, twierdząc, że komputer ofiary został naruszony. Przekonują ofiary do udzielenia zdalnego dostępu lub zapłacenia za fikcyjne naprawy, często doprowadzając do kradzieży danych lub strat finansowych. 

Oszustwa związane z podszywaniem się pod bank

W tych przypadkach oszuści podszywają się pod przedstawicieli banku, twierdząc, że na koncie ofiary doszło do podejrzanej aktywności. Atakujący prosi o poufne informacje, takie jak hasła lub kody PIN, pod pozorem zabezpieczenia konta, co skutkuje nieautoryzowanym dostępem do danych finansowych. 

Oszustwa związane z dostawą

Oszustwa związane z dostawami polegają na tym, że atakujący podszywają się pod firmę kurierską, twierdząc, że jest problem z paczką. Ofiara jest proszona o podanie danych osobowych lub informacji dotyczących płatności w celu rozwiązania problemu, które oszuści następnie wykorzystują do dokonania oszustwa. 

Zagrożenia dla firm i osób związane z atakami typu vishing

Zagrożenia dla osób

  • Kradzież tożsamości i nieautoryzowany dostęp do konta: Atakujący mogą wykorzystać skradzione dane osobowe do przejęcia kontroli nad kontami bankowymi, potencjalnie wyprowadzając z nich środki lub uzyskując dostęp do poufnych danych.
  • Oszustwa finansowe: Przestępcy mogą wykraść pieniądze bezpośrednio lub wykorzystać informacje o ofierze do otwarcia nowych kont, złożenia wniosku o pożyczki lub dokonania nieuczciwego zakupu w ich imieniu.
  • Sprzedaż w darknecie: Zagrożone dane osobowe mogą być sprzedawane w darknecie, co pozwala innym przestępcom na wykorzystywanie tożsamości ofiary do różnych nielegalnych działań.

Zagrożenia dla firm

  • Naruszenia bezpieczeństwa danych: Ataki vishingowe ukierunkowane na pracowników mogą prowadzić do naruszenia informacji o klientach, zastrzeżonych danych i poufnej komunikacji, powodując powszechne problemy z bezpieczeństwem.
  • Skutki prawne i regulacyjne: W branżach takich jak finanse, opieka zdrowotna i technologie, naruszenia mogą skutkować wysokimi grzywnami regulacyjnymi, pozwami ze strony poszkodowanych stron i utratą przewagi konkurencyjnej.
  • Utrata zaufania klientów: Naruszenie danych spowodowane przez vishing może poważnie zaszkodzić reputacji firmy, prowadząc do utraty lojalności klientów i długoterminowych strat finansowych.

Oznaki, że jesteś celem ataku typu vishing

  • Umiejętność rozpoznania ataku Vishing może mu zapobiec! Oto kilka sygnałów ostrzegawczych, na które należy zwrócić uwagę: 

Nieoczekiwane połączenia telefoniczne z prośbą o podanie poufnych informacji

Jeśli otrzymasz nieoczekiwaną rozmowę telefoniczną z prośbą o podanie danych osobowych, takich jak numery kont lub hasła, jest to sygnał ostrzegawczy. Legalne organizacje zazwyczaj nie żądają wrażliwych danych przez telefon bez wcześniejszej weryfikacji. 

Presja, by działać szybko

Oszuści vishingowi często stwarzają pozory pilności, twierdząc, że konieczne jest podjęcie natychmiastowych działań, aby zapobiec negatywnym skutkom, takim jak zawieszenie konta lub utrata środków. Uważaj na każdego dzwoniącego, który zmusza Cię do podejmowania szybkich decyzji bez weryfikacji. 

Żądania danych osobowych bez uprzedniego powiadomienia

Uważaj na połączenia z prośbą o potwierdzenie danych osobowych, takich jak PESEL lub dane logowania, zwłaszcza jeśli nie spodziewałeś się tego połączenia. Legalne organizacje zazwyczaj pozwalają na alternatywne procesy weryfikacji. 

Jak zapobiegać atakom typu Vishing

  • Aby chronić osoby i organizacje przed atakami vishingowymi i zmniejszyć ich wpływ, możesz rozważyć niektóre z poniższych najlepszych praktyk: 

Sceptycznie podchodź do niespodziewanych połączeń

Jeśli otrzymasz nieoczekiwany telefon z prośbą o podanie danych osobowych, zawsze weryfikuj tożsamość dzwoniącego, kontaktując się bezpośrednio z organizacją za pośrednictwem jej oficjalnych kanałów. Nie polegaj wyłącznie na identyfikatorze dzwoniącego, ponieważ może on zostać podrobiony. 

Nigdy nie udostępniaj wrażliwych informacji przez telefon

Unikaj przekazywania przez telefon danych osobowych, takich jak numery kont, hasła lub kody PIN. Legalne organizacje nigdy nie będą prosić o te informacje podczas spontanicznej rozmowy. 

Szkolenie dla pracowników

Firmy powinny przeprowadzać regularne szkolenia z zakresu cyberbezpieczeństwa dla swoich pracowników, aby mogli nauczyć się rozpoznawać próby vishingu i tworzyć protokół zgłaszania podejrzanych połączeń. 

Narzędzia do blokowania połączeń i uwierzytelniania

Rozważ użycie aplikacji lub usług blokowania połączeń, które odfiltrowują połączenia typu spam. Firmy mogą korzystać z narzędzi uwierzytelniania głosowego do weryfikacji tożsamości dzwoniących, zwłaszcza w przypadku informacji wrażliwych. 

Powiązane informacje o Vishing

image

Vishing za pośrednictwem Microsoft Teams ułatwia włamanie do złośliwego oprogramowania DarkGate

Omawiamy atak socjotechniczny, który nakłonił ofiarę do zainstalowania narzędzia zdalnego dostępu, wyzwalając działania złośliwego oprogramowania DarkGate i próbę połączenia C&C.

image

Najlepsze praktyki bezpieczeństwa poczty e-mail w zakresie zapobiegania phishingowi

    • Zapoznaj się z najnowszymi trendami phishingu i najlepszymi praktykami w zakresie bezpieczeństwa poczty e-mail, aby zwiększyć bezpieczeństwo poczty e-mail i zmniejszyć ryzyko cybernetyczne.

Powiązane badania

Powiązane artykuły