Vishing, czyli „phishing głosowy”, to rodzaj ataku socjotechnicznego, który wykorzystuje rozmowy telefoniczne lub komunikację głosową, aby nakłonić kogoś do przekazania wrażliwych informacji, takich jak dane konta bankowego, dane logowania lub dane osobowe (PII). Podczas gdy wiadomości phishingowe są bardziej rozpoznawalne, ataki vishingowe rosną, często pozostając niezauważone. W odróżnieniu od innych cyberataków ukierunkowanych na kanały cyfrowe vishing manipuluje zaufaniem ludzkim poprzez bezpośrednią interakcję głosową, co czyni go potężnym narzędziem dla oszustów.
Ataki typu Vishing polegają na połączeniu technik manipulacji, aby ich schematy były przekonujące. Oto niektóre z najczęściej stosowanych taktyk:
Atakujący stworzy zmyśloną historię lub "pretekst", aby uzasadnić połączenie. Mogą oni podawać się za przedstawicieli banku ofiary i informować ją o podejrzanej aktywności na jej koncie. Będą starali się stworzyć atmosferę nagłej potrzeby, aby ofiara zareagowała bez zastanowienia i podała swoje poufne informacje.
Atakujący manipulują informacjami o identyfikatorze dzwoniącego, aby wyglądały tak, jakby połączenie pochodziło z legalnego źródła. Ma to na celu obniżenie czujności rozmówcy i sprawienie, że będzie on bardziej skłonny mu zaufać.
Jedną z najskuteczniejszych technik vishingu jest stworzenie poczucia, że sprawa jest bardzo pilna. Atakujący mogą twierdzić, że konieczne jest natychmiastowe działanie, aby zapobiec oszustwu lub stratom finansowym, naciskając na ofiarę, aby działała, zanim zdąży dokładnie przemyśleć lub zweryfikować tożsamość dzwoniącego.
Atakujący zazwyczaj podają się za pracowników obsługi klienta znanych firm technologicznych, twierdząc, że komputer ofiary został naruszony. Przekonują ofiary do udzielenia zdalnego dostępu lub zapłacenia za fikcyjne naprawy, często doprowadzając do kradzieży danych lub strat finansowych.
W tych przypadkach oszuści podszywają się pod przedstawicieli banku, twierdząc, że na koncie ofiary doszło do podejrzanej aktywności. Atakujący prosi o poufne informacje, takie jak hasła lub kody PIN, pod pozorem zabezpieczenia konta, co skutkuje nieautoryzowanym dostępem do danych finansowych.
Oszustwa związane z dostawami polegają na tym, że atakujący podszywają się pod firmę kurierską, twierdząc, że jest problem z paczką. Ofiara jest proszona o podanie danych osobowych lub informacji dotyczących płatności w celu rozwiązania problemu, które oszuści następnie wykorzystują do dokonania oszustwa.
Zagrożenia dla osób
Jeśli otrzymasz nieoczekiwaną rozmowę telefoniczną z prośbą o podanie danych osobowych, takich jak numery kont lub hasła, jest to sygnał ostrzegawczy. Legalne organizacje zazwyczaj nie żądają wrażliwych danych przez telefon bez wcześniejszej weryfikacji.
Oszuści vishingowi często stwarzają pozory pilności, twierdząc, że konieczne jest podjęcie natychmiastowych działań, aby zapobiec negatywnym skutkom, takim jak zawieszenie konta lub utrata środków. Uważaj na każdego dzwoniącego, który zmusza Cię do podejmowania szybkich decyzji bez weryfikacji.
Uważaj na połączenia z prośbą o potwierdzenie danych osobowych, takich jak PESEL lub dane logowania, zwłaszcza jeśli nie spodziewałeś się tego połączenia. Legalne organizacje zazwyczaj pozwalają na alternatywne procesy weryfikacji.
Jeśli otrzymasz nieoczekiwany telefon z prośbą o podanie danych osobowych, zawsze weryfikuj tożsamość dzwoniącego, kontaktując się bezpośrednio z organizacją za pośrednictwem jej oficjalnych kanałów. Nie polegaj wyłącznie na identyfikatorze dzwoniącego, ponieważ może on zostać podrobiony.
Unikaj przekazywania przez telefon danych osobowych, takich jak numery kont, hasła lub kody PIN. Legalne organizacje nigdy nie będą prosić o te informacje podczas spontanicznej rozmowy.
Firmy powinny przeprowadzać regularne szkolenia z zakresu cyberbezpieczeństwa dla swoich pracowników, aby mogli nauczyć się rozpoznawać próby vishingu i tworzyć protokół zgłaszania podejrzanych połączeń.
Rozważ użycie aplikacji lub usług blokowania połączeń, które odfiltrowują połączenia typu spam. Firmy mogą korzystać z narzędzi uwierzytelniania głosowego do weryfikacji tożsamości dzwoniących, zwłaszcza w przypadku informacji wrażliwych.
Omawiamy atak socjotechniczny, który nakłonił ofiarę do zainstalowania narzędzia zdalnego dostępu, wyzwalając działania złośliwego oprogramowania DarkGate i próbę połączenia C&C.