Ви, напевно, знайомі з фішингом, який є загальною категорією кібератак і конкретним типом атак. Тепер настав час познайомитися з його злим братом: Вішингом. Вішинг – це один із методів шахрайства з використанням соціальної інженерії, який полягає в тому, що зловмисники, використовуючи телефонний зв’язок викрадають банківські дані або виманюють особисту інформацію. В основі вишингу лежить соціальна інженерія, яка передбачає маскування шахраїв під певну організацію – банк, постачальника послуг, державну організацію, співробітника ІТ-служби та створення відчуття терміновості чи страху, що допомагає зменшити час на роздуми та відповідно уникнути підозр з боку жертви. З цієї статті Ви дізнаєтесь, як працює вішинг і навчитесь захищати себе та свою організацію від нього. Тому що, наприклад, за перші шість місяців 2022 року користувачі мобільних пристроїв отримали приголомшливі 100 мільярдів шахрайських дзвінків, які призвели до фінансових втрат у 40 мільярдів доларів.
У серпні 2020 року Агентство з кібербезпеки та інфраструктури (CISA) і Федеральне бюро розслідувань (ФБР) випустили попередження, що атаки vishing спрямовані на віддалених працівників. Те саме дослідження показує, що атаки vishing тепер випередили компрометацію бізнес-електронної пошти (BEC) у ландшафті загроз, ставши другою загрозою за кількістю зареєстрованих. Шахрайство BEC – це підмножина фішингу, категорія шахрайства та кібератак, які зловмисники використовують, щоб отримати конфіденційну інформацію. Практично всі види фішингового шахрайства в тій чи іншій формі включають тактику соціальної інженерії. Хоча схеми шахрайства стають все більш складними, зменшити ризики потрапити на гачок шахраїв все ж таки можливо. І про це також Ви дізнаєтесь з цієї статті.
Вішинг розшифровується так голос + фішинг = вішинг. По суті, вішинг є формою фішингу. У цьому випадку кіберзлочинець використовує голосовий дзвінок, щоб обманом змусити жертву розкрити приватну або конфіденційну інформацію. Цей маневр спрямований на отримання конфіденційної інформації, яку вони можуть продати або використати для вчинення подальших злочинів. У той час як фішинг використовує повідомлення електронної пошти, щоб спонукати жертву натиснути зловмисне або фальшиве посилання, а smishing використовує текстові повідомлення з тією ж метою, у вішингу зловмисник використовує набагато старіший (і поширений) інструмент: телефонні дзвінки. Ось чому цей тип атаки також називають голосовим фішингом.
У деяких випадках кіберзлочинці можуть навіть використовувати комбінацію методів атаки:
1. Кіберзлочинці могли розпочати атаку, надіславши терміновий фішинговий електронний лист із повідомленням про те, що послугу для вашої улюбленої програми автоматично оновлено. Електронний лист продовжується, вказуючи, що вам доведеться зателефонувати за певним номером телефону, щоб отримати відшкодування.
2. Ви телефонуєте на номер, а кіберзлочинці використають усілякі тактики соціальної інженерії, щоб змусити вас здійснити платіж на фальшивий банківський рахунок або навіть завантажити програмне забезпечення для віддаленого робочого столу на ваш пристрій, щоб надати їм доступ до нього. Ці тактики соціальної інженерії включають примус та/або залякування, щоб змусити вас робити те, що вони говорять.
! все почалося з фішингу і переросло в шахрайство з вішингом !
Зловмисник збирає достатньо інформації про жертву та/або її організацію, перевіряючи її на каналах соціальних мереж, таких як YouTube і LinkedIn…Після цього зловмисник дзвонить жертві, видаючи себе за довірену особу, наприклад, банк або державний агент. Щоб підштовхнути мішень до розкриття конфіденційної інформації або до того, чого вони зазвичай не зробили б, злочинець використовує методи соціальної інженерії.
Cтрах;
Паніка;
Терміновість;
Допитливість;
Неочікуванність;
Довіра та/або інші емоції.
І останнє, але не менш важливе, зловмисник також користується тим фактом, що людина, яка розмовляє по телефону, швидше за все зробить щось, не задумуючись про те, що робить. Зловмисник зможе отримати доступ до банківського рахунку жертви, кредитних карток або всієї внутрішньої мережі організації.
Автоматичні дзвінки. У цьому випадку вони використають технологію IP-телефонії (VoIP), вимагаючи від жертви підтвердити особисту інформацію просто натиснувши певні клавіші телефону.
Гібридний вішинг. Також називається фішинг зворотного виклику.Зловмисник надсилає жертві електронний лист із фальшивим номером телефону для термінового зв’язку.
Вішинг на основі штучного інтелекту (тобто «дипфейки»). Шахраї використовують комерційно доступне програмне забезпечення AI, щоб створити голос генерального директора або особи, за яку вони видаються.
Давайте розглянемо кілька прикладів найпоширеніших голосових фішингових шахрайств і пов’язані з ними витрати:
Шахрайство з голосовим фішингом технічної підтримки;
Шахрайство з банком або кредитною карткою. Card Vishing Scam;
Служба внутрішніх доходів (IRS). Tax Voice Phishing Scam;
Сектор охорони здоров’я та соціального забезпечення.
Зловмисник видає себе за агента технічної підтримки від відомої ІТ-компанії, як-от Microsoft або Apple, і повідомляє про підозрілу активність у вашому обліковому записі або програмному забезпеченні. Якщо ви на це потрапите, вас можуть попросити встановити оновлення зловмисного програмного забезпечення, яке скомпрометує вашу машину та призведе до багатьох наслідків. Як часто це буває? Судіть самі: останній звіт ФБР про злочини в Інтернеті показує, що у 2021 році технічна підтримка vishing завдала збитків на суму понад 347 мільйонів доларів. Це погано, але могло б бути набагато гірше, якби після скарг, поданих Центром скарг у Інтернеті (IC3), не була залучена команда ФБР із відновлення активів (RAT). Наприклад, у жовтні 2021 року RAT зупинив неавторизований банківський переказ на суму 53 000 доларів США, який став результатом шахрайства з технічною підтримкою.
У цьому сценарії кіберзлочинець представляє себе працівником банку або представника іншої фінансової установи. У деяких випадках зловмисники можуть використовувати попередньо записані повідомлення, щоб обманом змусити вас надати дані свого облікового запису, облікові дані або PIN-код. Потім вони можуть використовувати інформацію для підтвердження шахрайської транзакції. Останній звіт U.K. Finance показує, що протягом перших шести місяців 2022 року було виявлено понад 95 000 успішних шахрайських шахрайств із авторизованими push-платежами (APP). Жертв цього шахрайства з банківськими або кредитними картками обманом змусили схвалити платежі, які надходили безпосередньо до кіберзлочинців на банківський рахунок. Загальна втрата понад 249 мільйонів фунтів стерлінгів — це більше 282 мільйонів доларів США.
У цьому сценарії зловмисник зв’язується з жертвою за допомогою записаного повідомлення. У повідомленні пояснюється, що через проблему з податковою декларацією цільової особи вони повинні негайно зв’язатися з наданим фальшивим номером, щоб виправити певну ситуацію. (Звичайно, це лише для того, щоб зловмисник міг зателефонувати жертві, щоб обманом отримати гроші чи особисту інформацію.) Повідомлення зазвичай містить погрозливе попередження (наприклад, буде видано ордер на арешт, значні штрафи чи покарання, тощо), щоб додати більше драматизму та страху в ситуацію, щоб викликати негайну відповідь цілі.
У вересні 2020 року зловмисники зателефонували пацієнтам Spectrum Health, видаючи себе за співробітників системи охорони здоров’я Мічигану, щоб викрасти їхню захищену медичну інформацію (PHI). Щоб дзвінок виглядав законним, зловмисники підробили ідентифікатор абонента Spectrum Health. Після того, як жертву підключили, вони запитали PHI та номер учасника. Це типовий приклад вішингу сфери охорони здоров’я. Згідно з аналітичною запискою Координаційного центру кібербезпеки сектору охорони здоров’я (HC3), атак vishing зростає. Шахраям просто подобається ваша PHI та інформація соціального страхування. Їм настільки подобаються ці типи даних, що чотири позиції з п’яти найпопулярніших викликів, визначених First Orion, пов’язані зі сектором охорони здоров’я та соціального забезпечення.
«Гей, ти мільйонний підписник! Щиро вітаю! Ви виграли нову Tesla! Щоб отримати свій приз, вам потрібно лише надати нам деяку особисту інформацію…” Вибачте, що розчаровую вас, але ныякого конкурсу немає і ви нічого не виграли. Це був лише трюк, щоб змусити вас співпрацювати та надати інформацію. Це приклад дзвінка-вішинга, який ви можете отримати, під час якого зловмисник намагається спокусити вас надати конфіденційну інформацію в обмін на ймовірний приз. Шахрайство в телемаркетингу, коли зловмисник намагається викрасти особисту інформацію або гроші, заманюючи жертву фальшивими лотерейними призами або вигідними пропозиціями, також відноситься до цієї категорії. Відомо, що американці втрачають у середньому 40 мільярдів доларів на рік, стаючи жертвами таких телемаркетингових шахраїв.
Як справді запобігти голосовому фішингу?
Уникайте автоматичних дзвінків. Ви відповіли на телефонний дзвінок і зрозуміли, що розмовляєте не з людиною, тому кладіть слухавку і займайтеся своїми справами.
Не відповідайте на голосові автоматичні підказки. Натисніть один, натисніть три та скажіть «так», щоб поговорити з оператором — я ненавиджу ці автоматичні підказки. Зловмисник може записати ваші голосові відповіді, щоб використовувати їх для шахрайських дій (зокрема, видавати себе за вас для автентифікації у ваших законних облікових записах).
Ніколи не діліться конфіденційною інформацією по телефону. Вам дзвонив хтось, видаючи себе за агента IRS? Він запитував у вас ваш податковий номер чи будь-яку іншу особисту інформацію? Не забувайте, що державні установи, банки чи компанії, що видають кредитні картки, ніколи не запитуватимуть вашу особисту інформацію по телефону. Отже, якщо щось пахне рибою — я маю на увазі, віші — тоді довіртеся своєму інтуїції та покладіть слухавку.
Але це ще не все. Є речі, які ви можете зробити, щоб захистити свій бізнес ще до того, як вам надійде дзвінок. Навчіть своїх співробітників, як їх розпізнавати. Поділитися цією статтею з ними може бути першим кроком. Переконайтеся, що у вас є правила, які вказують на процес перевірки особи абонента та яку інформацію можна розкрити і кому.
Використовуйте надійні методи автентифікації. Якщо шахрайство з голосовим фішингом вдається, використання надійних методів автентифікації додасть ще один рівень безпеки, який допоможе вам запобігти або мінімізувати шкоду. Є кілька варіантів, на які ви можете піти. Серед них дво- або багатофакторна автентифікація (MFA).
Цифровий підпис для ваших електронних листів. Цифровий підпис ваших електронних листів дає змогу додавати до ваших повідомлень цифровий підпис, який можна перевірити. Це допоможе вам довести, що електронний лист є законним (надісланим вами) і автентичним (незмінним). Таким чином, якщо хтось із ваших співробітників отримає непідписане повідомлення, він, ймовірно, двічі подумає, перш ніж зателефонувати на хитрий номер у ньому.
Не дозволяйте непідписане завантаження програмного забезпечення. Ви пам’ятаєте приклад шахрайства з технічною підтримкою? Жертву попросили завантажити оновлення програмного забезпечення, заражене шкідливим ПЗ. Часто зловмисники не намагаються додати сертифікат підпису коду до свого шкідливого програмного забезпечення (що показує користувачам та їхнім операційним системам, що програма є автентичною та не змінювалася з моменту її підписання). Оскільки це коштує грошей і вимагає проходження валідації загальнодовіреним ЦС, який дотримується суворих стандартів.
Фішинг, смішинг, вішинг. Злочинці намагаються зробити все, щоб отримати бажане і використовують для цього практично будь-які засоби. Серед цих всіх типів кібератак найважче уникнути атак Vishing. Тому що вони не лише зачіпають такі емоції, як страх і паніка, але й використовують той факт, що після розмови по телефону у вас не вистачає часу на роздуми. Тепер ви дізналися про деякі профілактичні заходи (і кілька ключових попереджувальних прапорців), які відтепер мають дзвонити у ваші вуха та допомагати захистити вас від таких атак:
Номер абонента невідомий.
Абонент запитує конфіденційну або особисту інформацію.
Той, хто дзвонить, стверджує, що працює в державній установі чи на іншій посаді.
Наступного разу, коли вам зателефонують, зробіть паузу та двічі подумайте, перш ніж брати трубку. Ця кількасекундна пауза може врятувати вас від того, щоб стати наступною жертвою вішинга.