Все мы слышали о фишинге – проверенной временем мошеннической схеме по электронной почте, которая имитирует авторитетные источники, чтобы обманом заставить получателей передать конфиденциальную информацию или скачать вредоносное ПО. Так вот, вишинг – это его голосовой эквивалент. Это мошенничество с множеством вариантов, которое может затронуть как частных лиц, так и организации – с потенциально разрушительными последствиями.

Вместе фишинг, смишинг, фарминг и вишинг обошлись более чем 241 000 жертв более чем в 54 миллиона долларов в 2020 году. И это только те случаи, о которых сообщалось в ФБР, поскольку многие случаи мошенничества остаются нераскрытыми.

Так как же работают мошеннические схемы вишинга, как они влияют на бизнес и частных лиц, и как вы можете защитить себя от них?

Проблема социальной инженерии

Вишинг работает как в потребительской, так и в деловой сфере по одной очень веской причине: человеческая уязвимость. Социальная инженерия лежит в основе усилий злоумышленников. По сути, это искусство убеждения. Социальная инженерия заключается в том, чтобы выдавать себя за доверенного авторитета – ваш банк, поставщика технологий, правительство, сотрудника ИТ-поддержки – и создавать ощущение срочности или страха, которое преодолевает любую естественную осторожность или подозрительность, которую может иметь жертва.

ПОСЛЕДНИЕ НОВОСТИ: Вы бы клюнули на приманку? Пройдите наш тест на фишинг, чтобы узнать!

Эти методы используются в фишинговых письмах и поддельных SMS-сообщениях (известных как смишинг). Но, возможно, они наиболее эффективны, когда используются «вживую» по телефону. У вишинговых мошенников есть несколько дополнительных инструментов и тактик, чтобы сделать их мошенничество более успешным, включая:

  • Инструменты для подмены номера (Caller ID spoofing), которые могут использоваться для сокрытия реального местоположения мошенника и даже для имитации телефонных номеров доверенных организаций. Например, в прошлом году у клиентов отеля Ritz London были украдены личные данные во время утечки в роскошном отеле, а затем мошенники использовали эти данные для проведения убедительных атак социальной инженерии против жертв, подменив официальный номер отеля.
  • Многоканальные мошенничества, которые могут начинаться с SMS-сообщения, фишингового письма или голосовой почты и побуждают пользователя позвонить по номеру. Это приведет жертву напрямую к мошеннику.
  • Сбор данных из социальных сетей и открытых источников, которые могут предоставить мошеннику массу информации о своих жертвах. Эти данные могут использоваться для нацеливания на конкретных людей (например, сотрудников компании с привилегированными учетными записями) и для придания законности мошенничеству – то есть вишер может повторить некоторые личные данные жертве, чтобы она раскрыла больше.
пример мошенничества вишинг

Транскрипция сообщения голосовой почты вишинга (источник: Twitter)

Влияние вишинга на рабочем месте

В корпоративном контексте вишинг чаще всего используется для кражи привилегированных учетных данных. ФБР неоднократно предупреждало о подобных атаках. Еще в августе 2020 года оно подробно описало сложную операцию, в ходе которой киберпреступники изучили своих целей, а затем позвонили, представившись сотрудниками ИТ-поддержки. Жертв побуждали ввести свои данные для входа на ранее зарегистрированный фишинговый сайт, разработанный для имитации страницы входа в VPN компании. Эти учетные данные затем использовались для доступа к базам данных компании с личной информацией клиентов.

Подобные атаки стали более распространенными отчасти благодаря массовому переходу на удаленную работу во время пандемии, предупреждало ФБР. По сути, в январе 2021 года пришлось выпустить еще одно предупреждение об операции, в которой использовались аналогичные методы для получения доступа к корпоративной сети.

Ставший печально известным взлом Twitter, в ходе которого высокоцелевые сотрудники были обмануты вишинговыми мошенниками и раскрыли свои логины, показывает, что даже технически подкованные компании и пользователи могут стать жертвами. В этом случае доступ использовался для угона аккаунтов знаменитостей с целью распространения мошеннической схемы с криптовалютой.

Как голосовой фишинг может затронуть вашу семью

К сожалению, вишинговые мошенники также активно нацелены на потребителей. В этих атаках конечная цель – заработать на вас деньги: либо путем прямой кражи банковских счетов или карточной информации, либо путем обмана и получения личной информации и логинов, которые они могут использовать для доступа к этим счетам.

Вот несколько типичных мошеннических схем:

Мошенничество с технической поддержкой

При мошенничестве с технической поддержкой жертвам часто звонят по холодной линии, представляясь их интернет-провайдером или известным поставщиком программного или аппаратного обеспечения. Они заявят о несуществующей проблеме с вашим ПК, а затем потребуют оплату (и данные вашей карты) для ее устранения, иногда при этом скачивая вредоносное ПО. Эти мошенничества также могут начинаться с появления на экране пользователя всплывающего окна, призывающего позвонить на горячую линию.

Вардиалинг

Это практика отправки автоматических голосовых сообщений большому количеству жертв, обычно с целью напугать их и заставить перезвонить – например, заявив, что у них есть неоплаченные налоговые счета или другие штрафы.

Телемаркетинг

Еще одна популярная тактика – звонить и сообщать, что получатель выиграл потрясающий приз. Единственная загвоздка в том, что для получения приза требуется предварительная оплата.

Фишинг/смишинг

Как уже упоминалось, мошенничество может начинаться с поддельного электронного письма или фальшивого SMS, побуждающего пользователя позвонить по номеру. Одна из популярных схем – это электронное письмо от «Amazon», в котором говорится, что с недавним заказом что-то не так. Звонок по указанному номеру приведет жертву к вишинговому мошеннику.

Как предотвратить вишинг

Хотя некоторые из этих мошеннических схем становятся все более изощренными, вы можете сделать многое, чтобы снизить риск стать жертвой. Вот несколько основных шагов:

  • Уйдите из открытого списка адресов, чтобы ваш номер не был общедоступен.
  • Не вводите свой номер телефона в какие-либо онлайн-формы (например, при покупках в Интернете).
  • Будьте осторожны с запросами ваших банковских, личных или любых других конфиденциальных данных по телефону.
  • Проявляйте осторожность – не вступайте в контакт с непрошеными звонящими, особенно если они просят подтвердить конфиденциальные данные.
  • Никогда не перезванивайте по номеру, оставленному в голосовой почте. Всегда связывайтесь с организацией напрямую.
  • Используйте многофакторную аутентификацию (MFA) для всех онлайн-аккаунтов.
  • Убедитесь, что ваша электронная почта/безопасность в Интернете обновлена и включает возможности защиты от фишинга.

Читать полный анализ на WeLiveSecurity →