Все мы слышали о фишинге – проверенной временем мошеннической схеме по электронной почте, которая имитирует авторитетные источники, чтобы обманом заставить получателей передать конфиденциальную информацию или скачать вредоносное ПО. Так вот, вишинг – это его голосовой эквивалент. Это мошенничество с множеством вариантов, которое может затронуть как частных лиц, так и организации – с потенциально разрушительными последствиями.
Вместе фишинг, смишинг, фарминг и вишинг обошлись более чем 241 000 жертв более чем в 54 миллиона долларов в 2020 году. И это только те случаи, о которых сообщалось в ФБР, поскольку многие случаи мошенничества остаются нераскрытыми.
Так как же работают мошеннические схемы вишинга, как они влияют на бизнес и частных лиц, и как вы можете защитить себя от них?
Проблема социальной инженерии
Вишинг работает как в потребительской, так и в деловой сфере по одной очень веской причине: человеческая уязвимость. Социальная инженерия лежит в основе усилий злоумышленников. По сути, это искусство убеждения. Социальная инженерия заключается в том, чтобы выдавать себя за доверенного авторитета – ваш банк, поставщика технологий, правительство, сотрудника ИТ-поддержки – и создавать ощущение срочности или страха, которое преодолевает любую естественную осторожность или подозрительность, которую может иметь жертва.
ПОСЛЕДНИЕ НОВОСТИ: Вы бы клюнули на приманку? Пройдите наш тест на фишинг, чтобы узнать!
Эти методы используются в фишинговых письмах и поддельных SMS-сообщениях (известных как смишинг). Но, возможно, они наиболее эффективны, когда используются «вживую» по телефону. У вишинговых мошенников есть несколько дополнительных инструментов и тактик, чтобы сделать их мошенничество более успешным, включая:
- Инструменты для подмены номера (Caller ID spoofing), которые могут использоваться для сокрытия реального местоположения мошенника и даже для имитации телефонных номеров доверенных организаций. Например, в прошлом году у клиентов отеля Ritz London были украдены личные данные во время утечки в роскошном отеле, а затем мошенники использовали эти данные для проведения убедительных атак социальной инженерии против жертв, подменив официальный номер отеля.
- Многоканальные мошенничества, которые могут начинаться с SMS-сообщения, фишингового письма или голосовой почты и побуждают пользователя позвонить по номеру. Это приведет жертву напрямую к мошеннику.
- Сбор данных из социальных сетей и открытых источников, которые могут предоставить мошеннику массу информации о своих жертвах. Эти данные могут использоваться для нацеливания на конкретных людей (например, сотрудников компании с привилегированными учетными записями) и для придания законности мошенничеству – то есть вишер может повторить некоторые личные данные жертве, чтобы она раскрыла больше.
Транскрипция сообщения голосовой почты вишинга (источник: Twitter)
Влияние вишинга на рабочем месте
В корпоративном контексте вишинг чаще всего используется для кражи привилегированных учетных данных. ФБР неоднократно предупреждало о подобных атаках. Еще в августе 2020 года оно подробно описало сложную операцию, в ходе которой киберпреступники изучили своих целей, а затем позвонили, представившись сотрудниками ИТ-поддержки. Жертв побуждали ввести свои данные для входа на ранее зарегистрированный фишинговый сайт, разработанный для имитации страницы входа в VPN компании. Эти учетные данные затем использовались для доступа к базам данных компании с личной информацией клиентов.
Подобные атаки стали более распространенными отчасти благодаря массовому переходу на удаленную работу во время пандемии, предупреждало ФБР. По сути, в январе 2021 года пришлось выпустить еще одно предупреждение об операции, в которой использовались аналогичные методы для получения доступа к корпоративной сети.
Ставший печально известным взлом Twitter, в ходе которого высокоцелевые сотрудники были обмануты вишинговыми мошенниками и раскрыли свои логины, показывает, что даже технически подкованные компании и пользователи могут стать жертвами. В этом случае доступ использовался для угона аккаунтов знаменитостей с целью распространения мошеннической схемы с криптовалютой.
Как голосовой фишинг может затронуть вашу семью
К сожалению, вишинговые мошенники также активно нацелены на потребителей. В этих атаках конечная цель – заработать на вас деньги: либо путем прямой кражи банковских счетов или карточной информации, либо путем обмана и получения личной информации и логинов, которые они могут использовать для доступа к этим счетам.
Вот несколько типичных мошеннических схем:
Мошенничество с технической поддержкой
При мошенничестве с технической поддержкой жертвам часто звонят по холодной линии, представляясь их интернет-провайдером или известным поставщиком программного или аппаратного обеспечения. Они заявят о несуществующей проблеме с вашим ПК, а затем потребуют оплату (и данные вашей карты) для ее устранения, иногда при этом скачивая вредоносное ПО. Эти мошенничества также могут начинаться с появления на экране пользователя всплывающего окна, призывающего позвонить на горячую линию.
Вардиалинг
Это практика отправки автоматических голосовых сообщений большому количеству жертв, обычно с целью напугать их и заставить перезвонить – например, заявив, что у них есть неоплаченные налоговые счета или другие штрафы.
Телемаркетинг
Еще одна популярная тактика – звонить и сообщать, что получатель выиграл потрясающий приз. Единственная загвоздка в том, что для получения приза требуется предварительная оплата.
Фишинг/смишинг
Как уже упоминалось, мошенничество может начинаться с поддельного электронного письма или фальшивого SMS, побуждающего пользователя позвонить по номеру. Одна из популярных схем – это электронное письмо от «Amazon», в котором говорится, что с недавним заказом что-то не так. Звонок по указанному номеру приведет жертву к вишинговому мошеннику.
Как предотвратить вишинг
Хотя некоторые из этих мошеннических схем становятся все более изощренными, вы можете сделать многое, чтобы снизить риск стать жертвой. Вот несколько основных шагов:
- Уйдите из открытого списка адресов, чтобы ваш номер не был общедоступен.
- Не вводите свой номер телефона в какие-либо онлайн-формы (например, при покупках в Интернете).
- Будьте осторожны с запросами ваших банковских, личных или любых других конфиденциальных данных по телефону.
- Проявляйте осторожность – не вступайте в контакт с непрошеными звонящими, особенно если они просят подтвердить конфиденциальные данные.
- Никогда не перезванивайте по номеру, оставленному в голосовой почте. Всегда связывайтесь с организацией напрямую.
- Используйте многофакторную аутентификацию (MFA) для всех онлайн-аккаунтов.
- Убедитесь, что ваша электронная почта/безопасность в Интернете обновлена и включает возможности защиты от фишинга.