Co to jest Vishing? Wskazówki dotyczące wykrywania i unikania oszustw głosowych
Kradzież tożsamości dotyka ponad 14 milionów Amerykanów rocznie i kosztuje konsumentów ponad 1,7 miliarda dolarów. Istnieje kilka metod pozyskiwania danych osobowych, a jedną z nich jest „Vishing".
Vishing to oszustwo telefoniczne, w którym oszust próbuje wyłudzić od ofiary dane osobowe lub pieniądze. Słowo „vishing” to połączenie „głosu” i „ phishingu “, co oznacza, że oszust próbuje nakłonić ofiarę do ujawnienia jej poufnych informacji, takich jak nazwy użytkownika, hasła lub dane karty kredytowej, lub pobrać złośliwe oprogramowanie na swoje urządzenia.
Pierwszy etap tego ataku skupia się na sprawdzeniu, czy numer telefonu jest nadal aktywny, czy nie. Jeśli chodzi o drugi etap, atak jest bardziej spersonalizowany w zależności od ofiary.
Typowa próba vishingu przebiega według wzoru:
Krok 1 – Cel: Oszuści wykonują połączenia do kilku osób jednocześnie. Jeśli ktoś odbierze, na linię wejdzie prawdziwa osoba.
Krok 2 – Informacja: Gdy oszust połączy się z prawdziwą osobą online, udaje, że jest autorytetem, takim jak poborca rachunków, agent ubezpieczeniowy, IRS, administracja zabezpieczenia społecznego, technik naprawy komputerów. Natychmiast zgłaszają problem, taki jak niezapłacony rachunek, aby skłonić ich cel do ujawnienia danych osobowych. Na poniższym zrzucie ekranu możesz zobaczyć wyraźny przykład, ale zastosowana tutaj metoda nazywa się „smishing”.
Źródło obrazu: punkt dowodowy
Krok 3 – Szkoda finansowa: Jeśli oszust pomyślnie uzyska informacje bankowe, może przejść do przelania środków z konta. Jeśli zdobędą informacje o karcie kredytowej, dokonają jak największej liczby zakupów, zanim karta zostanie zablokowana.
Po udanym oszustwie oszust zwykle znika i nigdy więcej o nim nie słychać. Dlatego szanse na złapanie sprawcy i postawienie go w stan oskarżenia są wątpliwe.
Oszustwa Vishing są poważnym zagrożeniem i problemem socjotechniki
Powodem rosnącego sukcesu oszustw Vishing jest zdolność człowieka do popełniania błędów. W końcu to właśnie zdolność perswazji jest powodem, dla którego socjotechnika leży u podstaw wysiłków oszustów. Inżynieria społeczna polega na naśladowaniu zaufanego organu — banku, dostawcy technologii, rządu, pracownika działu pomocy IT — i tworzeniu atmosfery pośpiechu lub niepokoju, która odwołuje wszelkie naturalne poczucie ostrożności lub podejrzeń.
Techniki te są stosowane w wiadomościach phishingowych i fałszywych wiadomościach tekstowych (znanych jako smishing). Jednak Visherowie mają różne narzędzia i taktyki, dzięki którym ich oszustwa są bardziej skuteczne, w tym:
- Narzędzia do fałszowania identyfikatora rozmówcy: mogą być używane do ukrywania rzeczywistej lokalizacji oszusta, a nawet do podszywania się pod numery telefonów zaufanych organizacji.
- Oszustwa wielokanałowe: Smishing wiadomości tekstowe, phishingowe wiadomości e-mail lub wiadomości głosowe, aby zachęcić użytkowników do zadzwonienia pod numer.
- Skrobanie w mediach społecznościowych i badania typu open source: zapewniają oszustom zbiór informacji o ich ofiarach.
Kredyty obrazkowe: WeLiveSecurity (Twitter)
Poniższe statystyki pokazują, dlaczego oszustwa związane z Vishingiem są uważane przez osoby atakujące za lukratywny biznes.
-
W 2018 roku oszukańcze połączenia stanowiły prawie 30% wszystkich przychodzących połączeń komórkowych.
-
Raport Proofpoint o stanie phishingu opublikowany w 2020 r. wykazał, że 25% wszystkich pracowników, którzy wzięli udział w ankiecie, potrafi poprawnie zdefiniować ten termin. Dlatego nie powinno dziwić, że termin ten jest coraz szerzej rozpoznawany.
-
75% ofiar oszustwa potwierdziło, że oszuści posiadali już pewne dane osobowe na ich temat. Wykorzystują te informacje, aby kierować i wyłudzać od nich więcej informacji.
-
Spośród wszystkich zgłoszonych oszustw Vishing z udziałem rządowych oszustów tylko 6% straciło pieniądze.
Taktyki stosowane przez oszustów w celu przyciągnięcia uwagi ofiar
Poniżej przedstawiono niektóre taktyki stosowane przez oszustów, aby zwrócić uwagę ofiary.
-
Numer ubezpieczenia społecznego został naruszony.
-
Konto bankowe zostało oznaczone czerwoną flagą lub zhakowane.
-
Kwalifikuje się do bezpłatnych testów na COVID-19 lub szczepionki.
-
Organizacja charytatywna prosząca o darowiznę na pomoc w przypadku katastrof lub COVID-19.
-
Należy zweryfikować obciążenie karty kredytowej.
-
IRS wykrył rozbieżności w Twoim zeznaniu podatkowym.
-
Twój pojazd kwalifikuje się do rozszerzonej gwarancji.
-
Komputer został naruszony i wymaga usług pomocy technicznej
-
Wydano nakaz aresztowania.
-
Przyjaciel lub członek rodziny potrzebuje pieniędzy, aby wydostać się z kłopotów lub brał udział w wypadku.
-
Wygrałeś darmowe wakacje, loterię lub prezent.
Jak Voice Vishing może wpłynąć na twoją rodzinę?
Ostatecznym celem oszustów jest zarobienie na tobie pieniędzy. Mogą uzyskać dostęp do Twoich kont, kradnąc dane Twojego konta bankowego lub nakłaniając Cię do przekazania Twoich danych osobowych.
Oto kilka typowych oszustw:
Oszustwa związane z pomocą techniczną: w tego typu oszustwach z ofiarami kontaktuje się osoba podszywająca się pod ich dostawcę usług internetowych lub dowolnego dostawcę sprzętu/oprogramowania. Będą udawać, że znaleźli nieistniejący problem z komputerem, a następnie wymuszają płatność (i dane karty), aby go naprawić, czasami pobierając złośliwe oprogramowanie.
Wydzwanianie: Zautomatyzowane wiadomości głosowe są wysyłane do kilku ofiar, aby przestraszyć je, aby oddzwoniły.
Telemarketing: nakłanianie ofiar do zadzwonienia, twierdząc, że wygrały na loterii, wakacje lub inne wspaniałe nagrody.
Phishing/smishing: sfałszowana wiadomość e-mail lub fałszywa wiadomość SMS, która zachęca użytkownika do zadzwonienia pod numer. Dzwoniąc pod ten numer, ofiara zostanie połączona z oszustem vishingowym.
Jak uchronić się przed atakami vishingowymi?
Aby zmniejszyć ryzyko padnięcia ofiarą oszustw vishingowych, możesz zastosować się do kilku podstawowych wskazówek wymienionych poniżej:
- Upewnij się, że Twój numer telefonu to były katalog. Oznacza to, że Twój numer telefonu nie pojawi się w książce telefonicznej, a firma telekomunikacyjna nie przekaże go osobom, które o niego poproszą.
- Wypełniając jakikolwiek formularz online, nie podawaj swojego numeru telefonu.
- Zachowaj ostrożność podczas telefonicznych próśb o informacje bankowe, osobiste lub inne poufne informacje. Nie podawaj tych danych, chyba że masz pewność co do autentyczności osoby po drugiej stronie.
- Nie angażuj ani nie zabawiaj niechcianych rozmówców, zwłaszcza jeśli proszą o potwierdzenie poufnych danych.
- Lepiej nie oddzwaniać na numer pozostawiony przez pocztę głosową, a zamiast tego skontaktować się bezpośrednio z organizacją.
- Używaj uwierzytelniania wieloskładnikowego (MFA) na wszystkich kontach online.
- Upewnij się, że zabezpieczenia poczty e-mail/sieci są zaktualizowane i zacznij korzystać z narzędzi zabezpieczających, takich jak szyfrowane sieci VPN, które zawierają funkcje antyphishingowe.