Що таке Вішінг? Поради щодо виявлення та уникнення голосового шахрайства
Від крадіжки особистих даних щорічно страждають понад 14 мільйонів американців і коштують споживачам понад 1,7 мільярда доларів. Існує кілька методів отримання особистої інформації, і один із них — «Вішінг».
Вішинг — це телефонне шахрайство, в якому шахрай намагається вимагати особисту інформацію або гроші у жертви. Слово «вішинг» є комбінацією «голос» і «фішинг », що означає, що шахрай намагається обманом змусити жертву розкрити її конфіденційну інформацію, таку як імена користувачів, паролі або дані кредитної картки, або завантажити шкідливе програмне забезпечення на свої пристрої.
Перший етап цієї атаки зосереджується на перевірці, чи активний номер телефону. Що стосується другого етапу, то напад стає більш персоналізованим залежно від жертви.
Типова спроба вішінгу відбувається за схемою:
Крок 1 – Ціль: шахраї телефонують кільком людям одночасно. Якщо хтось відповідає, на лінію виходить реальна людина.
Крок 2 – Інформація. Після того, як шахраї пов'язані з реальною людиною в Інтернеті, вони видають себе за авторитетну фігуру, наприклад, інкасатор, страховий агент, IRS, адміністрація соціального захисту, технік з ремонту комп’ютерів тощо. Вони негайно піднімають проблему, наприклад, неоплачений рахунок, щоб змусити свою ціль відмовитися від особистої інформації. На скріншоті нижче ви можете побачити наочний приклад цього, але метод, який використовується тут, називається «смішування».
Авторство зображення: Proof Point
Крок 3 – Фінансова шкода: якщо шахрай успішно отримує банківську інформацію, він може перейти до переказу коштів з рахунку. Якщо вони отримають інформацію про кредитну картку, вони зроблять якомога більше покупок, перш ніж картку буде заблоковано.
Після успішного шахрайства шахрай зазвичай зникає, і його більше ніколи не чують. Тому шанси зловити винного та притягнути до відповідальності сумнівні.
Причиною зростання успіху шахрайства Vishing є здатність людини робити помилки. Зрештою, саме вміння переконати саме тому, чому соціальна інженерія лежить в основі зусиль шахраїв. Соціальна інженерія полягає в імітації авторитету, якому довіряють – вашого банку, постачальника технологій, уряду, працівника служби підтримки ІТ – і створення середовища терміновості або тривоги, яке позбавляє будь-якого природного відчуття обережності чи підозр.
Ці методи застосовуються у фішингових електронних листах та підроблених текстових повідомленнях (відомих як smishing). Однак у Vishers є різні інструменти та тактики, щоб зробити свої шахрайства більш успішними, зокрема:
- Інструменти для підробки ідентифікатора абонента: можна використовувати, щоб приховати справжнє місцезнаходження шахрая і навіть видавати себе за номери телефонів надійних організацій.
- Багатоканальне шахрайство: шахрайські текстові повідомлення, фішингові або голосові повідомлення, щоб спонукати користувачів зателефонувати на номер.
- Збір соціальних мереж і дослідження з відкритим кодом: надає шахраю запас інформації про їхніх жертв.
Автори зображень: WeLiveSecurity (Twitter)
Наступні статистичні дані показують, чому зловмисники вважають шахрайство Vishing прибутковим бізнесом.
-
У 2018 році шахрайські дзвінки становили майже 30% усіх вхідних дзвінків на мобільний телефон.
-
Звіт Proofpoint про стан фішингу, опублікований у 2020 році, показав, що 25% усіх працівників, які брали участь в опитуванні, могли правильно визначити цей термін. Тому не дивно, що цей термін набуває більшого визнання.
-
75% жертв шахраїв підтвердили, що шахраї вже мали деяку особисту інформацію про них. Вони використовують цю інформацію для націлювання та вимагання від них додаткової інформації.
-
Із загальної кількості шахрайств з боку Вішінгу за участю урядових самозванців, про які повідомлялося, лише 6% втратили гроші.
Тактика, яку використовують шахраї, щоб привернути увагу жертв
Нижче наведено деякі тактики, які використовують шахраї, щоб привернути увагу своєї жертви.
-
Номер соціального страхування зламано.
-
Банківський рахунок позначено червоним прапорцем або зламано.
-
Ви можете пройти безкоштовне тестування на COVID-19 або вакцину.
-
Благодійна організація, яка просить зробити пожертву на допомогу в разі стихійного лиха або підтримку COVID-19.
-
Плату кредитної картки потрібно підтвердити.
-
IRS виявила розбіжності у вашій податковій декларації.
-
Ваш автомобіль відповідає вимогам розширеної гарантії.
-
Комп’ютер зламано і потребує служби технічної підтримки
-
Видано ордер на ваш арешт.
-
Другу або члену сім’ї потрібні гроші, щоб вибратися з неприємностей або потрапив в аварію.
-
Ви виграли безкоштовну відпустку, лотерею або подарунок.
Як голос вішінг може вплинути на вашу родину?
Кінцева мета вишукування шахраїв — заробити на вас гроші. Вони можуть отримати доступ до ваших рахунків, або вкравши дані вашого банківського рахунку, або обманом змусивши вас передати вашу особисту інформацію.
Ось кілька типових шахрайств:
Шахрайство з технічною підтримкою. У цих типах шахрайства з жертвами зв’язується хтось, який видає себе за їхнього постачальника послуг Інтернету чи будь-якого постачальника апаратного чи програмного забезпечення. Вони будуть робити вигляд, ніби виявили неіснуючі проблеми з вашим комп’ютером, а потім вимагають платіж (і дані вашої картки), щоб виправити її, іноді завантажуючи шкідливе програмне забезпечення.
Бойовий набір: автоматичні повідомлення голосової пошти надсилаються кільком жертвам, щоб налякати їх і передзвонити.
Телемаркетинг: спонукання жертв телефонувати, стверджуючи, що вони виграли в лотерею, відпустку чи інші казкові призи.
Фішинг/смішинг: підроблені електронні листи або фальшиві SMS, які спонукають користувача зателефонувати на номер. Зателефонувавши за номером, потерпілого зв'яжуть з шахраєм-вішингом.
Як уберегтися від атак вішінгів?
Щоб зменшити ймовірність постраждати від шахрайства Vishing, ви можете дотримуватися кількох основних порад, зазначених нижче:
- Переконайтеся, що ваш номер телефону є колишнім довідником. Це означає, що ваш номер телефону не з’явиться в телефонному довіднику, і телефонна компанія не дасть його людям, які його просять.
- Заповнюючи будь-яку онлайн-форму, не вводьте свій номер телефону.
- Будьте обережні з будь-якими запитами щодо вашої банківської, особистої чи іншої конфіденційної інформації по телефону. Не роздавайте ці дані, якщо ви не впевнені в справжності особи на іншому кінці.
- Не залучайте та не розважайте будь-яких небажаних абонентів, особливо якщо вони просять підтвердити конфіденційні дані.
- Краще не передзвонювати на номер, залишений через голосову пошту, а звернутись безпосередньо до організації.
- Використовуйте багатофакторну автентифікацію (MFA) для всіх онлайн-рахунків.
- Переконайтеся, що ваша електронна пошта/безпека в Інтернеті оновлена, і почніть використовувати засоби безпеки, такі як зашифровані VPN, які включають засоби захисту від фішингу.