вишинг и фишинг что это
Чем вишинг отличается от фишинга и как от него защититься
Как мошенники используют для фишинга голосовые звонки, чтобы выманить у жертвы код подтверждения.
Давно ли вам звонил человек из «службы безопасности» какого-нибудь банка и настойчиво предлагал перевести деньги на другой счет во имя безопасности? Если да, то вы столкнулись с вишингом.
Что такое вишинг и почему он так называется
Вишинг (англ. vishing) — это сплав слов «voice» и «phishing», проще говоря, «голосовой фишинг», то есть попытка мошенников обманом выведать у жертвы какие-то конфиденциальные сведения по телефону. Чаще всего это код подтверждения. По аналогии с вишингом существует еще и смишинг, то есть фишинг в коротких сообщениях (sms + фишинг), про него мы недавно рассказывали.
Впрочем, именно вишинг стал одним из антигероев информационной безопасности последнего времени: по данным СМИ, в 2020 году 84% всех попыток мошенников обмануть россиян приходились именно на телефонные разговоры. И хотя успешным оказывается лишь один из ста подобных звонков, в совокупности преступникам удается таким образом ежемесячно выкачивать из своих жертв миллиарды рублей.
Из смешного — иногда мошенники звонят настоящим сотрудникам банков, получается как в том меме: знаете, я и сам своего рода из службы безопасности…
Из совсем несмешного: попасться на удочку мошенников может кто угодно, даже если человеку кажется, что он прекрасно знаком с этой схемой развода. Некоторые «сотрудники» оказываются неплохими психологами, способными втереться в доверие и усыпить бдительность самого внимательного респондента.
Кроме того, мошенники регулярно обновляют свои схемы. Например, после того как фраза про службу безопасности фактически стала мемом, они переключились на другие учреждения. Из последних трендов — звонки от имени государственных структур, например МВД или Центробанка. Вполне вероятно, что когда такая схема тоже устареет, скамеры придумают новую. Так что лучше всегда быть начеку.
Как распознать мошеннические звонки
Красных флагов довольно много, и все они наши «старые знакомые». Если звонок якобы от банка или госорганизации поступил с обычного мобильного номера — скорее всего, это вишинг. Еще подозрительнее, если телефон относится к другому региону.
Если звонящий нагнетает атмосферу срочности и угрозы, на фоне которой пытается выведать у вас конфиденциальную информацию, — наверняка это вишинг. Вообще, попытка выведать что-то конфиденциальное — стопроцентный признак мошенничества: все, что нужно настоящему сотруднику банка, у него обычно уже есть.
Если, упирая на срочность, вас заставляют сделать что-то с деньгами — это точно мошенники. Как правило, речь идет о неком «защищенном счете», который по факту просто принадлежит преступникам. Настоящему банку достаточно просто заблокировать вашу карту, а потом уже разбираться (в отделении, в приложении), что делать со средствами.
Наконец, косвенный, но иногда работающий признак: звонящий путается, оговаривается, употребляет просторечные слова. Мы ничего не имеем против повседневной речи, но общение настоящих операторов с клиентами, как правило, хорошо проработано в специальных сценариях и тщательно отрепетировано.
Как защититься от мошеннических звонков
Если вы поняли, что вас пытаются развести, эффективнее всего просто завершить разговор. В какой-то момент разыгрывание пранков над мошенниками стало отдельным видом досуга, но практического смысла в нем мало. Так что просто вешайте трубку и возвращайтесь к тому, от чего вас отвлек звонок.
Если есть время и желание, можно позвонить в настоящую службу безопасности и рассказать ей об инциденте — чем больше информации там соберут, тем больше шансов, что мошенникам осложнят дальнейшие преступления.
Есть и превентивный метод: установить на телефон специальное приложение для борьбы с нежелательными звонками, такое как Kaspersky Who Calls (есть и для Android, и для iOS). В него встроена актуальная для России, постоянно обновляемая база опасных номеров, так что приложение предупредит о подозрительном звонке и позволит вовсе не сталкиваться с мошенниками.
Меньше таких столкновений — меньше риска, что вас все-таки разведут, и меньше впустую потраченных нервов и времени. Кстати, о менее опасных — но более частых в нашей жизни, к сожалению — спам-звонках Kaspersky Who Calls тоже предупреждает.
Почему работает фишинг и как с ним бороться
Без сомнения, наиболее развитой формой мошенничества в Интернет является фишинг. Попробуем разобраться, почему фишинг получил такое распространение и как от него уберечься
Фишинг-атаки можно назвать преступлением XXI века. Средства массовой информации ежедневно публикуют списки организаций, чьи клиенты подверглись фишинговым атакам. Средства phishing-мошенничества с каждым днем продолжают расти не только количественно, но и качественно. В то время как спам только отвлекает получателей от работы, фишинг зачастую ведет к реальным финансовым потерям. Угроза вполне серьезная, так почему же люди до сих пор не научились ее избегать?
Почему фишинг работает?
Есть масса способов сыграть на доверии пользователя
Причин, по которым онлайн-мошенничество работает, на самом деле достаточно много. Начать следует с того, что преступники достаточно умело играют на психологии своих жертв: есть масса способов обмануть пользователя, и все они идут в ход.
Например, можно заманить его обещанием какой-нибудь халявы — надо ли говорить, что это вполне эффективный вариант, ведь любители «бесплатного сыра» всегда найдутся. Также можно сыграть на ажиотаже, возникшем вокруг какой-то темы. Хорошим примером в этом отношении может служить целая эпидемия сетевого мошенничества, связанная с прошедшим недавно чемпионатом мира по футболу.
Например, летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.
Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал банковского троянца — пробравшись в систему, зловред перехватывал личные данные, прежде всего финансового характера.
Из 600 миллионов зафиксированных «Касперским» попыток захода на фишинговые сайты 22% — поддельные страницы Facebook
Для тех, кому в детстве родители все-таки объяснили, что заманчивым обещаниям незнакомцев доверять не стоит, у фишеров есть другой инструмент — рассылки от лица друзей жертвы. Например, в социальных сетях. По данным «Лаборатории Касперского», в 2013 году у пользователей наших продуктов более 35% всех срабатываний компонента «Антифишинг» пришлось на фишинговые страницы, имитирующие страницы социальных сетей. Из 600 миллионов зафиксированных нами попыток захода пользователей на фишинговые сайты 22% случаев пришлись на страницы, имитирующие Facebook.
Еще один эффективный метод — застать жертву врасплох и запугать. Например, угрозой блокировки учетной записи или даже банковской карты. В связи с этим уместно будет упомянуть «вишинг» (голосовой фишинг, то есть фишинг по телефону). Не всем людям просто сориентироваться и отказать напористому «сотруднику отдела безопасности банка», требующему сообщить данные карточки для предотвращения ее блокировки.
Технически фишинг постоянно совершенствуется
Немалую роль в том, что многие люди становятся жертвами онлайн-мошенников, играет тот факт, что с технической точки зрения инструменты фишинга постоянно изменяются и становятся все более и более изощренными.
Поддельные сайты уже не так легко отличить от настоящих — некоторые из них имеют вполне убедительные адреса, иногда на них даже работает защищенное соединение (HTTPS), причем с подлинными сертификатами. Все большее распространение приобретает мобильный фишинг — в силу технических особенностей смартфонов и планшетов распознать поддельный сайт зачастую сложнее, чем на компьютере или ноутбуке.
При этом следует иметь в виду, что в случае фишинга киберпреступнику совсем не обязательно проникать в систему вашего устройства. Поэтому «врожденной» защиты от фишинга нет ни у одной платформы — это по-настоящему универсальная угроза.
Для преступников это по-настоящему прибыльно
Но в первую очередь популярность фишинга растет потому, что это действительно выгодный вид преступной деятельности. Инструменты существуют и сравнительно легко доступны, охват чрезвычайно широк, в том числе и в социальных сетях (помните — 600 миллионов переходов!), большинство действий фишеров полностью автоматизировано.
Поэтому даже при небольшом проценте попавшихся мошенники могут вполне прилично зарабатывать. Причем, поскольку в большинстве случаев охота идет за банковскими данными, для монетизации даже не надо придумывать какие-то сложные схемы.
Впрочем, фишинг хорошо совмещается и с другими видами интересной деятельности, прекрасно существуя с ними в симбиозе. Через спам вы получаете фишинговое сообщение, позволяющее преступнику получить доступ к вашим контактам и разослать «письмо счастья» дальше. По набранной базе в дальнейшем может быть осуществлена рассылка вредоносного ПО — дальнейшее использование собранного таким образом ботнета может быть совершенно любым.
Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к вашей учетной записи в социальной сети или почтовом сервисе.
Как уберечься от фишинга?
Что предложить пользователям в качестве инструмента противодействия мошенникам? Прежде всего, естественно, здравый смысл.
В первую очередь следует сохранять спокойствие и не поддаваться на провокации — это одинаково полезно и в случае онлайн-мошенничества, и в случае «вишинга». Необходимо как следует проверять все ссылки и сайты, на которые эти ссылки ведут.
Если вы получили подозрительную ссылку от коллеги или друга, прежде чем по ней перейти, стоит убедиться, что на другом конце провода именно тот, кто должен там быть. В случае «вишинга» также полезно помнить о том, что данные, например, банковской карты ни один настоящий сотрудник банка просто не вправе у вас потребовать.
В идеале на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит — лучше набрать адрес вручную. Разумеется, посещение подобных ресурсов должно осуществляться через надежные устройства и сети.
Не забудьте использовать и регулярно обновлять антивирусные продукты, особенно если они представляют вам и антифишинговые решения. Например, модуль «Антифишинг», встроенный в Kaspersky Internet Security, умеет не только сверяться со списком уже известных мошеннических сайтов, но и опознавать потенциально опасные по более чем 200 критериям.
Вишинг, фишинг, смишинг, скиминг: все о сленге карточного мошенника и способах защиты
Если вы только перешагнули порог взрослой жизни и понимаете без гугла, что такое краш, криндж и рофл, то эта статья для вас. Хотя она для вас, не зависимо от вашего возраста, должности и социального статуса. Ведь жертвой мошенников может стать каждый из нас. Сегодня мы пополним ваш словарик такими терминами как вишинг, фишинг, смишинг и скимминг, а также расскажем о том, как вести себя, если одно из этих слов для вас материализовалось.
Очень лакомый онлайн
Фишинг, вишинг и смишинг — это мошеннические схемы, в которых для кражи личных данных с целью дальнейшего взлома банковского аккаунта и незаконного списания средств используются интернет-технологии.
Фишинг – это почти что рыбалка, только «наживкой» является электронное письмо с провокационным содержанием, а «уловом» могут стать ваши деньги.
Итак, в случае с этим популярным видом мошенничества вам приходит электронное письмо, которое на первый взгляд не кажется подозрительным. Цель номер один у такой рассылки – побудить вас перейти по ссылке в письме. Например, для проверки информации о вашем банковском аккаунте или разблокировки карты, которая по непонятным причинам оказалась «заморожена». Электронные письма и фальшивые веб-сайты реалистично имитируют стиль общения и корпоративные сайты банков, используя аналогичные цвета и графику. Шанс клюнуть на удочку – велик.
Чтобы пользователь не раздумывал долго, мошенники пытаются его напугать. В письмах часто используют формулировки, намекающие на то, что у вас могут быть проблемы с доступом к счету или карте, если вы не введете необходимые данные здесь и сейчас.
Мошенники могут запросить номера счетов, логин и пароль от интернет-банкинга, номера дебетовых/кредитных карт, даты истечения срока действия, код cvc – все то, что позволит им быстро списать средства с вашего счета.
Вишинг и схемы, связанные с ним, строятся на телефонных звонках. В конце 2020 и начале 2021 года этот вид мошенничества стал набирать обороты в Беларуси. В ход пошли не только звонки на стационарный или мобильный номер, но и в такие популярные мессенджеры, как Viber и WhatsApp.
В вишинговой схеме может использоваться как робот-автоответчик, так и более «эксклюзивный» вариант с настоящим оператором. Схемы первого типа уже изжили себя, поэтому ставка все чаще делается на живое общение. Мошенники звонят, представляются сотрудниками службы безопасности банка и уведомляют вас, что на ваш счет или карту была совершена хакерская атака. Чтобы предотвратить списание ваших денег, вам предлагается провести нехитрые действия: сообщить 16-значный номер карты и cvc. Также вам может быть предложено установить на ваше устройство – чаще всего на смартфон – специальную «утилиту», которая обеспечит безопасность. Мошенники будут торопить вас и не давать опомниться. Но что действительно повергнет вас в шок, это то, с какой скоростью они спишут у вас деньги, если вы поведетесь на их уловки.
ВАЖНО! При звонке мошенники зачастую не знают, клиентом какого банка вы являетесь. Если они не угадывают с первой попытки, то рассказывают историю, что ваш банк является их банком-партнером и они уполномочены на получение информации. Это первый признак того, что вас пытаются обмануть.
Кроме того, служба безопасности банка не станет звонить вам в мессенджеры и точно не станет спрашивать такие данные, как полный номер карты (только если последние 4 и первые 6 цифр на карте) и cvc.
Смишинг представляет собой разновидность фишинговой атаки, для которой основным инструментом становятся смс оповещения. Сообщение может выглядеть примерно так: «Подписка на платный сервис «Курсы валют онлайн» прошла успешно. С вас будет взиматься 5,99 BYN ежемесячно. Для отказа от сервиса пройдите по ссылке». При переходе по ссылке пользователь попадает на фишинговый сайт, где ему предлагается загрузить программу – троянского коня или ввести данные карты.
Оффлайн мошенники тоже не дремлют
Давно известный, но до сих пор приносящий свои плоды мошенникам скимминг позволяет похитителям личных данных собирать информацию о держателе карты, которую можно использовать для совершения незаконных транзакций. Скимминг, как правило, связан с физическим контактом вашей карты с мошенником. Чтобы украсть деньги с вашего счета, достаточно банальной фотографии карты с двух сторон, которую может сделать официант, отказавшийся принести терминал к столику и забравший вашу карту для проведения платежа.
Скимминговые устройства постоянно эволюционируют. Те, что попроще, могут быть установлены на банкоматах в виде накладок на цифровую панель и служат для рассекречивания пин-кода. Также мошенники могут использовать небольшое устройство для сканирования, которое позволяет им получить информацию с магнитной полосы карты. Ловкость рук: кассир прежде, чем провести картой в настоящем терминале, невзначай проводит ей по этому устройству и ваши данные уходят злоумышленникам. А есть скиммеры тонкие, как платежная карта, и их можно вставлять в банкоматы. Обнаружить такие практически невозможно.
Защита от фишинга, вишинга и других мошеннических схем в ваших руках
Никогда не отвечайте на подозрительные электронные письма или текстовые сообщения, особенно исходящие от людей или компаний, с которыми у вас нет и не было договорных отношений.
Для того, чтобы проверить законность или правдивость того или иного сообщения от имени банка, свяжитесь с ним по официальному номеру телефона, который указан на сайте банка, в договоре или на вашей карте.
При подключении к учетным записям в Интернете, которые содержат вашу личную информацию, возьмите за привычку проверять наличие иконки «замочек» в окне браузера. Его наличие свидетельствует о подключении через защищенные каналы, что является обязательным, особенно при работе со счетами и карточками.
Обращайте внимание на URL. Мошенники не могут точно имитировать URL-адрес сайта банка или другой компании: он будет отличаться на одну букву или содержать в своем названии какой-то дополнительный символ.
Ведите учет сервисов с платными подписками, которыми вы пользуетесь. Если вы получили смишинговое-сообщение от сервиса, на который, как вы думаете, не подписались – скорее всего, никакой подписки не существует. Не обращайте внимания на сообщение.
Обязательно подключите 3D Secure. Это поможет защитить деньги, даже если реквизиты вашей карточки будут скомпрометированы.
Безопасных вам платежей!
Читайте нас в Telegram и Яндекс.Дзен первыми узнавайте о новых статьях!
Что такое вишинг?
Это распространенный сценарий. Кто-то заходит в социальную сеть, нажимает на соблазнительную ссылку и видит перед собой синий экран с предупреждающим сообщением и бесплатным номером телефона, по которому следует позвонить для устранения серьезной проблемы с компьютером.
На звонок отвечает вежливый технический специалист, который готов оказать вам любую помощь. За деньги. После того, как пользователь предоставит информацию о своей кредитной карте для оплаты программного обеспечения, необходимого для решения проблемы с компьютером, мошенническая акция, которая дорого обходится жертве, завершается.
Программное обеспечение не работает, вежливый технический специалист исчезает. А пользователь становится еще одной мошенничества, называемой «вишинг».
Вишинг в скорлупе
Большинство людей слышали о фишинге. Фишинг – это массовые рассылки содержащих заманчивые предложения электронных писем или текстовых сообщений с целью побудить пользователя пройти по ссылке или зайти на сайты с вредоносным ПО. Ссылки могут также отображаться посетителям интернет-страницы, сфера интересов которых потенциально совпадает с тематикой рекламируемого товара либо услуги.
Вишинг – это устная разновидность мошенничества, при которой злоумышленники, используя телефонную коммуникацию, под разными предлогами стимулируют людей к совершению действий якобы в их собственных интересах. Вишинг часто приходит на смену фишингу.
В приведенном выше примере жертва нажала ссылку в заинтересовавшей ее онлайн-рекламе. Вредоносная программа, внедренная в ссылку, заблокировала устройства, и разблокировать его мог только услужливый «технический специалист», с которым нужно было связаться по телефону. Решение проблемы оказалось платной услугой. Конечно, все это было мошеннической схемой, а «компания» технического специалиста была фактическим источником проблемы.
Насколько распространен вишинг?
По данным BBC, в 2015 мошенничество с кредитными картами году стало глобальным бизнесом, принесшим его участникам доход в 16 миллиардов долларов, и доля вишинга в нем составила 1 миллиард долларов. По сути, вишинг начинает действовать в любое время, как только преступники получают доступ к личной информации жертв.
Киберпреступники намеренно создают условия с целью побудить ничего не подозревающих жертв добровольно предоставлять ценные личные данные, такие как полные имена, адреса, номера телефонов и кредитных карт.
Имея на руках эту информацию, киберпреступники могут требовать от пользователей оплаты, например, за якобы ремонт компьютера или за антивирусное ПО, в зависимости от «специализации» мошенников.
Стоит только киберпреступникам получить хоть малую толику информации об интересах пользователя, в дело вступает вишинг. Мошенники используют имеющиеся у них сведения, чтобы создать у пользователя ощущение необходимости срочного решения проблемы, а затем появляются в роли спасителей, предлагая успокаивающим голосом простой выход из положения.
Как распознать вишинг
Иногда людям трудно определить, когда они стали жертвой вишинга. Пользователи часто не понимают, что услужливый человек на другом конце обманом выманивает у них личные данные. Однако есть предупреждающие знаки, которые помогают распознать потенциальное мошенничество.
Во многих случаях звонящие являются самозваными экспертами или специалистами в своих областях. Они могут представляться компьютерными специалистами, банкирами, полицейскими или даже жертвами мошенничества.
Однако, если звонящие действительно те, кем они представляются, то их профессиональную принадлежность нетрудно проверить простым звонком. Если они не смогут или не захотят предоставлять информацию, необходимую для проверки их личности, доверять им нельзя. Но даже если они предоставляют контактную информацию, стоит проверить их легитимность, позвонив по официальному номеру телефона организации.
И хотя мы часто уступаем напористости звонящих, нагнетаемая ими атмосфера необходимости срочного решения проблемы – это огромный красный флаг. Пользователям нужно сделать пару глубоких вдохов, а затем записать всю информацию, которую предоставляет звонящий, не запрашивая никаких подробностей. Кроме того, можно попытаться найти в Интернете общий номер телефона, перезвонить по нему и проверить, является ли данный человек/организация тем, за кого себя выдаёт.
Получателям таких вызовов также не стоит нажимать на ссылки в электронных письмах (фишинг) или SMS-сообщениях в мобильном телефоне (SMiShing). Любая переписка может содержать «перехватчиков», загружающих вредоносное ПО, которое может контролировать компьютерные системы, красть данные пользователей и даже следить за ними.
Если пользователи получают незапрашиваемые звонки с предложением каких-либо компьютерных услуг, не следует перезванивать на тот телефон, с которого им звонили.
Сегодня существует технология, которая позволяет злоумышленникам заблокировать телефонную линию жертвы после окончания разговора, и перенаправлять все следующие звонки пользователя на мошенническое вызывное устройство. Людям, которые считают, что проблема может действительно существовать, следует использовать другой телефон для звонка на официальный номер.
Сообщите о преступлении
Настоящий технический специалист, который устраняет последствия инцидента безопасности на вашем компьютере, всегда настоятельно рекомендует пользователям менять пароли к аккаунтам, уведомлять об инцидентах свои банки и кредитные организации и внимательно отслеживать финансовые транзакции.
Хотя вишинг и его онлайн-брат фишинг в ближайшее время никуда не денутся, бдительность и здоровая доза скептицизма помогут уменьшить риск потерь от этих типов мошенничества.
Как происходят атаки при помощи голосового фишинга
Что такое вишинг?
Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология автоматизированной симуляции голоса, или для упрощения задачи скаммер может использовать персональную информацию о жертве, собранную во время предыдущих кибератак.
Какие бы технологии не использовались, схема атаки следует знакомому нам сценарию социального инжиниринга: нападающий создаёт ситуацию, позволяющую эксплуатировать человеческие чувства, и убеждает жертву раскрыть ценную информацию, например, номера кредитных карт или пароли. В этом смысле техники вишинга повторяют фишинг-атаки, которые используются ещё с 1990-х. Но вишинг-звонки используют тот факт, что мы с большей вероятностью доверимся человеческому голосу, и могут быть нацелены на пожилых или боящихся технологий людей, ведь они наивны и не сталкивались с подобными видами мошенничества.
Статистика по вишингу
Эти внушительные числа помогают нам получить представление о масштабах вишинга и о том, почему он может быть выгодным бизнесом для нападающих.
Вишинг, фишинг, смишинг: в чём разница?
Фишинг — это общий предок всех схем, но, по сути, он заключается в отправке таргетированных сообщений электронной почты с целью обмана получателей. Слово «phish» произносится точно так же, как и пишется, и похоже на слово «fish» — аналогия в том, что удильщик забрасывает крючок с наживкой (фишинговое электронное письмо), надеясь, что жертва клюнет. Это понятие появилось в середине 1990-х в среде хакеров, пытавшихся обманом узнать у пользователей AOL их информацию для входа в систему. «Ph» в начале слова — это часть традиции эксцентричной хакерской орфографии; вероятно, на него повлиял термин «phreaking», ставший сокращением от «phone phreaking» — одного из первых видов хакерства, при котором в телефонную трубку проигрывались звуковые тоны для получения возможности бесплатных телефонных звонков.
Вишинг, по сути, является фишингом через телефонные звонки. Аналогично тому, как фишинг считается разновидностью спама, вишинг стал развитием идеи VoIP-спама, так же известного как спам по телефонии (spam over telephony), или SPIT. Сам термин «вишинг» появился в конце 2000-х.
«Смишинг» (smishing) — это похожий тип атак, при котором вместо электронной почты или голосовых звонков используются текстовые сообщения; термин возник как гибрид «SMS» и «phishing.» Подробнее о смишинге можно узнать в этой статье.
Техники вишинга
Почти все вишинг-атаки имеют одинаковые особенности. Телефонные звонки обычно производятся через сервисы voice over IP (VoIP), что упрощает автоматизацию некоторых или всех частей процесса и усложняет их отслеживание жертвами или органами правопорядка. А конечная цель нападающих — получить от атаки какую-нибудь выгоду, узнав или информацию о банковском счёте, или личные данные, которые можно использовать для доступа к банковским счетам, или любую другую персональную информацию, которой можно воспользоваться или для получения доступа к банковскому счёту, или же убедить жертву заплатить мошенникам напрямую.
Однако во вселенной вишинг-мошенничества существует множество методик и стратегий. Их диапазон простирается от сильно автоматизированных «дробовиковых» (shotgun) атак, нацеленных на много потенциальных жертв в надежде на хотя бы частичный успех, до точечного мошенничества, направленного на конкретную ценную мишень.
Наверно, самый широко распространённый вид вишинга начался с так называемого «wardialing», то есть сотен тысяч автоматизированных звонков на сотни тысяч номеров. Потенциальная жертва (или её голосовая почта) получает аудиозапись, задача которой — напугать жертву или хитростью заставить её совершить телефонный звонок скаммерам. Часто вишеры выдают себя за сотрудников IRS (налогового управления США) или какого-то иного государственного органа, банка или кредитной организации. Wardialing может целенаправленно выбирать телефонный код определённого региона и использовать название местной организации в надежде найти его клиентов.
Одна из разновидностей этой методики использует всплывающие окна на компьютере, часто внедряемые вредоносным кодом для имитации предупреждений ОС о какой-то технической проблеме. Жертве сообщают, что ей необходимо позвонить в «отдел технической поддержки Microsoft» или что-то подобное, указывая телефонный номер. При звонке жертву соединяют с вишером, который во время разговора может использовать сочетание реальных и автоматизированных голосовых ответов. Цель этого, опять-таки, заключается в получении максимальной отдачи малыми усилиями.
Spear vishing
При подобных массовых shotgun-атаках вишеры практически ничего не знают о жертвах, и им приходится блефовать, чтобы убедить в том, что они те, кем представляются; из-за этого их достаточно просто выявить. Однако гораздо более опасными являются вишеры, целью которых являетесь именно вы. Эта методика называется «spear vishing»; как и при spear phishing, для неё требуется, чтобы нападающие уже имели какие-то данные о своей цели. Например, spear-вишер может уже знать ваш домашний адрес и название банка, благодаря чему он проще сможет убедить вас сказать ему свой PIN.
Но откуда они так много о вас знают? «Основная часть таких данных берётся из dark web, куда они часто попадают после утечек данных», — рассказывает CEO Отдела услуг глобальной идентификации и киберзащиты Generali Global Assistance (GGA) Пейдж Шаффер. Поэтому когда вы читаете о крупных утечках данных, то знайте, что они могут сильно упростить вишинг. Может показаться странным, что нападающий, уже знающий вашу личную информацию, стремится узнать больше, однако, как говорит Пейдж, «чем больше информации есть у мошенника, тем больший урон он может нанести. Зачем ему успокаиваться, узнав последние четыре цифры SSN (номера социального страхования, в США часто используемого для идентификации личности вместо паспорта), если потенциально он может убедить вас сообщить остальные пять? Полный SSN позволяет им открывать фальсифицированные кредитные карты, получать займы и выполнять многие другие действия».
Может показаться, что это гораздо более трудоёмко, чем позвонить кому-нибудь через wardialing и представиться сотрудником IRS, и это действительно так. Но большинство людей, особенно жертвы, обладающие высокой ценностью, которые часто являются более образованными и технически подкованными, такие простые попытки мошенничества видят насквозь. Если вознаграждение достаточно велико, то может оказаться так, что трата времени на создание убедительного образа для вытягивания из жертвы информации оправдает себя. «Хакер может терпеливо работать над длительным получением информации от жертвы через фишинговые электронные письма или перехватывая её через вредоносное ПО», — поясняет Шаффер. «Когда spear-вишеры охотятся на крупную „рыбу“, например, генеральных директоров, то мы называем это whaling (охотой на китов)». А с улучшением методик симуляции голоса «китобои» получают всё больше инструментов, имея возможность имитировать конкретных людей, пытаясь обмануть своих жертв.
Примеры вишинга
Пока я не вдавался в подробности конкретных манипуляций, которые вишеры могут применять для получения ваших денег или личной информации. Блог HashedOut разбил их на четыре общие категории:
Телемаркетинговое мошенничество. На самом деле, подобный тип мошенничества появился раньше эпохи вишинга, но теперь заимствует многие его методики. Вишер может совершить вам холодный звонок, ничего не зная вас, и сделать предложение, которое слишком хорошо, чтобы быть правдой: вы выиграли в какой-то лотерее, в которой никогда не участвовали, вам предлагают бесплатный отдых в отеле Marriott, снижение процента по кредитной карте и т.п. Обычно для получения ваших «бесплатных» денег нужно внести авансовый платёж, после чего, разумеется, вы не получаете обещанную приманку.
Выдача себя за сотрудника государственного органа. Распространённый вид мошенничества заключается в заявлении о том, что возникла проблема с компенсациями, которые должна получать жертва, допустим, с выплатами по Medicare или социальному страхованию; предложение «устранить» проблему даёт возможность убедить жертву передать мошеннику личную информацию, например, номер социального страхования и номера банковских счетов. Более агрессивная версия подобной методики заключается в том, что фальшивые «расследователи» IRS заявляют жертвам, что те задолжали налоги и угрожают им штрафами или тюремным заключением. В этом видео показано, как офицер полиции общается с одним из таких мошенников.
Часто подобные виды мошенников требуют от жертвы оплаты подарочными картами Amazon, а затем просят прочитать числа с обратной стороны карты, потому что покупки по картам невозможно отследить. Это верный признак того, что вы имеете дело не с госслужащими!
Мошенничество с техподдержкой. Выше мы немного рассказывали об этом — мошенники могут воспользоваться технической наивностью жертвы и её страхами быть взломанной. Они используют всплывающую рекламу или вредоносное ПО, притворяющиеся предупреждениями операционной системы, чтобы убедить жертв позвонить вишерам. Лаборатория Касперского предупреждает о разновидности такого мошенничества, которое, по сути, является видом ransomware: вредоносное ПО блокирует компьютер, но демонстрирует номер «технической поддержки», по которому добрый «специалист», на самом деле являющийся членом той же группы, установившей malware, починит компьютер за деньги, из-за его жертва считает, что ей действительно помогли.
Вишинг-атаки на банковские счета. Разумеется, святым Граалем для вишера является получение доступа к вашей банковской информации. А если нападающий уже имеет доступ к части ваших личных данных из описанных выше источников, то он может имитировать звонки, которые жертва может ожидать от своего финансового учреждения, и это способно обмануть даже самых проницательных людей. Основатель Panic Inc. Калеб Сассер рассказал Krebs on Security пугающую историю почти успешной вишинговой атаки. Нападающему удалось выполнить спуфинг своего телефонного номера, заменив его на номер банка Сассера Wells Fargo, после чего он заявил, что исследует потенциально мошеннические действия. Так как «банк» предложил прислать новую пластиковую карту, Сассер едва не ввёл в телефон новый PIN, однако в последнюю минуту одумался — если бы он так поступил, то вишеры смогли бы клонировать его карту и свободно её использовать.
Подобные типы мошенников чаще всего охотятся на «китов», отыскивая очень ценные мишени, чтобы быстро обогатиться. Один из вариантов подобного называют «аферой после полудня пятницы» — вишеры звонят инвестиционной компании или другой богатой жертве в самом конце рабочей недели, рассчитывая на то, что отвечающий на звонок человек устал и рассеян, а его бдительность ослаблена.
Как предотвратить вишинг
Если вы хотите распознавать вишинг и избегать его, то мы надеемся, что наша статья поможет вам понять, на что следует обращать внимание. FTC собрала хороший список ключевых пунктов, которые должны знать все:
Если вы хотите сделать проактивные шаги для защиты своей организации, то можно включить в вишинг в программу инструктажа по мерам безопасности. Различные компании предлагают услуги симулируемых платформ вишинга, помогающие обнаружить уязвимые места в поведении сотрудников и продемонстрировать свойства угрозы персоналу.
На правах рекламы
Виртуальные серверы с новейшим железом, защитой от DDoS-атак и огромным выбором операционных систем. Максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe.