Голосовой фишинг что это
Чем вишинг отличается от фишинга и как от него защититься
Как мошенники используют для фишинга голосовые звонки, чтобы выманить у жертвы код подтверждения.
Давно ли вам звонил человек из «службы безопасности» какого-нибудь банка и настойчиво предлагал перевести деньги на другой счет во имя безопасности? Если да, то вы столкнулись с вишингом.
Что такое вишинг и почему он так называется
Вишинг (англ. vishing) — это сплав слов «voice» и «phishing», проще говоря, «голосовой фишинг», то есть попытка мошенников обманом выведать у жертвы какие-то конфиденциальные сведения по телефону. Чаще всего это код подтверждения. По аналогии с вишингом существует еще и смишинг, то есть фишинг в коротких сообщениях (sms + фишинг), про него мы недавно рассказывали.
Впрочем, именно вишинг стал одним из антигероев информационной безопасности последнего времени: по данным СМИ, в 2020 году 84% всех попыток мошенников обмануть россиян приходились именно на телефонные разговоры. И хотя успешным оказывается лишь один из ста подобных звонков, в совокупности преступникам удается таким образом ежемесячно выкачивать из своих жертв миллиарды рублей.
Из смешного — иногда мошенники звонят настоящим сотрудникам банков, получается как в том меме: знаете, я и сам своего рода из службы безопасности…
Из совсем несмешного: попасться на удочку мошенников может кто угодно, даже если человеку кажется, что он прекрасно знаком с этой схемой развода. Некоторые «сотрудники» оказываются неплохими психологами, способными втереться в доверие и усыпить бдительность самого внимательного респондента.
Кроме того, мошенники регулярно обновляют свои схемы. Например, после того как фраза про службу безопасности фактически стала мемом, они переключились на другие учреждения. Из последних трендов — звонки от имени государственных структур, например МВД или Центробанка. Вполне вероятно, что когда такая схема тоже устареет, скамеры придумают новую. Так что лучше всегда быть начеку.
Как распознать мошеннические звонки
Красных флагов довольно много, и все они наши «старые знакомые». Если звонок якобы от банка или госорганизации поступил с обычного мобильного номера — скорее всего, это вишинг. Еще подозрительнее, если телефон относится к другому региону.
Если звонящий нагнетает атмосферу срочности и угрозы, на фоне которой пытается выведать у вас конфиденциальную информацию, — наверняка это вишинг. Вообще, попытка выведать что-то конфиденциальное — стопроцентный признак мошенничества: все, что нужно настоящему сотруднику банка, у него обычно уже есть.
Если, упирая на срочность, вас заставляют сделать что-то с деньгами — это точно мошенники. Как правило, речь идет о неком «защищенном счете», который по факту просто принадлежит преступникам. Настоящему банку достаточно просто заблокировать вашу карту, а потом уже разбираться (в отделении, в приложении), что делать со средствами.
Наконец, косвенный, но иногда работающий признак: звонящий путается, оговаривается, употребляет просторечные слова. Мы ничего не имеем против повседневной речи, но общение настоящих операторов с клиентами, как правило, хорошо проработано в специальных сценариях и тщательно отрепетировано.
Как защититься от мошеннических звонков
Если вы поняли, что вас пытаются развести, эффективнее всего просто завершить разговор. В какой-то момент разыгрывание пранков над мошенниками стало отдельным видом досуга, но практического смысла в нем мало. Так что просто вешайте трубку и возвращайтесь к тому, от чего вас отвлек звонок.
Если есть время и желание, можно позвонить в настоящую службу безопасности и рассказать ей об инциденте — чем больше информации там соберут, тем больше шансов, что мошенникам осложнят дальнейшие преступления.
Есть и превентивный метод: установить на телефон специальное приложение для борьбы с нежелательными звонками, такое как Kaspersky Who Calls (есть и для Android, и для iOS). В него встроена актуальная для России, постоянно обновляемая база опасных номеров, так что приложение предупредит о подозрительном звонке и позволит вовсе не сталкиваться с мошенниками.
Меньше таких столкновений — меньше риска, что вас все-таки разведут, и меньше впустую потраченных нервов и времени. Кстати, о менее опасных — но более частых в нашей жизни, к сожалению — спам-звонках Kaspersky Who Calls тоже предупреждает.
11 типов фишинга и их примеры из реальной жизни
Фишинг – это тип кибер-преступления, при котором преступники выдают себя за надежный источник в Интернете, чтобы вынудить жертву передать им личную информацию (например, имя пользователя, пароль номер банковской карты и пр.).
Фишинговая атака может принимать различные формы, и хотя она часто происходит по электронной почте, существует множество различных методов, которые мошенники используют для выполнения своих схем. Это особенно актуально сегодня, когда фишинг продолжает развиваться, порой удивляя своей изощренностью и степенью распространенности. Хотя целью любого фишингового мошенничества всегда является кража личной информации, существует множество различных видов фишинга, о которых вы должны знать.
1. Почтовый фишинг
Возможно, будучи самым распространенным типом фишинга, он зачастую использует технику «spray and pray», благодаря которой хакеры выдают себя за некую легитимную личность или организацию, отправляя массовые электронные письма на все имеющиеся у них адреса электронной почты.
Такие письма содержат характер срочности, например, сообщая получателю, что его личный счет был взломан, а потому он должен немедленно ответить. Их цель заключается в том, чтобы своей срочностью вызвать необдуманное, но определенное действие от жертвы, например, нажать на вредоносную ссылку, которая ведет на поддельную страницу авторизации. Там, введя свои регистрационные данные, жертва, к сожалению, фактически передает свою личную информацию прямо в руки мошенника.
Пример почтового фишинга
The Daily Swig сообщила о фишинговой атаке, произошедшей в декабре 2020 года на американского поставщика медицинских услуг Elara Caring, которая произошла после несанкционированного компьютерного вторжения, нацеленного на двух его сотрудников. Злоумышленник получил доступ к электронной почте сотрудников, в результате чего были раскрыты личные данные более 100 000 пожилых пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования, номера водительских прав и страховую информацию. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью остановить утечку данных.
2. Spear Phishing (спеарфишинг или целевой фишинг)
Вместо того чтобы использовать технику «spray and pray», как описано выше, спеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.
Пример спеарфишинга
Armorblox сообщила о спеарфишинговой атаке в сентябре 2019 года против руководителя компании, названной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы.
3. Whaling (уэйлинг)
Whaling (уэйлинг) очень похож на spear phishing (спеарфишинг), но вместо того, чтобы преследовать любого сотрудника в компании, мошенники специально нацеливаются на руководителей (или «крупную рыбу», отсюда и термин «уэйлинг», что в переводе с английского языка означает «китобойный промысел»). К таким сотрудникам относятся генеральный директор, финансовый директор или любой руководитель высокого уровня, имеющий доступ к более конфиденциальным данным, чем сотрудники более низкого уровня. Часто эти электронные письма используют ситуацию, способную оказать на таких руководителей серьезное давление, чтобы «зацепить» своих потенциальных жертв, например, передавая информацию о поданном против компании судебном иске. Такое письмо побуждает получателя перейти по вредоносной ссылке или к зараженному вложению для получения дополнительной подробной информации.
Пример уэйлинга
В ноябре 2020 года Tessian сообщил о уэйлинг-атаке на соучредителя австралийского хедж-фонда Levitas Capital. Соучредитель получил электронное письмо, содержащее поддельную ссылку в Zoom, которая внедрила вредоносное ПО в корпоративную сеть хедж-фонда и почти привела к уводу 8,7 миллиона долларов США на счета мошенников. В конечном счете злоумышленник смог заполучить только лишь 800 000 долларов США, однако последовавший за этим репутационный ущерб привел к потере крупнейшего клиента хедж-фонда, что вынудило его закрыться навсегда.
4. Smishing (смишинг)
SMS-фишинг, или smishing (смишинг), для проведения фишинговой атаки использует текстовые сообщения, а не электронную почту. Принцип действия такой же, как и при осуществлении фишинговых атак по электронной почте: злоумышленник отправляет текстовое сообщение от, казалось бы, легитимного отправителя (например, заслуживающая доверия компания), которое содержит вредоносную ссылку. Ссылка может быть замаскирована под код купона (скидка 20% на ваш следующий заказ!) или предложение выиграть что-то вроде билетов на концерт.
Пример смишинга
В сентябре 2020 года Tripwire сообщила о смишинг-кампании, в рамках которой в качестве маскировки использовалась американская почтовая служба United States Post Office (USPS). Злоумышленники рассылали SMS-сообщения, информирующие получателей о необходимости перейти по ссылке для просмотра важной информации о предстоящей доставке USPS. Вредоносная ссылка фактически приводила жертв на различные веб-страницы, предназначенные для кражи учетных данных посетителей аккаунта Google.
5. Vishing (вишинг)
Vishing (вишинг), иначе известный как voice phishing (голосовой фишинг), похож на смишинг в том, что телефон используется в качестве средства для атаки, но вместо того, чтобы использовать текстовые сообщения, атака проводится с помощью телефонного звонка. Вишинг-звонок часто передает автоматическое голосовое сообщение якобы от легитимной организации (например, ваш банк или государственное учреждение).
Злоумышленники могут заявить, что вы задолжали большую сумму денег, срок действия вашей автостраховки истек или ваша кредитная карта имеет подозрительную активность, которую необходимо немедленно исправить. В этот момент жертве обычно говорят, что она должна предоставить личную информацию, такую как учетные данные кредитной карты или номер социального страхования, чтобы подтвердить свою личность, прежде чем получить дополнительную информацию и предпринять какие-либо действия.
Пример вишинга
В сентябре 2020 года медицинская организация Spectrum Health System сообщила о вишинг-атаке, в рамках которой пациенты получали телефонные звонки от лиц, маскирующихся под ее сотрудников. Злоумышленники намеревались извлечь персональные данные пациентов и членов Spectrum Health, включая идентификационные номера членов и другие личные медицинские данные, связанные с их учетными записями. Spectrum Health сообщила, что злоумышленники использовали такие меры, как лесть или даже угрозы, чтобы заставить жертв передать свои данные, деньги или доступ к их личным устройствам.
6. Business Email Compromise (BCO, CEO-мошенничество, компрометация корпоративной электронной почты)
CEO-мошенничество – это форма фишинга, при которой злоумышленник получает доступ к учетной записи электронной почты высокопоставленного руководителя (например, генерального директора). Имея в своем распоряжении скомпрометированный аккаунт, кибер-преступник, выдавая себя за генерального директора, отправляет электронные письма сотрудникам организации с целью осуществить мошеннический банковский перевод или провести ряд других незаконных действий.
Пример CEO-мошенничества
Инки сообщила о CEO-мошенничестве против австрийской аэрокосмической компании FACC в 2019 году. В рамках той атаки бухгалтер компании получил письмо якобы от генерального директора FACC. В письме содержалась информация о требуемом финансировании нового проекта, и бухгалтер неосознанно перевел 61 миллион долларов на мошеннические иностранные счета.
7. Clone Phishing (клон-фишинг)
Если вы когда-либо получали законное электронное письмо от легитимной компании, а спустя какое-то время получали, казалось бы, то же самое сообщение, то вы стали свидетелем клон-фишинга в действии. Этот метод фишинга работает путем создания вредоносной копии недавно полученного сообщения от легитимного отправителя, которое якобы направляется повторно от, казалось бы, этого же легитимного отправителя. Любые ссылки или вложения из исходного письма заменяются вредоносными. Злоумышленники обычно используют предлог повторной отправки сообщения из-за того, что в первоначальном письме были указаны неверные ссылки или вложения.
Примеры клон-фишинга
Один из специалистов по информационной безопасности продемонстрировал возможность перехода по ссылке из электронного письма на поддельный веб-сайт, у которого в адресной строке браузера, казалось бы, показывается правильный URL, но на самом деле для обмана пользователей в нем используются символы, которые очень похожи на законное доменное имя. Всегда открывайте веб-сайты из собственных закладок или самостоятельно набирая URL-адрес в адресной строке вашего браузера, и никогда не переходите по ссылке из неожиданного или подозрительного письма (даже если оно кажется легитимным).
8. Evil Twin Phishing (фишинг-атака «злой двойник»)
Тип фишинговой атаки Evil Twin («злой двойник») включает в себя создание копии легитимной сети WiFi, которая на самом деле заманивает жертв, подключающихся к ней, на специальный фишинговый сайт. Как только жертвы попадают на этот сайт, им обычно предлагается ввести свои личные данные, такие как учетные данные для входа, которые затем передаются непосредственно хакеру. Как только хакер получит эти данные, он сможет войти в сеть, взять ее под контроль, отслеживать незашифрованный трафик и находить способы кражи конфиденциальной информации и данных.
Пример фишинга Evil Twin («злой двойник»)
В сентябре 2020 года Nextgov сообщила о нарушении данных в системах Министерства внутренних дел США. Хакеры использовали атаку типа Evil Twin («злой двойник»), чтобы украсть уникальные учетные данные и получить доступ к WiFi-сетям министерства. Дальнейшее расследование показало, что министерство не работало в рамках защищенной инфраструктуры беспроводной сети, а сетевая политика не обеспечивала строгие меры аутентификации пользователей, периодическую проверку сетевой безопасности или мониторинг сети для обнаружения и управления распространенными атаками.
9. Фишинг в социальных сетях
Фишинг в социальных сетях подразумевает использование Facebook, Instagram и Twitter, чтобы получить конфиденциальные данные жертв или заманить их нажать на определенные вредоносные ссылки. Хакеры могут создавать поддельные аккаунты, выдавая себя за кого-то из знакомых жертвы, чтобы заманить ее в свою ловушку, или они могут даже выдавать себя за аккаунт службы обслуживания клиентов известной компании, чтобы охотиться на жертв, которые обращаются в эту компанию за поддержкой.
Пример фишинга в социальных сетях
В августе 2019 года Fstoppers сообщила о фишинговой кампании, запущенной в Instagram, в рамках которой мошенники отправляли личные сообщения пользователям Instagram, предупреждая их о нарушении авторских прав на изображения и требуя, чтобы они заполнили специальную форму во избежание блокировки своего аккаунта.
Одна из жертв получила личное сообщение от якобы официального аккаунта North Face, в котором утверждалось о нарушении авторских прав. Жертва перешла по ссылке в сообщении на, казалось бы, легитимный сайт InstagramHelpNotice.com, где пользователя попросили ввести свои регистрационные данные для входа. Жертва, попавшая в ловушку, в конечном счете предоставила хакерам доступ к информации о своем аккаунте и другим личным данным, связанным с ее аккаунтом в Instagram.
10. Фишинг в поисковых системах
При использовании фишинга в поисковых системах хакеры создают свой собственный веб-сайт и индексируют его в легитимных поисковых системах. Эти сайты часто предлагают дешевые товары и невероятно заманчивые предложения, пытающиеся заманить ничего не подозревающих онлайн-покупателей, которые видят сайт на странице результатов поиска в Google или в других поисковиках. Если жертва нажимает в поисковике на ссылку для перехода на такой сайт, то, как правило, предлагается зарегистрировать аккаунт или ввести информацию о своем банковском счете для завершения покупки. Конечно, мошенники затем крадут эти личные данные, чтобы использовать их для извлечения финансовой выгоды в дальнейшем.
Пример фишинга в поисковых системах
В 2020 году Google сообщил, что ежедневно обнаруживается 25 миллиардов спам-сайтов и фишинговых веб-страниц. Кроме того, Wandera сообщила в 2020 году, что каждые 20 секунд запускается новый фишинговый сайт. Это означает, что каждую минуту в поисковых системах появляются три новых фишинговых сайта!
11. Pharming (фарминг)
Pharming (фарминг) – это сочетание слов «фишинг» (phishing) и «фарм» (farm). В рамках данного типа фишинга хакеры, нацеливаясь на DNS-серверы (серверы доменных имен), перенаправляют пользователей, которые пытаются открыть какие-нибудь легитимные сайты, на вредоносные веб-сайты. DNS-серверы существуют для того, чтобы направлять запрос на открытие конкретного веб-сайта на соответствующий IP-адрес сервера, где этот сайт размещен. Хакеры, занимающиеся фармингом, часто нацеливаются на DNS-серверы, чтобы изменить хранящиеся на них сведения об IP-адресах и доменах и перенаправить жертв на мошеннические веб-сайты с поддельными IP-адресами. Когда при обработке веб-запросов пользователей используется такой взломанный DNS-сервер, то их данные становятся уязвимыми для кражи хакером.
Пример фарминга
Secure List сообщил о фарминг-атаке на добровольческую гуманитарную кампанию, запущенную в Венесуэле в 2019 году. В рамках этой кампании существовал веб-сайт, на котором волонтеры могли зарегистрироваться для участия в гуманитарной акции, и сайт просил их предоставить такие их персональные данные, как имя, удостоверение личности, номер мобильного телефона, их домашний адрес и многое другое.
Через несколько дней после запуска сайта появился практически идентичный сайт с похожим доменом. Хакер создал этот поддельный домен, используя тот же IP-адрес, что и исходный веб-сайт. Всякий раз, когда волонтер открывал подлинный веб-сайт, любые личные данные, которые он вводил, фильтровались на поддельный веб-сайт, что приводило к краже данных тысяч добровольцев.
Советы по обнаружению и предотвращению фишинговых атак
Один из лучших способов защитить себя от фишинговой атаки – это изучить примеры фишинга в действии и понимать, что нужно искать при попытке обнаружить фишинговую атаку и что нужно предпринять для предотвращения атаки. Ниже представлены основные признаки, которые позволят вам выявить потенциальную фишинговую атаку:
Следующая лучшая линия защиты от всех видов фишинговых атак и кибер-атак в целом – это использование надежного антивируса. По крайней мере, вы можете воспользоваться преимуществами бесплатного антивируса, чтобы лучше защитить себя от онлайн-преступников и сохранить ваши личные данные в безопасности.
Как происходят атаки при помощи голосового фишинга
Что такое вишинг?
Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология автоматизированной симуляции голоса, или для упрощения задачи скаммер может использовать персональную информацию о жертве, собранную во время предыдущих кибератак.
Какие бы технологии не использовались, схема атаки следует знакомому нам сценарию социального инжиниринга: нападающий создаёт ситуацию, позволяющую эксплуатировать человеческие чувства, и убеждает жертву раскрыть ценную информацию, например, номера кредитных карт или пароли. В этом смысле техники вишинга повторяют фишинг-атаки, которые используются ещё с 1990-х. Но вишинг-звонки используют тот факт, что мы с большей вероятностью доверимся человеческому голосу, и могут быть нацелены на пожилых или боящихся технологий людей, ведь они наивны и не сталкивались с подобными видами мошенничества.
Статистика по вишингу
Эти внушительные числа помогают нам получить представление о масштабах вишинга и о том, почему он может быть выгодным бизнесом для нападающих.
Вишинг, фишинг, смишинг: в чём разница?
Фишинг — это общий предок всех схем, но, по сути, он заключается в отправке таргетированных сообщений электронной почты с целью обмана получателей. Слово «phish» произносится точно так же, как и пишется, и похоже на слово «fish» — аналогия в том, что удильщик забрасывает крючок с наживкой (фишинговое электронное письмо), надеясь, что жертва клюнет. Это понятие появилось в середине 1990-х в среде хакеров, пытавшихся обманом узнать у пользователей AOL их информацию для входа в систему. «Ph» в начале слова — это часть традиции эксцентричной хакерской орфографии; вероятно, на него повлиял термин «phreaking», ставший сокращением от «phone phreaking» — одного из первых видов хакерства, при котором в телефонную трубку проигрывались звуковые тоны для получения возможности бесплатных телефонных звонков.
Вишинг, по сути, является фишингом через телефонные звонки. Аналогично тому, как фишинг считается разновидностью спама, вишинг стал развитием идеи VoIP-спама, так же известного как спам по телефонии (spam over telephony), или SPIT. Сам термин «вишинг» появился в конце 2000-х.
«Смишинг» (smishing) — это похожий тип атак, при котором вместо электронной почты или голосовых звонков используются текстовые сообщения; термин возник как гибрид «SMS» и «phishing.» Подробнее о смишинге можно узнать в этой статье.
Техники вишинга
Почти все вишинг-атаки имеют одинаковые особенности. Телефонные звонки обычно производятся через сервисы voice over IP (VoIP), что упрощает автоматизацию некоторых или всех частей процесса и усложняет их отслеживание жертвами или органами правопорядка. А конечная цель нападающих — получить от атаки какую-нибудь выгоду, узнав или информацию о банковском счёте, или личные данные, которые можно использовать для доступа к банковским счетам, или любую другую персональную информацию, которой можно воспользоваться или для получения доступа к банковскому счёту, или же убедить жертву заплатить мошенникам напрямую.
Однако во вселенной вишинг-мошенничества существует множество методик и стратегий. Их диапазон простирается от сильно автоматизированных «дробовиковых» (shotgun) атак, нацеленных на много потенциальных жертв в надежде на хотя бы частичный успех, до точечного мошенничества, направленного на конкретную ценную мишень.
Наверно, самый широко распространённый вид вишинга начался с так называемого «wardialing», то есть сотен тысяч автоматизированных звонков на сотни тысяч номеров. Потенциальная жертва (или её голосовая почта) получает аудиозапись, задача которой — напугать жертву или хитростью заставить её совершить телефонный звонок скаммерам. Часто вишеры выдают себя за сотрудников IRS (налогового управления США) или какого-то иного государственного органа, банка или кредитной организации. Wardialing может целенаправленно выбирать телефонный код определённого региона и использовать название местной организации в надежде найти его клиентов.
Одна из разновидностей этой методики использует всплывающие окна на компьютере, часто внедряемые вредоносным кодом для имитации предупреждений ОС о какой-то технической проблеме. Жертве сообщают, что ей необходимо позвонить в «отдел технической поддержки Microsoft» или что-то подобное, указывая телефонный номер. При звонке жертву соединяют с вишером, который во время разговора может использовать сочетание реальных и автоматизированных голосовых ответов. Цель этого, опять-таки, заключается в получении максимальной отдачи малыми усилиями.
Spear vishing
При подобных массовых shotgun-атаках вишеры практически ничего не знают о жертвах, и им приходится блефовать, чтобы убедить в том, что они те, кем представляются; из-за этого их достаточно просто выявить. Однако гораздо более опасными являются вишеры, целью которых являетесь именно вы. Эта методика называется «spear vishing»; как и при spear phishing, для неё требуется, чтобы нападающие уже имели какие-то данные о своей цели. Например, spear-вишер может уже знать ваш домашний адрес и название банка, благодаря чему он проще сможет убедить вас сказать ему свой PIN.
Но откуда они так много о вас знают? «Основная часть таких данных берётся из dark web, куда они часто попадают после утечек данных», — рассказывает CEO Отдела услуг глобальной идентификации и киберзащиты Generali Global Assistance (GGA) Пейдж Шаффер. Поэтому когда вы читаете о крупных утечках данных, то знайте, что они могут сильно упростить вишинг. Может показаться странным, что нападающий, уже знающий вашу личную информацию, стремится узнать больше, однако, как говорит Пейдж, «чем больше информации есть у мошенника, тем больший урон он может нанести. Зачем ему успокаиваться, узнав последние четыре цифры SSN (номера социального страхования, в США часто используемого для идентификации личности вместо паспорта), если потенциально он может убедить вас сообщить остальные пять? Полный SSN позволяет им открывать фальсифицированные кредитные карты, получать займы и выполнять многие другие действия».
Может показаться, что это гораздо более трудоёмко, чем позвонить кому-нибудь через wardialing и представиться сотрудником IRS, и это действительно так. Но большинство людей, особенно жертвы, обладающие высокой ценностью, которые часто являются более образованными и технически подкованными, такие простые попытки мошенничества видят насквозь. Если вознаграждение достаточно велико, то может оказаться так, что трата времени на создание убедительного образа для вытягивания из жертвы информации оправдает себя. «Хакер может терпеливо работать над длительным получением информации от жертвы через фишинговые электронные письма или перехватывая её через вредоносное ПО», — поясняет Шаффер. «Когда spear-вишеры охотятся на крупную „рыбу“, например, генеральных директоров, то мы называем это whaling (охотой на китов)». А с улучшением методик симуляции голоса «китобои» получают всё больше инструментов, имея возможность имитировать конкретных людей, пытаясь обмануть своих жертв.
Примеры вишинга
Пока я не вдавался в подробности конкретных манипуляций, которые вишеры могут применять для получения ваших денег или личной информации. Блог HashedOut разбил их на четыре общие категории:
Телемаркетинговое мошенничество. На самом деле, подобный тип мошенничества появился раньше эпохи вишинга, но теперь заимствует многие его методики. Вишер может совершить вам холодный звонок, ничего не зная вас, и сделать предложение, которое слишком хорошо, чтобы быть правдой: вы выиграли в какой-то лотерее, в которой никогда не участвовали, вам предлагают бесплатный отдых в отеле Marriott, снижение процента по кредитной карте и т.п. Обычно для получения ваших «бесплатных» денег нужно внести авансовый платёж, после чего, разумеется, вы не получаете обещанную приманку.
Выдача себя за сотрудника государственного органа. Распространённый вид мошенничества заключается в заявлении о том, что возникла проблема с компенсациями, которые должна получать жертва, допустим, с выплатами по Medicare или социальному страхованию; предложение «устранить» проблему даёт возможность убедить жертву передать мошеннику личную информацию, например, номер социального страхования и номера банковских счетов. Более агрессивная версия подобной методики заключается в том, что фальшивые «расследователи» IRS заявляют жертвам, что те задолжали налоги и угрожают им штрафами или тюремным заключением. В этом видео показано, как офицер полиции общается с одним из таких мошенников.
Часто подобные виды мошенников требуют от жертвы оплаты подарочными картами Amazon, а затем просят прочитать числа с обратной стороны карты, потому что покупки по картам невозможно отследить. Это верный признак того, что вы имеете дело не с госслужащими!
Мошенничество с техподдержкой. Выше мы немного рассказывали об этом — мошенники могут воспользоваться технической наивностью жертвы и её страхами быть взломанной. Они используют всплывающую рекламу или вредоносное ПО, притворяющиеся предупреждениями операционной системы, чтобы убедить жертв позвонить вишерам. Лаборатория Касперского предупреждает о разновидности такого мошенничества, которое, по сути, является видом ransomware: вредоносное ПО блокирует компьютер, но демонстрирует номер «технической поддержки», по которому добрый «специалист», на самом деле являющийся членом той же группы, установившей malware, починит компьютер за деньги, из-за его жертва считает, что ей действительно помогли.
Вишинг-атаки на банковские счета. Разумеется, святым Граалем для вишера является получение доступа к вашей банковской информации. А если нападающий уже имеет доступ к части ваших личных данных из описанных выше источников, то он может имитировать звонки, которые жертва может ожидать от своего финансового учреждения, и это способно обмануть даже самых проницательных людей. Основатель Panic Inc. Калеб Сассер рассказал Krebs on Security пугающую историю почти успешной вишинговой атаки. Нападающему удалось выполнить спуфинг своего телефонного номера, заменив его на номер банка Сассера Wells Fargo, после чего он заявил, что исследует потенциально мошеннические действия. Так как «банк» предложил прислать новую пластиковую карту, Сассер едва не ввёл в телефон новый PIN, однако в последнюю минуту одумался — если бы он так поступил, то вишеры смогли бы клонировать его карту и свободно её использовать.
Подобные типы мошенников чаще всего охотятся на «китов», отыскивая очень ценные мишени, чтобы быстро обогатиться. Один из вариантов подобного называют «аферой после полудня пятницы» — вишеры звонят инвестиционной компании или другой богатой жертве в самом конце рабочей недели, рассчитывая на то, что отвечающий на звонок человек устал и рассеян, а его бдительность ослаблена.
Как предотвратить вишинг
Если вы хотите распознавать вишинг и избегать его, то мы надеемся, что наша статья поможет вам понять, на что следует обращать внимание. FTC собрала хороший список ключевых пунктов, которые должны знать все:
Если вы хотите сделать проактивные шаги для защиты своей организации, то можно включить в вишинг в программу инструктажа по мерам безопасности. Различные компании предлагают услуги симулируемых платформ вишинга, помогающие обнаружить уязвимые места в поведении сотрудников и продемонстрировать свойства угрозы персоналу.
На правах рекламы
Виртуальные серверы с новейшим железом, защитой от DDoS-атак и огромным выбором операционных систем. Максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe.