Вишинг или голосовой фишинг – это вид кибератак, в которых злоумышленники используют телефонные звонки и хитроумные методы социальной инженерии, чтобы собрать конфиденциальную информацию у своих целей.
Вишеры очень убедительно угрожают и разговаривают с жертвой. Обычно они представляются сотрудниками правоохранительных органов или банковскими работниками, сообщая цели, что ее счет был взломан. После этого жертве предлагается установить вредоносное ПО, замаскированное под легитимное приложение или упакованное в обычный ZIP-архив.
Однако, голосовой фишинг не ограничивается звонками. Чаще всего вишинговая атака начинается с СМС-сообщения, из-за чего некоторые пользователи считают вишинг и смишинг (фишинг с использованием СМС-сообщений) одним и тем же. Однако, несмотря на схожие цели и методы, вишинг и смишинг сильно отличаются друг от друга. Давайте быстро рассмотрим их различия и узнаем побольше о голосовых фишинговых атаках.
Чем вишинг отличается от фишинга?
В смишинговых атаках мошенники отправляют жертвам СМС-сообщения, пытаясь убедить их перейти по вредоносной ссылке или ответить на сообщение личной информацией. Весь процесс обмана цели состоит исключительно из обмена текстовыми сообщениями.
А чтобы провести вишинговую атаку, злоумышленник должен наладить голосовой контакт с жертвой. В этом случае сообщение используется только для того, чтобы заставить жертву набрать номер, указанный в сообщении. Это позволит мошенникам продолжить атаку или убедиться, что номер принадлежит цели.
4 этапа вишинговой атаки
- Разведка. Атака мошенников начинается со сбора информации о жертве. Злоумышленники могут отправлять потенциальным жертвам фишинговые электронные письма, надеясь, что им ответят и предоставят контактную информацию.
- Звонок. Если жертва уже была обманута фишинговым электронным письмом, она, скорее всего, не будет настороженно относиться к человеку, который звонит ей по телефону, представляясь отправителем письма.
- Разговор. Как только мошеннику удается связаться с кем-то по телефону, он начнет давить на доверие, страх, жадность или потребность в помощи у своей цели. Если эта стратегия срабатывает, и жертва поддается давлению злоумышленника, то он может попросить её:
- Предоставить информацию о банковском счете и данные кредитной карты;
- Предоставить адрес электронной почты;
- Перевести деньги;
- Отправить конфиденциальную документацию, связанную с работой;
- Предоставить информацию о своей компании.
- Профит! Однако, на этом атака не заканчивается. Получив всю нужную информацию, злоумышленники могут продолжать атаку. Например, опустошить банковский счет жертвы, использовать ее личные данные в своих целях или совершить покупки с использованием украденных данных кредитной карты. Кроме того, мошенники могут попробовать обмануть коллег цели, отправляя письма от ее имени и пытаясь получить конфиденциальные корпоративные данные.
Самые популярные вишинговые схемы
- Предупреждение о том, что с банковским счетом или платежом жертвы что-то не так. Чтобы решить “возникшую проблему”, злоумышленники просят цель сообщить свои логин и пароль или совершить новый платеж.
- Непрошеные кредитные или инвестиционные предложения. Мошенники предлагают жертвам такие условия, которые слишком хороши, чтобы быть правдой. В таком случае злоумышленники давят на жадность, пытаясь убедить жертву в том, что она может заработать состояние или погасить все свои долги, сделав одну небольшую инвестицию, предлагая провести оплату прямо во время звонка.
- Звонки от имени администрации социального обеспечения. Обычно мошенники угрожают приостановить или аннулировать номер социального обеспечения клиента. В зависимости от того, насколько успешно прошла атака, злоумышленники могут похитить данные и деньги жертвы.
- Предупреждение о том, что у пользователей есть неоплаченные налоговые счета или другие штрафы и требуют немедленно перезвонить. Налоговая афера IRS.
- Звонок с сообщением, что получатель выиграл ценный приз. Однако перед получением приза жертве якобы необходимо осуществить предварительную оплату.
Как не попасться на крючок мошенников?
- Не разговаривайте с неизвестными абонентами, особенно если они просят подтвердить или предоставить конфиденциальные данные.
- Внимательно следите за тем, кто говорит по телефону. Прислушайтесь к его речи и дважды подумайте, прежде чем что-то сказать. Опять же, не разглашайте никакой личной информации.
- Задавайте вопросы. Если звонящий предлагает вам бесплатный приз или пытается что-то продать, попросите подтвердить, кто он и где работает. Прежде чем предоставить свои данные, проверьте любую информацию, предоставленную звонящим. Повесьте трубку, если вам отказываются сообщить эти данные.
- Добавьте свой номер телефона в национальный реестр «Не звонить».
- Никогда не отвечайте на электронные письма или сообщения в социальных сетях, если в них спрашивают ваш номер телефона.
Что делать, если вас обманули?
Если вы предоставили свои банковские данные мошеннику, то первое, что нужно сделать – связаться со своим банком. Позвоните в компанию, обслуживающую вашу кредитную карту и запросите отмену подозрительных транзакций.