Vishing: Ce este și cum evit acest scam?


Cum funcționează escrocheriile de tip vishing, ce impact au asupra afacerilor și persoanelor obișnuite și cum vă puteți proteja familia și afacerea?

Cu toții am auzit de phishing, fraudele prin e-mail care falsifică surse credibile pentru a determina destinatarii să ofere informații sensibile sau să descarce secvențe malware. Ei bine, vishing-ul este echivalentul phishing-ului, dar care utilizează apelul vocal drept vector de atac. Este un truc cu multe variante care poate avea impact atât asupra persoanelor, cât și asupra organizațiilor - cu consecințe potențial devastatoare.

Schemele de phishing, smishing, pharming și vishing au făcut peste 241.000 de victime, costul fraudelor ridicându-se la peste 54 de milioane de dolari în 2020. Și acestea sunt doar cazurile care au fost raportate la FBI, multe cazuri nefiind raportate.

Deci, cum funcționează escrocheriile, cum au impact asupra afacerilor și persoanelor fizice și cum vă puteți proteja împotriva lor?

Probleme de inginerie socială

Vishingul funcționează în sfera consumatorilor și a afacerilor dintr-un motiv foarte bun: erorile umane. Ingineria socială stă la baza eforturilor atacatorilor. Acest lucru constă, de fapt, în arta convingerii. Ingineria socială se referă la imitarea unei autorități de încredere - banca dvs., furnizorul de servicii de tehnologie, guvernul, reprezentanți ai birourilor de asistență IT - și crearea unui sentiment de urgență sau frică ce anulează orice măsură de precauție sau suspiciune naturală pe care o poate avea victima.

Aceste tehnici sunt utilizate în e-mailurile de phishing și în mesajele SMS false (cunoscute sub numele de smishing). Dar poate că sunt cele mai eficiente atunci când sunt folosite „live” la telefon. Atacatorii care utilizează vishing-ul au mai multe instrumente și tactici suplimentare pentru a-și face escrocheriile mai reușite, inclusiv:

  • Instrumentele de falsificare a apelantului, care pot fi utilizate pentru a ascunde locația reală a escrocului și chiar pentru a identifica numerele de telefon ale organizațiilor de încredere. Anul trecut, de exemplu, clienților hotelului Ritz London li s-au furat datele personale în timpul unei breșe de securitate ce a afectat hotelul de lux, iar escrocii au folosit apoi datele pentru a lansa atacuri convingătoare de inginerie socială împotriva victimelor, falsificând numărul oficial al hotelului în acest proces.
  • Escrocherii bazate pe mai multe canale care ar putea începe cu un mesaj text, un e-mail de phishing sau un mesaj vocal și care încurajează utilizatorul să apeleze un număr. Dacă face acest lucru, victima va fi direcționată către un escroc.
  • Scrapingul rețelelor sociale și cercetarea open source, care pot oferi escrocului o multitudine de informații despre victimele lor. Aceste tehnici pot fi folosite pentru a viza anumite persoane (de exemplu, angajații business ce dețin conturi privilegiate) și pentru a aduce și mai multă autenticitate înșelătoriei – atacatorul îi poate repeta victimei, de exemplu, câteva detalii personale, astfel încât persoana vizată să poată divulga și mai multe informații.

 

Scriptul unui mesaj vocal de vishing (sursă: Twitter)

Impactul unui atac vishing la locul de muncă

Vishingul este cel mai probabil utilizat în contextul corporativ pentru a fura date de autentificare cu rol de administrator. FBI a avertizat de mai multe ori cu privire la astfel de atacuri. În august 2020, FBI a detaliat o operațiune sofisticată în care infractorii cibernetici și-au cercetat țintele și apoi le-au apelat declarând că sunt de la biroul de asistență IT. Victimele au fost încurajate să își completeze detaliile de conectare pe un site de phishing înregistrat anterior, conceput pentru a falsifica pagina de conectare VPN a companiei. Aceste credențiale au fost apoi utilizate pentru a accesa bazele de date ale companiei pentru informațiile personale ale clienților.

Astfel de atacuri sunt mai frecvente, parțial din cauza schimbării modului de lucru tradițional către unul la distanță în timpul pandemiei, a avertizat FBI. Agenția fost forțată să lanseze o altă alertă în ianuarie 2021 pentru o operațiune în care au fost utilizate tehnici similare pentru a obține acces la rețelele corporative.

O breșă de securitate ce a afectat Twitter, în care angajații vizați au fost păcăliți de vishers să-și dezvăluie datele de conectare, ilustrează că până și companiile și utilizatorii cu experiență în tehnologie pot fi victime. În acest caz, accesul a fost folosit pentru deturnarea conturilor persoanelor publice pentru a distribui o frauda cu criptomonede.

Cum poate phishing-ul vocal să afecteze familia mea

Din păcate, escrocii de vishing sunt permanent în căutare de noi victime. În aceste atacuri, obiectivul final este să câștige bani de la dvs: fie prin furtul contului bancar sau al informațiilor despre card, fie prin păcălirea persoanelor pentru predarea informațiilor personale și a datelor de conectare pe care le pot folosi pentru a accesa aceste conturi.

Iată câteva escrocherii frecvente:

Escrocherii de asistență tehnică

În frauda de asistență tehnică, victimele sunt adesea apelate de către o persoană ce pretinde că este furnizorul lor de internet sau un furnizor de software sau hardware cunoscut. Vor pretinde că au găsit o problemă inexistentă la computerul dvs. și apoi vor solicita plata (și detaliile cardului) pentru a remedia problema, descărcând uneori malware pe dispozitiv, în acest proces. Aceste escrocherii pot începe, de asemenea, cu un utilizator căruia îi este prezentată o fereastră pop-up care îl îndeamnă să apeleze un număr de tipul hotline.

Wardialing

Aceasta este practica de a trimite mesaje automate vocale către un număr mare de victime și, de obicei, încearcă să le sperie pentru a returna apelul - de exemplu, susținând că au facturi fiscale sau alte amenzi neplătite.

Telemarketing

O altă tactică populară este de a apela pentru a pretinde că destinatarul a câștigat un premiu fabulos. Singura problemă este că există o taxă inițială necesară înainte ca victima să își poată primi premiul.

Phishing/smishing

După cum s-a menționat anterior, escrocheriile pot începe cu un e-mail falsificat sau un SMS fals, încurajând utilizatorul să apeleze un număr. O metodă populară constă într-un e-mail de la „Amazon” care susține că ceva nu este în regulă cu o comandă recentă. Apelarea numărului va pune victima în legătură cu un escroc vishing.

Cum să preveniți atacurile cu vishing

Deși unele dintre aceste escrocherii devin din ce în ce mai sofisticate, puteți face multe lucruri pentru a atenua riscul de a deveni victimă. Sfaturile noastre de bază sunt următoarele:

  • Ascundeți-vă numărul de telefon pentru a nu fi disponibil în bazele de date publice (ex-directory).
  • Nu introduceți numărul dvs. de telefon în niciun formular online (atunci când cumpărați online).
  • Aveți grijă la solicitări primite de la banca dvs., informații personale sau orice alte informații sensibile, prin telefon.
  • Nu interacționați cu un apelant necunoscut, mai ales dacă solicită confirmarea detaliilor private.
  • Nu apelați niciodată un număr primit într-un mesaj vocal. Contactați întotdeauna organizația prin numărul afișat pe site.
  • Utilizați autentificarea cu mai mulți factori (MFA) pentru toate conturile online.
  • Asigurați-vă că securitatea e-mail/web este actualizată și include funcții anti-phishing.
ESET Research June 15, 2021

Lasa un comentariu