Вишинг: как распознать голосовой фишинг и отбиться от злоумышленников

Термин «вишинг» состоит из слов «голос» и «фишинг», поэтому этот современный метод мошенничества также часто называют голосовым фишингом. Злоумышленники используют IP-технологию при вишинге для осуществления ряда недорогих или бесплатных мошеннических звонков и при этом крадут данные, пароли или банковскую информацию у ничего не подозревающих жертв.

Читайте дальше, чтобы узнать все о стратегиях «вишинга» и о том, как вы можете защитить себя от мошеннических VoIP-звонков.

С помощью комбинации технических и эмоциональных манипуляций вишеры пытаются заполучить важные данные своей жертвы. С технической точки зрения вишинг означает, что мошенник использует технологию VoIP (Voice over IP) для маскировки своей личности и номера телефона. Таким образом, мошенник скрывает тот факт, что он звонит с телефонного номера, который ему не принадлежит или не связан с его IP-адресом. Голосовой фишинг привлекателен для злоумышленников, поскольку стоимость VoIP-звонков очень низкая. Поэтому вишер может совершить многие тысячи звонков, используя активное интернет-соединение, и, в случае успеха, собрать большой объем данных.

Помимо технических компонентов голосового фишинга, существует также эмоциональный компонент. Злоумышленники придумывают правдоподобную для жертвы историю и создают видимость необходимости немедленных действий и передачи конфиденциальных данных. Эти атаки также включают в себя социальную инженерию — другими словами, расчетливое межличностное влияние, которое используется для получения доступа к конфиденциальной информации. Вишеры намеренно используют типичные модели человеческого поведения с помощью психологических уловок, чтобы заставить жертву раскрыть конфиденциальную информацию. Хотя существует множество различных и коварных вишинг-атак, есть модель, которая является общей для всех голосовых фишинговых атак:

1. Злоумышленник звонит по телефону и описывает проблему, о которой потребители ранее не слышали.
2. Для того чтобы решить проблему, злоумышленник требует личные данные, например, учетные данные для входа в систему, данные счета или данные кредитной карты.
3. Злоумышленник ссылается на срочность ситуации и хочет побудить к немедленным и быстрым действиям.

На практике мошенники неоднократно используют одни и те же истории, чтобы добраться до данных своей жертвы. Ниже представлен обзор наиболее распространенных афер, чтобы вы могли инстинктивно отличить мошеннические звонки от законных.

Популярной отправной точкой для мошенников при голосовом фишинге является выдача себя за представителя службы поддержки крупной компании по разработке программного обеспечения. В этом случае злоумышленник делает вид, что обнаружил проблему с программным обеспечением и должен помочь вам разобраться с ней. Для этого он попросит вас загрузить программу, которая дает ему полный удаленный доступ к вашему компьютеру. После установки коварной программы злоумышленник может установить на ваш компьютер вредоносное ПО и украсть личные данные.

Другой пример вишинга — когда звонящий сообщает вам, что вы выиграли приз в конкурсе. Однако для того, чтобы получить приз, вам сначала нужно оплатить стоимость доставки. Для этого необходимо отправить свои банковские реквизиты, а также согласие на электронный прямой дебет. Затем мошенники либо регулярно списывают деньги под предлогом того, что вы согласились на подписку, либо продают данные другому мошеннику.

Голосовой фишинг очень часто нацелен на ваш банковский счет или счет кредитной карты, поэтому многие преступники выдают себя за сотрудников банка. В этом сценарии кража данных в основном происходит без прямого личного контакта. Вишер оставляет на автоответчике сообщение, в котором сообщает, что ваш банковский счет находится в опасности из-за взлома или технической ошибки.

Когда вы перезвоните, вы услышите записанное сообщение, в котором запрашиваются данные доступа к вашему интернет-банку или кредитной карте. Злоумышленник надеется, что вы прослушаете сообщение и начнете паниковать. В конце концов, нет ничего более чувствительного, чем ваши финансовые данные.

Для того чтобы распознать и успешно противостоять вишингу, необходимы бдительность и здоровое недоверие к авторитетам. Как правило, при разговоре по телефону с предполагаемым сотрудником компании следует помнить о следующих подсказках:

Совет 1: Всегда старайтесь думать о том, является ли номер злоумышленника официальным номером компании, которую он якобы представляет. И даже если вы найдете номер на сайте компании, это не является гарантией того, что звонок является законным. Имитация телефонного номера — важный компонент вишинга. Проверка номера может лишь дать первые признаки преступления и уберечь от грубых атак, которые очень плохо подготовлены.

Совет 2: Если у вас есть какие-то сомнения, следует прекратить разговор и самостоятельно связаться с отделом обслуживания клиентов компании. Спросите, известен ли им этот номер и является ли процедура стандартной. При этом используйте только тот номер телефона, который указан на сайте компании. Не звоните по номерам, которые вы нашли в электронном письме от компании (якобы). Такие электронные письма могут быть частью (голосовой) фишинговой атаки.

Совет 3: Никогда не сообщайте по телефону учетные данные для входа в систему или банковские реквизиты. Ни одна заслуживающая доверия компания никогда не будет запрашивать по телефону учетные данные для входа в систему. Если звонящий просит вас назвать информацию о вашем счете или личные данные, немедленно откажитесь и сообщите об этом в соответствующую компанию.

Совет 4: Если вы подозреваете, что стали жертвой голосового фишинга, сообщите о случившемся в полицию и подайте жалобу. Кроме того, вам следует сообщить о случившемся в компанию, на которую, по утверждению мошенника, он работает. Если вы считаете, что ваши банковские данные могут быть скомпрометированы, обратитесь в свой банк и попросите временно заблокировать счет. Данные для входа в счета часто могут быть заблокированы в режиме онлайн на сайте. Если вы используете один и тот же пароль для разных счетов (что не рекомендуется ни в какой ситуации), обязательно смените пароль везде.

Сформулировав в самом начале определение вишинга, можно отличить его от других методов кражи цифровых данных.

Если при голосовом фишинге шлюзом для преступников служит IP-телефония, то при фишинге они используют электронную почту, чтобы заманить ничего не подозревающих пользователей и заставить их добровольно предоставить свои личные данные. Для этого коварные электронные сообщения редактируются таким образом, чтобы выглядеть как можно более подлинными, и содержат ссылку на вредоносный веб-сайт. Особой разновидностью фишинга является фишинг копьем, когда мошенники нацеливаются на одну или несколько очень конкретных жертв. Копьевой фишинг не забрасывает широкую сеть мошенничества, а целенаправленно атакует жертв.

Смишинг, по сути, действует аналогичным образом, но использует SMS для кражи данных.

Вишинг, фишинг и смишинг отличаются друг от друга тем, как мошенник устанавливает контакт и общается с жертвами. Во всех вариантах цель остается неизменной: украсть личные данные, такие как банковские реквизиты, номера кредитных карт или данные для входа в систему, чтобы обогатиться финансово.