Vishing (Voice phishing, голосовий фішинг) – це вид атаки, при якому жертву намагаються переконати розкрити цінну особисту інформацію по телефону. Хоча за описом це схоже на старий добрий скам, вішінг-атаки мають елементи хай-теку: наприклад, у них застосовується технологія автоматизованої симуляції голосу, або для спрощення завдання скамер може використовувати персональну інформацію про жертву, зібрану під час попередніх кібератак.
Які б технології не використовувалися, схема атаки слідує знайомому нам сценарію соціального інжинірингу: нападник створює ситуацію, що дозволяє експлуатувати людські почуття, і переконує жертву розкрити цінну інформацію, наприклад, номери кредитних карток або паролі. У цьому сенсі техніки вишингу повторюють фішинг-атаки, які використовуються ще з 1990-х. Але вішінг-дзвінки використовують той факт, що ми з більшою ймовірністю довіримося людському голосу, і можуть бути націлені на людей, які бояться літніх чи бояться, адже вони наївні і не стикалися з подібними видами шахрайства.
Статистика з вишингу
Ці значні числа допомагають нам отримати уявлення про масштаби вишингу та про те, чому він може бути вигідним бізнесом для нападників.
- Протягом останніх кількох років масштаби вішинг-атак зростають. У 2018 році шахрайські дзвінки складали приблизно 30% від усіх вхідних мобільних викликів.
- Тому нас не повинно дивувати, що цей дивний термін набуває все більшої популярності. У звіті 2020 State of the Phish компанії Proofpoint говориться, що 25% працівників у всьому світі змогли дати правильне визначення терміну.
- 75% жертв шахрайства повідомляють, що вішери вже мали якусь особисту інформацію про них, яку вони застосували для планування атаки на конкретну людину та отримання додаткової інформації.
- З тих людей, які повідомили у FTC про вішинг-шахраїв, які видавали себе за державних службовців, лише 6% втратили гроші, але при цьому вони втрачали значні суми — медіанні втрати становили 960 доларів.
Вішинг, фішинг, змішинг: у чому різниця?
Фішинг – це загальний предок всіх схем, але, по суті, він полягає у надсиланні електронних повідомлень таргетованих повідомлень з метою обману одержувачів. Слово "phish" вимовляється так само, як і пишеться, і схоже на слово "fish" – аналогія в тому, що вудильник закидає гачок з наживкою (фішинговий електронний лист), сподіваючись, що жертва клюне. Це поняття з'явилося в середині 1990-х серед хакерів, які намагалися обманом дізнатися у користувачів AOL їхню інформацію для входу в систему. "Ph" на початку слова – це частина традиції ексцентричної хакерської орфографії; ймовірно, на нього вплинув термін "phreaking", що став скороченням від "phone phreaking" – одного з перших видів хакерства, при якому в трубку програвали звукові тони для отримання можливості безкоштовних телефонних дзвінків.
Вішинг, по суті, є фішинг через телефонні дзвінки. Аналогічно тому, як фішинг вважається різновидом спаму, вішинг став розвитком ідеї VoIP-спаму, також відомого як спам по телефонії (spam over telephony), або SPIT. Сам термін «вішинг» з'явився наприкінці 2000-х.
"Смішинг" (smishing) – це схожий тип атак, при якому замість електронної пошти або голосових дзвінків використовуються текстові повідомлення; термін виник як гібрид «SMS» та «phishing.» Докладніше про смішінг можна дізнатися у цій статті.
Техніки вишингу
Багато вишинг-атаки мають однакові особливості. Телефонні дзвінки зазвичай здійснюються через сервіси voice over IP (VoIP), що спрощує автоматизацію деяких або всіх частин процесу та ускладнює їх відстеження жертвами чи органами правопорядку. А кінцева мета нападників – отримати від атаки якусь вигоду, дізнавшись або інформацію про банківський рахунок, або особисті дані, які можна використовувати для доступу до банківських рахунків, або будь-яку іншу персональну інформацію, якою можна скористатися або для отримання доступу до банківського рахунку, або переконати жертву заплатити шахраям безпосередньо.
Однак у всесвіті вішинг-шахрайства існує безліч методик та стратегій. Їх діапазон простягається від сильно автоматизованих «дробовикових» (shotgun) атак, націлених на багато потенційних жертв у надії хоча б частковий успіх, до точкового шахрайства, спрямованого на конкретну цінну мету.
Напевно, найпоширеніший вид вишингу почався з так званого "wardialing", тобто сотень тисяч автоматизованих дзвінків на сотні тисяч номерів. Потенційна жертва (або її голосова пошта) отримує аудіозапис, завдання якого – налякати жертву або хитрістю змусити її здійснити телефонний дзвінок скамерам. Часто вішери видають себе за співробітників IRS (податкового управління США) чи якогось іншого державного органу, банку чи кредитної організації.Wardialing може цілеспрямовано вибирати телефонний код певного регіону та використовувати назву місцевої організації, сподіваючись знайти його клієнтів.
Один із різновидів цієї методики використовує спливаючі вікна на комп'ютері, які часто впроваджуються шкідливим кодом для імітації попереджень ОС про якусь технічну проблему. Жертві повідомляють, що їй необхідно зателефонувати до відділу технічної підтримки Microsoft або щось подібне, вказуючи телефонний номер. При дзвінку жертву з'єднують із вішером, який під час розмови може використати поєднання реальних та автоматизованих голосових відповідей. Мета цього, знову ж таки, полягає у отриманні максимальної віддачі малими зусиллями.
Spear vishing
При подібних масових shotgun-атаках вішери практично нічого не знають про жертви, і їм доводиться блефувати, щоб переконати, що вони ті, ким видаються; через це їх досить легко виявити. Однак набагато небезпечнішими є вішери, метою яких є саме ви. Ця методика називається "spear vishing"; як і при spear phishing, для неї потрібно, щоб нападники вже мали якісь дані про свою мету. Наприклад, spear-вішер може вже знати вашу домашню адресу та назву банку, завдяки чому він простіше зможе переконати вас сказати йому свій PIN.
Але де вони так багато про вас знають? "Основна частина таких даних береться з dark web, куди вони часто потрапляють після витоків даних", – розповідає CEO Відділу послуг глобальної ідентифікації та кіберзахисту Generali Global Assistance (GGA) Пейдж Шаффер. Тому коли ви читаєте про великі витоки даних, то знайте, що вони можуть сильно спростити вішинг.Може здатися дивним, що нападник, який уже знає вашу особисту інформацію, прагне дізнатися більше, проте, як каже Пейдж, «що більше інформації є у шахрая, тим більшої шкоди він може завдати. Навіщо йому заспокоюватися, дізнавшись останні чотири цифри SSN (номера соціального страхування, що в США часто використовується для ідентифікації особи замість паспорта), якщо потенційно він може переконати вас повідомити решту п'яти? Повний SSN дозволяє їм відкривати фальсифіковані кредитні картки, отримувати позики та виконувати багато інших дій».
Може здатися, що це набагато трудомісткіше, ніж зателефонувати комусь через wardialing і представитися співробітником IRS, і це дійсно так. Але більшість людей, особливо жертви, які мають високу цінність, які часто є більш освіченими та технічно підкованими, такі прості спроби шахрайства бачать наскрізь. Якщо винагорода досить велике, може виявитися отже витрата часу створення переконливого образу для витягування з жертви інформації виправдає себе. "Хакер може терпляче працювати над тривалим отриманням інформації від жертви через фішингові електронні листи або перехоплюючи її через шкідливе ПЗ", – пояснює Шаффер. «Коли spear-вішери полюють на велику „рибу“, наприклад, генеральних директорів, ми називаємо це whaling (полюванням на китів)». А з покращенням методик симуляції голосу «китобої» отримують дедалі більше інструментів, маючи можливість імітувати конкретних людей, намагаючись обдурити своїх жертв.
Приклади вишингу
Поки що я не вдавався до подробиць конкретних маніпуляцій, які вішори можуть застосовувати для отримання ваших грошей чи особистої інформації. Блог HashedOut розбив їх на чотири загальні категорії:
Телемаркетингове шахрайство. Насправді, подібний тип шахрайства з'явився раніше за епоху вишингу, але тепер запозичує багато його методик. Вішер може зробити вам холодний дзвінок, нічого не знаючи вас, і зробити пропозицію, яка надто добре, щоб бути правдою: ви виграли в якійсь лотереї, в якій ніколи не брали участь, вам пропонують безкоштовний відпочинок в готелі Marriott, зниження відсотка по кредитній карті тощо. Зазвичай для отримання «безкоштовних» грошей потрібно внести авансовий платіж, після чого, зрозуміло, ви не отримуєте обіцяну приманку.
Видача себе за працівника державного органу. Поширений вид шахрайства полягає у заяві про те, що виникла проблема з компенсаціями, які має отримувати жертва, припустимо, з виплатами за Medicare або соціальним страхуванням; пропозиція «усунути» проблему дає можливість переконати жертву передати шахраю особисту інформацію, наприклад номер соціального страхування та номери банківських рахунків. Агресивніша версія подібної методики полягає в тому, що фальшиві «розслідувачі» IRS заявляють жертвам, що ті заборгували податки та загрожують їм штрафами або тюремним ув'язненням. У цьому відео показано, як офіцер поліції спілкується з одним із таких шахраїв.
Часто подібні види шахраїв вимагають від жертви оплати подарунковими картками Amazon, а потім просять прочитати числа зі зворотного боку картки, тому що покупки картками неможливо відстежити. Це вірна ознака того, що ви маєте справу не з держслужбовцями!
Шахрайство з техпідтримкою. Вище ми трохи розповідали про це — шахраї можуть скористатися технічною наївністю жертви та її страхами бути зламаною.Вони використовують рекламу, що спливає, або шкідливе програмне забезпечення, що прикидається попередженнями операційної системи, щоб переконати жертв зателефонувати вішерам. Лабораторія Касперського попереджає про різновид такого шахрайства, яке, по суті, є видом ransomware: шкідливе програмне забезпечення блокує комп'ютер, але демонструє номер «технічної підтримки», за яким добрий «фахівець», який насправді є членом тієї ж групи, яка встановила malware, полагодить комп'ютер за гроші, через його жертва вважає, що їй справді допомогли.
Вішинг-атаки на банківські рахунки. Зрозуміло, що святим Граалем для вішера є отримання доступу до вашої банківської інформації. А якщо нападник вже має доступ до частини ваших особистих даних з описаних вище джерел, то він може імітувати дзвінки, які жертва може очікувати від своєї фінансової установи, і це може обдурити навіть найпроникливіших людей. Засновник Panic Inc. Калеб Сасер розповів Krebs on Security лякаючу історію майже успішної вішингової атаки. Нападнику вдалося виконати спуфінг свого телефонного номера, замінивши його на номер банку Сассера Wells Fargo, після чого він заявив, що досліджує потенційно шахрайські дії. Оскільки «банк» запропонував надіслати нову пластикову картку, Сассер мало не ввів у телефон новий PIN, проте в останню хвилину одумався — якби він так вчинив, то вішери змогли б клонувати його картку та вільно її використати.
Подібні типи шахраїв найчастіше полюють на "китів", відшукуючи дуже цінні мішені, щоб швидко збагатитися.Один із варіантів подібного називають "аферою після полудня п'ятниці" — вішери дзвонять інвестиційній компанії або іншій багатій жертві в самому кінці робочого тижня, розраховуючи на те, що людина, яка відповідає на дзвінок, втомилася і розсіяна, а її пильність ослаблена.
Як запобігти вишингу
Якщо ви хочете розпізнавати вішинг і уникати його, то ми сподіваємося, що наша стаття допоможе вам зрозуміти, на що слід звертати увагу.
- З підозрою ставтеся до дзвінків із державних органів, коли той, хто телефонує, просить гроші або інформацію. ніколи не дзвонять просто так, вимагаючи або пропонуючи гроші. У разі сумнівів завершіть виклик, самостійно знайдіть справжній номер організації та зателефонуйте до неї, щоб дізнатися, чи зв'язувалася вона з вами.
- Ніколи не оплачуйте нічого подарунковою карткою або безготівковим переказом.
- Не довіряйте Caller ID.
Якщо ви хочете зробити проактивні кроки для захисту своєї організації, то можна включити у вишинг в програму інструктажу з заходів безпеки.
На правах реклами
Віртуальні сервери з новим залізом, захистом від DDoS-атак і великим вибором операційних систем Максимальна конфігурація – 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe.
У конструкторі Unisender живе вмілий AI асистент.
Він допоможе придумати тему та текст листа,
намалює відповідні картинки і дасть поради,
як покращити розсилку.
Фішинг – Це спосіб інтернет-шахрайства.Хакери використовують його, щоб отримати доступ до конфіденційної інформації інших людей, наприклад їх облікових записів та даних банківських карток.
Фішингові шахраї діють за відпрацьованою схемою: закидають "наживку" – лист, повідомлення, посилання на сайт – і намагаються "зловити" довірливих користувачів.
Термін походить від англомовного fishing – "рибалка". Але букву f замінили на ph. Це посилання на більш стару форму хакерства — phone phreaking, або телефонний злам.
За даними FBI, лише 2023 року в США шахраї вкрали 2,9 трильйона доларів.
У Росії за той же період, за даними ЦП, було викрадено 15,8 млрд. доларів. руб. При цьому вдалося запобігти великій кількості розкрадань, в загальній сумі на 5,8 трлн. руб. Джерело
Види фішингових атак
Цільовий фішинг
Його ще називають spear phishing. Шахраї націлюються на конкретну компанію, вивчають кількох співробітників з облікових записів у соцмережах або інформації на сайті.
Потім цим співробітникам надсилають листи начебто від колег: використовують реальні імена, посади, номери робочих телефонів. Людина думає, що отримала внутрішній запит, і слідує вказівками з листа.
Цільовий фішинг має підвид. вейлінг. Слово походить від whaling – "полювання на китів". Його також називають CEO-фішингом. Він спрямований на керівників.
У лютому 2024 року індійська компанія втратила 40 млн. рупій (близько 500 тис. доларів) через те, що шахраї просили співробітників переказувати гроші компанії на свої рахунки від імені голови та керуючого директора фірми.
Тоді ж у Гонконгу працівник переказав на чужий рахунок 25 млн. доларів. Шахраї за допомогою дипфейка згенерували образ фінансового директора компанії, зателефонували співробітнику з відеозв'язку та сказали, куди переказувати гроші.
Поштовий фішинг
Зловмисники відправляють користувачам електронні листи під виглядом відомого бренду: підробляють адресу, щоб вона нагадувала офіційну. Отримувач натискає на посилання та переходить на підроблений сайт або завантажує документ із вірусом.
Одна з варіацій поштового фішингу клон-фішинг. Шахраї визначають, якими програмами та магазинами ви часто користуєтесь, а потім надсилають листи нібито від цих брендів.
Приклад фішингового листа, замаскованого під лист від служби безпеки Gmail. При наведенні на кнопку "Змінити пароль" відображається фішингове посилання. Джерело
Телефонний фішинг
Цей тип атаки поділяється на два підвиди: вішинг та смішинг.
Голосовий фішинг, або вішинг (vishing), передбачає розмову телефоном. Злочинець дзвонить жертві, тисне на неї і створює підвищене почуття терміновості, щоб людина повідомила конфіденційні дані.
Шахраї часто видаються співробітниками банків: вони повідомляють про заявки на кредит чи підозрілі перекази, загрожують блокуванням, а потім вимагають повідомити смс-код або оформити підозрілий переказ.
В результаті люди втрачають усі свої накопичення. 2020 року за допомогою голосового фішингу шахраї вкрали у однієї жінки 400 мільйонів рублів. У 2023 році «Лабораторія Касперського» повідомила, що кількість подібних злочинів тільки зростає. Зокрема, у цьому допомагає активний розвиток нейромереж.
У смішінг (smishing) замість дзвінків використовують смс-повідомлення зі шкідливими посиланнями, які маскують під купони та розіграші.
На Avito злочинці вдають, що замовляють у людини якийсь товар. Потім пишуть, що сплатили за нього. За фішинговим посиланням продавцю пропонують ввести дані своєї картки, щоб «отримати кошти». Джерело
Фішинг у соціальних мережах
Такі шахраї створюють підроблені акаунти в Instagram*, ВКонтакті, Facebook*, X (колишній Twitter). Хакери видають себе за знайомого жертви або обліковий запис відомої компанії. Вони надсилають повідомлення з посиланнями на підроблені сайти, запитують особисту інформацію через Facebook-програми, відзначають на зображеннях із закликом перейти на сайт.
Суміжний метод фішингу – шахрайство в месенджерах: Telegram, WhatsApp і Viber. Через них хакери розсилають повідомлення нібито від популярних компаній у спробі оволодіти вашими особистими даними.
Підроблений обліковий запис компанії PayPal відповідав на скарги клієнтів у X (Twitter) з пропозицією перейти за посиланням, щоб виправити проблему. Джерело
Веб-фішинг
Головний метод веб-фішингу підміна сайту. Хакер створює сторінку, що практично не відрізняється від сайту великого бренду або компанії, в якій ви працюєте. Ви використовуєте свій обліковий запис для входу, і зловмисник отримує доступ до реального облікового запису.
Фішингові сайти часто просувають через контекстну рекламу, щоб результат виявився вгорі пошукової видачі. Джерело
Хакери надсилають посилання через email або перенаправляють користувачів на підроблений сайт за допомогою фармінгу. Це означає, що зловмисники зламують систему доменних імен (DNS), і коли користувач хоче зайти на сайт, сервер відкриває сторінку-підробку.
У веб-фішингу багато варіацій:
- Фішинг через пошукові системи. Такі шахраї налаштовують таргет на людей, які хочуть щось купити: їх просять запровадити конфіденційну інформацію, яку перехоплює хакер.
- «Атака на водопої». Хакери з'ясовують, які сайти часто відвідують співробітники компанії, і підміняють адресу або додають шкідливий код для скачування.
- Спливаючі вікна або сповіщення браузера.Коли людина натискає кнопку «дозволити», на пристрій завантажується шкідливий код.
Злий двійник
Після підключення зловмисники отримують облікові дані для входу в систему та іншу інформацію.
У США за допомогою такого способу та обладнання вартістю 200 доларів зламали мережі Міністерства внутрішніх справ. На щастя, хакери виявилися «білими», тобто етичними.
Як розпізнати фішинг-атаки
Список підозрілих «прапорців», які вказують на фішингове лист:
- Лист створює ілюзію терміновості та викликає тривогу.
- Лист знеособлений, до відправника не звертаються на ім'я (цей пункт може не дотримуватися при використанні цільового фішингу).
- У листі є граматичні та орфографічні помилки.
- Лист надійшов від підрозділу або від співробітника, який раніше з вами не спілкувався, або ж у листі міститься нехарактерне прохання.
- До листа прикріплено zip-файл або велике зображення.
- Адреса пошти викликає підозри. Наприклад, організація використовує адреси у вигляді [email protected], а лист надійшов з адреси [email protected].
- Посилання вбудовані в текст або скорочені, або при наведенні на посилання відображається інша адреса.
- Відправник пише з власної електронної пошти замість робочої.
Як визначити фішинговий сайт:
- Веб-адреса написана з помилками: наприклад: appel.com замість apple.com.
- В адресі сайту стоїть http замість https. Це означає, що підключення не захищене.
- В адресі неправильний домен верхнього рівня: наприклад, .org замість .ru.
- Логотип компанії поганої якості.
- Браузер попереджає, що веб-сайт небезпечний.
Як захиститися від фішингу
Підключіть двофакторну автентифікацію. Двофакторна автентифікація, крім пароля, зазвичай вимагає:
- ввести код, який прийшов на пошту, у смс або push-повідомленні;
- підтвердити вхід на іншому пристрої;
- підтвердити вхід через біометричні дані – відбиток пальця або сканування обличчя.
Так як зловмисники найчастіше полюють за логінами та паролями, такий захист особистих та робочих акаунтів припинить багато спроб крадіжки даних.
Регулярно оновлюйте програму. Зловмисники часто використовують уразливість програмного забезпечення. Щоб уникнути проблем, регулярно встановлюйте оновлення, які усувають ці недоліки.
Встановіть надійний антивірус. Антивірусні програми сьогодні не тільки сканують програми, що завантажуються на предмет шкідливих кодів, але і можуть визначати фішингові сайти.
Nod32 попереджає, що ви намагаєтеся зайти на фішинговий сайт
Підключіть поштові фільтри. Фішингові шахраї часто роблять масові розсилки, тому добрий поштовий фільтр помітить їх як спам-розсилку.
Крім того, кіберзлочинці часто ховають шкідливий код в активному вмісті PDF-файлу або в коді – ви можете налаштувати поштовий клієнт або антивірус так, щоб сервіс перевіряв такі вкладення.
У різних поштових клієнтів фільтри налаштовуються по-різному. Наприклад, у пошті Gmail можна позначати підозрілі листи ярликами або відразу видаляти їх, а в Microsoft Exchange Online – ґрунтовно перевіряти вкладення.
Найчастіше налаштувати поштові фільтри можна у налаштуваннях поштових клієнтів у розділах «Фільтри» або «Правила».
Приклад фільтрів, які можна настроїти у Gmail