Ни для кого не секрет, что киберпреступники зачастую пользуются методами социальной инженерии — рядом приемов, позволяющих убедить человека, выбранного в качестве объекта кибератаки, совершить то или иное действие, приводящее к заражению системы или раскрытию ценной информации. Оно и понятно, ведь человек — слабое звено в системе защиты любой компании, и со стороны злоумышленников было бы глупо не использовать человеческий фактор для достижения своих корыстных целей.
Фишинговые письма, опасные вложения, поддельные домены и формы авторизации… Об этом мы писали уже не раз. А что насчет звонков?
Да-да, Вы всё правильно поняли, поговорим мы сегодня о вишинге.
Вишинг (англ. vishing — от voice phishing) — вид телефонного мошенничества, позволяющий красть конфиденциальную информацию. Короче говоря, взаимодействие злоумышленника и жертвы посредством телефонии – «голосовой фишинг».
О высокой результативности вишинга знают (ну или хотя бы догадываются) не только эксперты по информационной безопасности. Наверняка, практически каждый человек хотя бы раз в жизни любезно отвечал на звонок злоумышленника. «Добрый день, Иван Иванович? Вас беспокоит служба безопасности… ». С этой фразы, а не со сложного взлома систем безопасности организации, начинается большинство мошеннических атак. И что примечательно, жертвами таких атак становятся не только наивные пенсионеры, но и сами сотрудники служб безопасности. Интересно получается, не так ли?
С каждым годом кибермошенники становятся находчивее и изобретательнее, а легенды вишинга – разнообразнее. В ход идут сценарии с предложениями медицинских, страховых и юридических услуг, звонки от «сотрудников прокуратуры», «руководства», «служб безопасности» и «специалистов технической поддержки», звонки, информирующие о нахождении родственника в опасности, ну и, конечно, не стоит забывать о главном — звонках, предупреждающих о подозрительных транзакциях. Классика.
Почему люди продолжают «вестись» на вишинг?
- Злоумышленники знают, кому они звонят. Большой объем предварительных работ по сбору информации о жертве используется для формирования легенды и сценария разговора. Когда к Вам обращаются, зная персональные данные, это вызывает доверие…
- Злоумышленники знают, какую информацию им необходимо получить. Это позволяет сформировать сценарий разговора, проработать ключевые вопросы, подготовить пути отхода, если собеседник начнет что-то подозревать.
- Злоумышленники используют информацию, касающуюся внутренних процессов компании. «Здравствуйте, Михаил Дмитриевич! Звоню Вам по просьбе руководителя Александра Андреевича Иванова. По Вашему пропуску сегодня был зафиксирован проход через систему контроля управления доступом…». Ну как тут не поверить?
- Злоумышленники демонстрируют эмоциональную заинтересованность в сложившейся ситуации или схожие интересы, чтобы притупить внимание собеседника.
А знаете, что еще сильнее повысит доверие и ослабит бдительность жертвы? « Коллаборация» фишинга и вишинга. Использование двух социотехнических приемов в рамках одной атаки… Да, злоумышленники точно не стоят на месте. И если фишинговое письмо еще может показаться подозрительным и остаться проигнорированным (или же вообще не прочитаться), то телефонный звонок, касающийся содержания письма, поможет жертве поверить в его легитимность и настроит жертву на нужный злоумышленнику контакт. «Добрый день, Иван Иванович? Вас беспокоит специалист технической поддержки. Ранее мы высылали Вам письмо, касающееся изменений в правилах эксплуатации офисной техники, но, к сожалению, так и не получили обратной связи в прилагаемой форме. Не могли бы Вы выполнить действия, указанные в письме?.. ». Такой звонок увеличит отклик, спровоцирует жертву открыть файл или перейти по ссылке и выполнить необходимые злоумышленнику действия. Находчиво.
Каждая подобная статья, как правило, заканчивается списком рекомендаций, которые позволят повысить осведомленность пользователей в вопросах информационной безопасности.
Ну и мы, пожалуй, далеко ходить не будем, ведь повторение лишним не бывает. Да и сколько бы рекомендаций не давалось, их всё равно всегда почему-то мало (ну или они просто мало кем соблюдаются). Иначе и писать про различные опасности не имело бы смысла – их бы попросту не было.
Что мы можем посоветовать, если Вам звонит плохой человек?
- Не забывайте о простых правилах цифровой гигиены.
- Не раскрывайте конфиденциальную информацию. Ни в письмах, ни по телефону.
- При подозрении, что полученный телефонный звонок является попыткой вишинга, следует прекратить разговор, не поддаваясь панике.
- Не выполняйте указаний звонящего. Перезвоните на официальный номер самостоятельно и уточните информацию.
- Никому не сообщайте номер банковской карты, ПИН-код или CVV-код. Помните, что биометрические данные (образец голоса), записанные в ходе телефонного разговора, могут открыть мошенникам доступ к банковскому счету. Лучше вообще не разговаривать.
