Наше будущее: реверсивные вишинг атаки

Вишинг атаки в последнее время становятся все более популярными среди злоумышленников.
Вишинг (Vishing == VoIP Phishing) – атака с использованием элементов социальной инженерии и VoIP для получения доступ к личным данным пользователей. Обычными рекомендациями против таких атак являются:
1. Проверка подлинности номера телефона компании, как правило, через Web сайт компании.
2. Перезвонить в компанию напрямую, чтобы быть уверенным, что вам звонят именно из этой компании.

На прошлой неделе Websense сообщила об обнаружении реверсивной вишинговой атаки в Китае. Злоумышленники сделали по существу бесполезными все вышеописанные предостережения:
1. Используя механизмы продвижения сайтов в поисковых системах, установили поддельные сайты компаний на первые позиции в поисковых запросах. (Использовались формы с большой посещаемостью).
2. Обманом заставили пользователей с помощью email перезвонить в компанию по указанному в письме номеру телефона.

Если пользователь решил проверить подлинность номера телефона через поисковую систему (к сожалению именно так и проверяется подлинность большинства номеров), он попадал на поддельный сайт, где был указан именно тот номер.

К сожалению, огромное количество уязвимостей в Web приложениях позволяют атакующему поместить необходимые данные и на Web сайт компании. Хотя подобной вишинг атаки еще не было, но это вполне возможный сценарий. К тому же, недавняя уязвимость в DNS может поспособствовать злоумышленникам в подмене содержимого Web сайта.
После звонка по указанному номеру, жертве включалась запись той компании, в которую он якобы звонил. Т.е. если вы когда-то уже звонили в эту компанию, то, услышав знакомую мелодию и «голос» АТС, у вас не возникнет больше никаких подозрений по поводу подлинности номера.

В Китае атака проводилась с использованием таких громких имен компаний как Sina, Taobao, QQ, Tencent и т.д.

Будьте осторожны, когда вам позвонят и скажут, что вы выиграли в лотерею и предложат стать «участником» вишинг атаки :)