Czym jest vishing? Nowa metoda oszustów przez telefon

2021-07-10 13:53
senior telefon
Autor: www.pixabay.com

Większość internautów dobrze zna określenie "phishing", opisujące metodę wyłudzania danych przez internet. Okazuje się, że złodzieje danych skutecznie wykorzystują także starsze narzędzia komunikacji. Vishing to odpowiednik tego typu oszustwa, które odbywa się z wykorzystaniem połączenia telefonicznego.

Kiedyś bandyci, żeby okraść klienta banku musieli czekać, aż wyjdzie z placówki z torbą pełną pieniędzy. Dziś wystarczy, że wpiszemy dane logowania w niewłaściwym miejscu, żeby stracić oszczędności życia. Hakerzy, wirusy, phishing - to wszystko sprawia, że internet jest rajem dla złodziei. To jednak nie jedyny kanał kradzieży danych. Podczas gdy nasza uwaga skupiona jest na nowych technologiach, złodzieje z powodzeniem korzystają ze starszej technologii.

Vishing dotyka zarówno konsumentów indywidualnych, jak i firmy, z jednego bardzo prostego powodu - ludzkiej omylności. Podstawą działania przestępców jest sztuka perswazji. Cyberprzestępcy umiejętnie opanowali metody polegające na podszywaniu się pod zaufane organy — banki, dostawców technologii czy pracowników działu pomocy IT. W swoich działaniach posługują się metodą polegającą na tworzeniu poczucia pilnego podjęcia jakiegoś działania lub wzbudzenia obaw przed ich zaniechaniem, tłumiąc tym samym naturalne podejrzenia lub ostrożność ofiary.

– Takie techniki socjotechniczne są wykorzystywane w wiadomościach phishingowych i fałszywych wiadomościach tekstowych (znanych jako smishing). Wysoką skuteczność oszuści osiągają także w telefonicznym kontakcie z ofiarą – mówi Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET.

ZOBACZ TEŻ: Oszuści czyhają na twoje pieniądze! Jak zabezpieczyć konto internetowe na komputerze?

Atakujący mają kilka dodatkowych narzędzi i taktyk, które stosują, by ich oszustwa były bardziej skuteczne. Są to:

  •  Narzędzia do fałszowania numeru telefonu wyświetlanego odbiorcy, których można użyć do ukrycia rzeczywistej lokalizacji oszusta, a nawet podszycia się pod numery telefonów zaufanych organizacji. Na przykład w zeszłym roku, po włamaniu do luksusowego hotelu Ritz London i kradzieży danych osobowych klientów, oszuści wykorzystali te dane do przeprowadzenia przekonujących ataków socjotechnicznych na ofiary, podszywając się pod pracowników i oficjalny numer telefonu hotelu.
  •  Oszustwa wielokanałowe, które mogą zaczynać się od wiadomości SMS, e-mail lub poczty głosowej, zachęcając użytkownika do zadzwonienia pod wskazany w wiadomości numer. Takie działanie powoduje skierowanie ofiary bezpośrednio do oszusta.
  •  Przeszukiwanie mediów społecznościowych i innych otwartych źródeł danych w Internecie, które może dostarczyć oszustom wielu cennych informacji o ich ofiarach. Takie dane mogą zostać później wykorzystane do atakowania określonych osób – np. pracowników korporacji na określonych stanowiskach. Dane te mogą posłużyć również do uwiarygodnienia oszustwa – osoba atakująca może powtórzyć znane ofierze niektóre dane osobowe, aby zdobyć jej zaufanie i wyciągnąć od niej w ten sposób więcej poufnych informacji.

– Takie ataki stały się bardziej powszechne, częściowo dzięki masowemu przejściu na pracę zdalną podczas pandemii wywołanej koronawirusem. Ostatni przypadek włamania na Twitterze, w którym pracownicy zostali nakłonieni do ujawnienia swoich danych logowania, ilustruje, że nawet firmy i użytkownicy znający się na technologii mogą paść ofiarą oszustów. W tym przypadku dostęp został wykorzystany do przejęcia kont sławnych użytkowników w celu rozpowszechniania oszustwa kryptowalutowego. – dodaje Kamil Sadkowski.