Вишинг или голосовой фишинг – это вид кибератак, в которых злоумышленники используют телефонные звонки и хитроумные методы социальной инженерии, чтобы собрать конфиденциальную информацию у своих целей.




Вишеры очень убедительно угрожают и разговаривают с жертвой. Обычно они представляются сотрудниками правоохранительных органов или банковскими работниками, сообщая цели, что ее счет был взломан. После этого жертве предлагается установить вредоносное ПО, замаскированное под легитимное приложение или упакованное в обычный ZIP-архив.

Однако, голосовой фишинг не ограничивается звонками. Чаще всего вишинговая атака начинается с СМС-сообщения, из-за чего некоторые пользователи считают вишинг и смишинг (фишинг с использованием СМС-сообщений) одним и тем же. Однако, несмотря на схожие цели и методы, вишинг и смишинг сильно отличаются друг от друга. Давайте быстро рассмотрим их различия и узнаем побольше о голосовых фишинговых атаках.

Чем вишинг отличается от фишинга?

В смишинговых атаках мошенники отправляют жертвам СМС-сообщения, пытаясь убедить их перейти по вредоносной ссылке или ответить на сообщение личной информацией. Весь процесс обмана цели состоит исключительно из обмена текстовыми сообщениями.
А чтобы провести вишинговую атаку, злоумышленник должен наладить голосовой контакт с жертвой. В этом случае сообщение используется только для того, чтобы заставить жертву набрать номер, указанный в сообщении. Это позволит мошенникам продолжить атаку или убедиться, что номер принадлежит цели.

4 этапа вишинговой атаки

1. Разведка. Атака мошенников начинается со сбора информации о жертве. Злоумышленники могут отправлять потенциальным жертвам фишинговые электронные письма, надеясь, что им ответят и предоставят контактную информацию.
2. Звонок. Если жертва уже была обманута фишинговым электронным письмом, она, скорее всего, не будет настороженно относиться к человеку, который звонит ей по телефону, представляясь отправителем письма.
3. Разговор. Как только мошеннику удается связаться с кем-то по телефону, он начнет давить на доверие, страх, жадность или потребность в помощи у своей цели. Если эта стратегия срабатывает, и жертва поддается давлению злоумышленника, то он может попросить её:
   • Предоставить информацию о банковском счете и данные кредитной карты;
   • Предоставить адрес электронной почты
   • Перевести деньги;
   • Отправить конфиденциальную документацию, связанную с работой;
   • Предоставить информацию о своей компании.
4. Профит! Однако, на этом атака не заканчивается. Получив всю нужную информацию, злоумышленники могут продолжать атаку. Например, опустошить банковский счет жертвы, использовать ее личные данные в своих целях или совершить покупки с использованием украденных данных кредитной карты. Кроме того, мошенники могут попробовать обмануть коллег цели, отправляя письма от ее имени и пытаясь получить конфиденциальные корпоративные данные.

Самые популярные вишинговые схемы

• Предупреждение о том, что с банковским счетом или платежом жертвы что-то не так. Чтобы решить “возникшую проблему”, злоумышленники просят цель сообщить свои логин и пароль или совершить новый платеж
• Непрошеные кредитные или инвестиционные предложения. Мошенники предлагают жертвам такие условия, которые слишком хороши, чтобы быть правдой. В таком случае злоумышленники давят на жадность, пытаясь убедить жертву в том, что она может заработать состояние или погасить все свои долги, сделав одну небольшую инвестицию, предлагая провести оплату прямо во время звонка.
• Звонки от имени администрации социального обеспечения. Обычно мошенники угрожают приостановить или аннулировать номер социального обеспечения клиента. В зависимости от того, насколько успешно прошла атака, злоумышленники могут похитить данные и деньги жертвы.
• Предупреждение о том, что у пользователей есть неоплаченные налоговые счета или другие штрафы и требуют немедленно перезвонить. Налоговая афера IRS.
• Звонок с сообщением, что получатель выиграл ценный приз. Однако перед получением приза жертве якобы необходимо осуществить предварительную оплату.

Как не попасться на крючок мошенников?

1. Не разговаривайте с неизвестными абонентами, особенно если они просят подтвердить или предоставить конфиденциальные данные.
2. Внимательно следите за тем, кто говорит по телефону. Прислушайтесь к его речи и дважды подумайте, прежде чем что-то сказать. Опять же, не разглашайте никакой личной информации.
3. Задавайте вопросы. Если звонящий предлагает вам бесплатный приз или пытается что-то продать, попросите подтвердить, кто он и где работает. Прежде чем предоставить свои данные, проверьте любую информацию, предоставленную звонящим. Повесьте трубку, если вам отказываются сообщить эти данные.
4. Добавьте свой номер телефона в национальный реестр «Не звонить»
5. Никогда не отвечайте на электронные письма или сообщения в социальных сетях, если в них спрашивают ваш номер телефона.

Что делать, если вас обманули?

Если вы предоставили свои банковские данные мошеннику, то первое, что нужно сделать – связаться со своим банком. Позвоните в компанию, обслуживающую вашу кредитную карту и запросите отмену подозрительных транзакций.