Vishing, czyli voice phishing. Na czym polega? | Biznes Netia
Menu główne

Vishing, czyli voice phishing. Jak się przed nim chronić?

27 grudnia 2022, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
Vishing to kolejny rodzaj ataku socjotechnicznego, który w ostatnim czasie przeżywa prawdziwy rozkwit, choć sam w sobie nie jest niczym nowym. Oszuści, do jego przeprowadzenia stosują coraz bardziej nowoczesne metody podszywania i wykorzystują słabości dostępnych systemów telefonicznych. W artykule przedstawiamy, różnice między vishingiem a innymi metodami oszustwa oraz co zrobić, by nie paść ofiarą vishingu.
 
 
 
   

Co to jest vishing?

 

Vishing, inaczej voice phishing to metoda socjotechnicznych ataków hakerskich, będąca odmianą phishingu i wykazująca się dużą skutecznością. W jej przypadku kanałem komunikacji oszusta z ofiarą jest rozmowa telefoniczna. O ile wiele osób potrafi dziś poprawnie zweryfikować np. fałszywe wiadomości e-mail, to bezpośrednia rozmowa z doświadczonym oszustem (lub dobrze wyszkolonym botem AI, którego głos do złudzenia przypomina ludzki) może wprowadzić w błąd każdego.

 

Podczas rozmów telefonicznych odbiorca nie ma zbyt wiele czasu na podejmowanie decyzji, a ponaglający ton oszusta wywiera dodatkową presję. Oszust może podawać się np. za:

 

Pracownika urzędu skarbowego, który informuje o zaległościach w płatności podatków i wskazuje numer konta do uregulowania zobowiązań.

 

Pracownika sklepu internetowego i informować, że ostatnia transakcja nie powiodła się, dlatego konieczne jest podyktowanie danych karty kredytowej, by ponowić płatność.

 

Policję, władze uczelni, kontrahenta, wnuka (w przypadku osób starszych) czy inne zaufane osoby, by poinformować o jakiejś krytycznej sytuacji (np. wypadku) i dzięki temu nakłonić ofiarę do wykonania wskazanych czynności.

 

W ramach vishingu, poza bezpośrednią kradzieżą pieniędzy, może dochodzić do gromadzenia cennych danych: loginów do kont w mediach społecznościowych, dostępów do kont bankowych czy wrażliwych firmowych informacji. Oszuści mogą prowadzić rozmowę w taki sposób, by jej nagrane fragmenty wykorzystać w późniejszej biometrycznej weryfikacji głosu w banku lub u innych podmiotów finansowych. Cele takich ataków są bardzo zróżnicowane, podobnie jak w przypadku innych rodzajów ataków hakerskich.

 

Dzięki powszechności usługi Voice over IP możliwe jest jeszcze łatwiejsze dokonywanie ataków vishingowych. VoIP umożliwia m.in. sfałszowanie identyfikatora wyświetlającego się na telefonie odbiorcy czy wykorzystanie zaawansowanych systemów automatycznych (przykładowo Interactive voice response – IVR). Wraz z wzrostem popularności vishingu rozwijają się także tak zwane voice boty, czyli „wirtualni konsultanci”. Systemy naśladujące żywe osoby są legalne, dopóki ich operatorzy nie próbują dopuszczać się oszustwa. Na szczęście na rynku pojawiają się równolegle również rozwiązania do weryfikacji, czy słyszany głos pochodzi rzeczywiście od danej osoby, czy być może jest tylko automatycznie symulowany.

 

Vishing, phishing i smishing – czym się różnią?

 

Phishing, smishing i vishing to często spotykane terminy, które pomimo wielu podobieństw różnią się między sobą:

 

Phishing to ogólna nazwa dla grupy różnych metod wykorzystujących wiedzę z zakresu inżynierii społecznej do świadomego oszukiwania osób dla osiągnięcia konkretnych korzyści. W ramach phishingu możemy wymienić m.in. spear phishing (atak ukierunkowany na konkretną osobę poprzedzony wnikliwym rozpoznaniem), vishing czy smishing.

 

Smishing zamiast rozmów bezpośrednich przez telefon wykorzystuje krótkie wiadomości tekstowe SMS. Przestępca w takiej wiadomości może przesyłać zainfekowane linki lub odnośniki to fałszywych formularzy bankowych czy urzędowych. Może też starać się wykraść informacje, podając się za zaufane instytucje. W pierwszych miesiącach pandemii wiele osób otrzymywało fałszywe SMS-y, których nadawcą rzekomo było Ministerstwo Zdrowia. Wiadomości zawierały informację o skierowaniu na kwarantannę i link do szczegółowej instrukcji postępowania. SMS-y były oczywiście sfałszowane, jednak w wielu przypadkach oszuści osiągnęli sukces, wykorzystując panikę i stres.

 

Co zrobić, gdy padnie się ofiarą vishingu?

 

Zależnie od rodzaju przekazanych danych oszustom oraz charakteru przestępstwa należy:

 

• Wprowadzić w życie wypracowane procedury firmowe zdefiniowane w Systemie Zarządzania Bezpieczeństwem Informacji, a wcześniej powiadomić administratora.

 

W przypadku przestępstw na polu prywatnym należy jak najszybciej zmienić dane dostępowe do narażonych na atak kont w serwisach, a także zablokować karty płatnicze, jeśli jej dane dostały się w ręce przestępców. 

 

Jak chronić się przed vishingiem?

 

Specjaliści ds. cyberbezpieczeństwa potwierdzają, że najsłabszym ogniwem systemu zabezpieczeń jest człowiek. Walka z własnymi odruchami i opanowanie stresu to trudne zadanie (osoby przeprowadzające ataki socjotechniczne potrafią doskonale manipulować ofiarą i wykorzystać jej skrajne emocje). Przyswojenie podstawowych zasad cyberbezpieczeństwa może uratować przed zagrożeniem i nieprzyjemnymi konsekwencjami. Nie zaszkodzi także więcej ostrożności, jeśli dzwoni do nas ktoś z nieznanego numeru i prosi o dane czy wykonanie wskazanej czynności. Należy pamiętać, że żaden urzędnik czy pracownik banku nigdy nie dzwoni do nas z prośbą o podanie danych do logowania, szczegółowych danych osobowych, czy też nie prosi o instalację jakichkolwiek aplikacji na telefonie czy komputerze.

 

Pomóc mogą szkolenia z zakresu security awareness, czyli tzw. świadomości bezpieczeństwa, które specjaliści Netii przeprowadzają dla klientów biznesowych w ramach usługi Netia SOC. Netia SOC to kompleksowa ochrona i proaktywny monitoring sieci firmowej oraz wsparcie specjalistów z różnych obszarów cyberbezpieczeństwa.

 

Umiejętności pracowników nabyte podczas szkoleń z zakresu cyberbezpieczeństwa można przetestować za pomocą kontrolowanych testów phishingowych. Usługa Netia Phishing-On-Demand pozwala sprawdzić, jak personel firmy radzi sobie w przypadku otrzymania zainfekowanych wiadomości. Działania kończą się raportem i wskazaniem obszarów do poprawy.

 

Chcesz dowiedzieć się więcej o metodach ochrony przed vishingiem i innymi metodami socjotechnicznymi? Skontaktuj się z nami. Pamiętaj, że sieć w Twojej firmie jest tak bezpieczna, jak świadomi są jej użytkownicy.


Dowiedz się, jakie zagrożenia internetowe powinien znać użytkownik indywidualny i czy dotyczy go również atak phishing.

 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×