Vishing, inaczej voice phishing to metoda socjotechnicznych ataków hakerskich, będąca odmianą phishingu i wykazująca się dużą skutecznością. W jej przypadku kanałem komunikacji oszusta z ofiarą jest rozmowa telefoniczna. O ile wiele osób potrafi dziś poprawnie zweryfikować np. fałszywe wiadomości e-mail, to bezpośrednia rozmowa z doświadczonym oszustem (lub dobrze wyszkolonym botem AI, którego głos do złudzenia przypomina ludzki) może wprowadzić w błąd każdego.

Podczas rozmów telefonicznych odbiorca nie ma zbyt wiele czasu na podejmowanie decyzji, a ponaglający ton oszusta wywiera dodatkową presję. Oszust może podawać się np. za:

• Pracownika urzędu skarbowego, który informuje o zaległościach w płatności podatków i wskazuje numer konta do uregulowania zobowiązań.

• Pracownika sklepu internetowego i informować, że ostatnia transakcja nie powiodła się, dlatego konieczne jest podyktowanie danych karty kredytowej, by ponowić płatność.

• Policję, władze uczelni, kontrahenta, wnuka (w przypadku osób starszych) czy inne zaufane osoby, by poinformować o jakiejś krytycznej sytuacji (np. wypadku) i dzięki temu nakłonić ofiarę do wykonania wskazanych czynności.

W ramach vishingu, poza bezpośrednią kradzieżą pieniędzy, może dochodzić do gromadzenia cennych danych: loginów do kont w mediach społecznościowych, dostępów do kont bankowych czy wrażliwych firmowych informacji. Oszuści mogą prowadzić rozmowę w taki sposób, by jej nagrane fragmenty wykorzystać w późniejszej biometrycznej weryfikacji głosu w banku lub u innych podmiotów finansowych. Cele takich ataków są bardzo zróżnicowane, podobnie jak w przypadku innych rodzajów ataków hakerskich.

Dzięki powszechności usługi Voice over IP możliwe jest jeszcze łatwiejsze dokonywanie ataków vishingowych. VoIP umożliwia m.in. sfałszowanie identyfikatora wyświetlającego się na telefonie odbiorcy czy wykorzystanie zaawansowanych systemów automatycznych (przykładowo Interactive voice response – IVR). Wraz z wzrostem popularności vishingu rozwijają się także tak zwane voice boty, czyli „wirtualni konsultanci”. Systemy naśladujące żywe osoby są legalne, dopóki ich operatorzy nie próbują dopuszczać się oszustwa. Na szczęście na rynku pojawiają się równolegle również rozwiązania do weryfikacji, czy słyszany głos pochodzi rzeczywiście od danej osoby, czy być może jest tylko automatycznie symulowany.

Phishing, smishing i vishing to często spotykane terminy, które pomimo wielu podobieństw różnią się między sobą:

• Phishing to ogólna nazwa dla grupy różnych metod wykorzystujących wiedzę z zakresu inżynierii społecznej do świadomego oszukiwania osób dla osiągnięcia konkretnych korzyści. W ramach phishingu możemy wymienić m.in. spear phishing (atak ukierunkowany na konkretną osobę poprzedzony wnikliwym rozpoznaniem), vishing czy smishing.

• Smishing zamiast rozmów bezpośrednich przez telefon wykorzystuje krótkie wiadomości tekstowe SMS. Przestępca w takiej wiadomości może przesyłać zainfekowane linki lub odnośniki to fałszywych formularzy bankowych czy urzędowych. Może też starać się wykraść informacje, podając się za zaufane instytucje. W pierwszych miesiącach pandemii wiele osób otrzymywało fałszywe SMS-y, których nadawcą rzekomo było Ministerstwo Zdrowia. Wiadomości zawierały informację o skierowaniu na kwarantannę i link do szczegółowej instrukcji postępowania. SMS-y były oczywiście sfałszowane, jednak w wielu przypadkach oszuści osiągnęli sukces, wykorzystując panikę i stres.

Zależnie od rodzaju przekazanych danych oszustom oraz charakteru przestępstwa należy:

• Wprowadzić w życie wypracowane procedury firmowe zdefiniowane w Systemie Zarządzania Bezpieczeństwem Informacji, a wcześniej powiadomić administratora.

• W przypadku przestępstw na polu prywatnym należy jak najszybciej zmienić dane dostępowe do narażonych na atak kont w serwisach, a także zablokować karty płatnicze, jeśli jej dane dostały się w ręce przestępców. 

Specjaliści ds. cyberbezpieczeństwa potwierdzają, że najsłabszym ogniwem systemu zabezpieczeń jest człowiek. Walka z własnymi odruchami i opanowanie stresu to trudne zadanie (osoby przeprowadzające ataki socjotechniczne potrafią doskonale manipulować ofiarą i wykorzystać jej skrajne emocje). Przyswojenie podstawowych zasad cyberbezpieczeństwa może uratować przed zagrożeniem i nieprzyjemnymi konsekwencjami. Nie zaszkodzi także więcej ostrożności, jeśli dzwoni do nas ktoś z nieznanego numeru i prosi o dane czy wykonanie wskazanej czynności. Należy pamiętać, że żaden urzędnik czy pracownik banku nigdy nie dzwoni do nas z prośbą o podanie danych do logowania, szczegółowych danych osobowych, czy też nie prosi o instalację jakichkolwiek aplikacji na telefonie czy komputerze.

Pomóc mogą szkolenia z zakresu security awareness, czyli tzw. świadomości bezpieczeństwa, które specjaliści Netii przeprowadzają dla klientów biznesowych w ramach usługi Netia SOC. Netia SOC to kompleksowa ochrona i proaktywny monitoring sieci firmowej oraz wsparcie specjalistów z różnych obszarów cyberbezpieczeństwa.

Umiejętności pracowników nabyte podczas szkoleń z zakresu cyberbezpieczeństwa można przetestować za pomocą kontrolowanych testów phishingowych. Usługa Netia Phishing-On-Demand pozwala sprawdzić, jak personel firmy radzi sobie w przypadku otrzymania zainfekowanych wiadomości. Działania kończą się raportem i wskazaniem obszarów do poprawy.

Chcesz dowiedzieć się więcej o metodach ochrony przed vishingiem i innymi metodami socjotechnicznymi? Skontaktuj się z nami. Pamiętaj, że sieć w Twojej firmie jest tak bezpieczna, jak świadomi są jej użytkownicy.

Dowiedz się, jakie zagrożenia internetowe powinien znać użytkownik indywidualny i czy dotyczy go również atak phishing.