Konsultant telefoniczny prosi Cię o dane osobowe? Uważaj, możesz paść ofiarą vishingu!

Wszyscy słyszeliśmy o phishingu, wypróbowanym i przetestowanym oszustwie e-mail, w którym sprawca podszywa się pod wiarygodne źródła, aby nakłonić odbiorców do przekazania poufnych informacji lub pobrania złośliwego oprogramowania. Vishing to odpowiednik tego typu oszustwa, które odbywa się z wykorzystaniem połączenia telefonicznego. Na czym polegają oszustwa vishingowe, jakie mogą być ich skutki dla firm i osób prywatnych oraz jak możesz się przed nimi chronić?

Vishing dotyka zarówno konsumentów indywidualnych, jak i firmy, z jednego bardzo prostego powodu - ludzkiej omylności. Podstawą działania przestępców jest sztuka perswazji. Cyberprzestępcy umiejętnie opanowali metody polegające na podszywaniu się pod zaufane organy — banki, dostawców technologii czy pracowników działu pomocy IT. W swoich działaniach posługują się metodą polegającą na tworzeniu poczucia pilnego podjęcia jakiegoś działania lub wzbudzenia obaw przed ich zaniechaniem, tłumiąc tym samym naturalne podejrzenia lub ostrożność ofiary.

- Takie techniki socjotechniczne są wykorzystywane w wiadomościach phishingowych i fałszywych wiadomościach tekstowych (znanych jako smishing). Wysoką skuteczność oszuści osiągają także w telefonicznym kontakcie z ofiarą.

Kamil Sadkowski

specjalista ds. cyberbezpieczeństwa ESET

Vishing – jakie taktyki stosują oszuści?

Atakujący mają kilka dodatkowych narzędzi i taktyk, które stosują, by ich oszustwa były bardziej skuteczne. Są to:

• Narzędzia do fałszowania numeru telefonu wyświetlanego odbiorcy, których można użyć do ukrycia rzeczywistej lokalizacji oszusta, a nawet podszycia się pod numery telefonów zaufanych organizacji. Na przykład w zeszłym roku, po włamaniu do luksusowego hotelu Ritz London i kradzieży danych osobowych klientów, oszuści wykorzystali te dane do przeprowadzenia przekonujących ataków socjotechnicznych na ofiary, podszywając się pod pracowników i oficjalny numer telefonu hotelu.
• Oszustwa wielokanałowe, które mogą zaczynać się od wiadomości SMS, e-mail lub poczty głosowej, zachęcając użytkownika do zadzwonienia pod wskazany w wiadomości numer. Takie działanie powoduje skierowanie ofiary bezpośrednio do oszusta.
• Przeszukiwanie mediów społecznościowych i innych otwartych źródeł danych w Internecie, które może dostarczyć oszustom wielu cennych informacji o ich ofiarach. Takie dane mogą zostać później wykorzystane do atakowania określonych osób – np. pracowników korporacji na określonych stanowiskach. Dane te mogą posłużyć również do uwiarygodnienia oszustwa – osoba atakująca może powtórzyć znane ofierze niektóre dane osobowe, aby zdobyć jej zaufanie i wyciągnąć od niej w ten sposób więcej poufnych informacji. Prowadzisz firmę? Jesteś na celowniku oszustów

W sierpniu 2020 r. amerykańskie FBI szczegółowo opisało wyrafinowaną operację, w której cyberprzestępcy badali swoje cele, a następnie dzwonili do wytypowanych ofiar podszywając się pod dział pomocy IT. Ofiary były zachęcane do podania swoich danych logowania na zarejestrowanej wcześniej stronie phishingowej pozorującej stronę logowania do firmowego VPN. Te dane uwierzytelniające zostały później wykorzystane do uzyskania dostępu do firmowych baz z danymi osobowymi klientów.

- Takie ataki stały się bardziej powszechne, częściowo dzięki masowemu przejściu na pracę zdalną podczas pandemii wywołanej koronawirusem. Ostatni przypadek włamania na Twitterze, w którym pracownicy zostali nakłonieni do ujawnienia swoich danych logowania, ilustruje, że nawet firmy i użytkownicy znający się na technologii mogą paść ofiarą oszustów. W tym przypadku dostęp został wykorzystany do przejęcia kont sławnych użytkowników w celu rozpowszechniania oszustwa kryptowalutowego.

Kamil Sadkowski

specjalista ds. cyberbezpieczeństwa ESET

Vishing może uderzyć w każdego

Niestety, oszuści vishingowi działają również przeciwko indywidualnym konsumentom. W tego typu atakach ostatecznym celem jest bezpośrednia kradzież danych konta bankowego lub karty albo nakłonienie ofiary do przekazania swoich danych osobowych i loginów, aby uzyskać dostęp do tych kont. Jakie metody najczęściej wykorzystują przestępcy?

Oszustwa związane z pomocą techniczną

W tym przypadku, ofiary są najczęściej atakowane przez kogoś, kto udaje ich dostawcę usług internetowych lub znanego dostawcę oprogramowania czy sprzętu. Oszuści próbują wówczas przekonać swoją ofiarę, że znaleźli nieistniejący problem z komputerem, a następnie żądają płatności (danych karty), aby go naprawić. Oszustwa te mogą również zaczynać się od wyświetlenia wyskakującego okienka na przypadkowej stronie internetowej, które zachęca ofiarę do zadzwonienia na numer rzekomej infolinii.

Fałszywe wiadomości głosowe

Jest to praktyka polegająca na wysyłaniu automatycznych wiadomości głosowych do dużej liczby ofiar, zwykle po to, aby je przestraszyć i zmusić do oddzwonienia na podany wcześniej numer — oszuści bardzo często informują ofiarę, że ma niezapłacone podatki lub inne grzywny.

Telemarketing

Inną popularną taktyką jest informowanie odbiorcy o wygranej. Jedynym haczykiem jest to, że przed otrzymaniem nagrody przez ofiarę wymagana jest drobna opłata.

Phishing/smishings

Jak wspomniano, oszustwa mogą zaczynać się od sfałszowanej wiadomości e-mail lub fałszywego SMS-a, zachęcając użytkownika do zadzwonienia pod wskazany numer. Popularnym przykładem jest e-mail „Amazon”, który zawiadamia, że coś jest nie tak z ostatnim zamówieniem. Zadzwonienie pod numer wymieniony w mailu przekierowuje ofiarę na linię, którą zarządza oszust vishingowy.

Jak zapobiegać vishingowi?

Chociaż niektóre z tych oszustw stają się coraz bardziej wyrafinowane, istnieją sposoby, aby zmniejszyć ryzyko stania się ich ofiarą. Podstawowe kroki obejmują:

• Zastrzeżenie numeru telefonu, aby nie był on dostępny publicznie
• Niepodawanie numeru telefonu w formularzach internetowych (np. podczas zakupów online)
• Wzmożona czujność, gdy ktoś prosi o podanie informacji bankowych, osobistych lub innych poufnych informacji przez telefon
• Zachowanie ostrożności – brak wchodzenia w kontakt z niechcianymi rozmówcami, zwłaszcza jeśli proszą o potwierdzenie poufnych danych
• Nigdy nie oddzwaniaj na numer pozostawiony w poczcie głosowej
• Zawsze kontaktuj się bezpośrednio z organizacją
• Użyj uwierzytelniania wieloskładnikowego (MFA) na wszystkich kontach internetowych
• Upewnij się, że zabezpieczenia poczty e-mail/sieci są zaktualizowane i zawierają funkcje antyphishingowe