Что такое вишинг-атака и как она может повлиять на вас и вашу компанию?
Из-за нашего растущего цифрового присутствия и растущей сложности киберугроз кибербезопасность является постоянной проблемой. Одним из последних видов кибератак является пресловутая вишинг-атака. Согласно отчету, опубликованному IBM X-Force, число вишинг-атак за последние несколько лет резко увеличилось. Например, только в 2022 году на эти атаки приходится 41% всех кибермошенничества.
Не волнуйся, я здесь, чтобы помочь тебе. В этой статье я объясню, что такое вишинг-атаки, как они работают, общие примеры и как их предотвратить. Начнем с определения.
Что такое вишинг-атака?
Вишинг или атака голосового фишинга — это кибератака, при которой злоумышленники используют программное обеспечение для изменения голоса и мошеннические телефонные номера для извлечения конфиденциальной информации от жертв. Эта информация может включать в себя пароли, данные банковского счета и т. д. Как вы уже догадались, эти атаки похожи на фишинговые и смишинговые атаки с небольшими отличиями. Прежде чем продолжить, давайте быстро коснемся различий между тремя.
Различия между вишинговыми, фишинговыми и смишинговыми атаками
Важно отметить, что все три атаки преследуют одну и ту же цель: получить конфиденциальную информацию от пользователей для получения финансовой выгоды. Однако их различия заключаются в используемой среде. Как упоминалось ранее, вишинг-атаки происходят по телефону. С другой стороны, фишинговые атаки происходят через электронные письма, а смишинг-атаки — через SMS-сообщения.
Теперь, когда вы понимаете различия между ними, давайте углубимся в то, как киберзлоумышленники проводят вишинг-атаки.
Как кибер-злоумышленник осуществляет вишинг-атаку?
Кибер-злоумышленник часто звонит и представляет себя авторитетным лицом из уважаемого учреждения. Затем они попытаются убедить жертву, что на карту поставлены их деньги. Злоумышленники утверждают, что жертва должна предоставить информацию об учетной записи для дальнейшей обработки.
Например, злоумышленник может заявить, что жертва недавно получила возмещение IRS. Затем злоумышленник запрашивает реквизиты банковского счета, чтобы «внести» деньги на банковский счет жертвы. Но на самом деле они просто опустошат этот банковский счет. Кибер-злоумышленник также может использовать конфиденциальную информацию жертвы для совершения кражи личных данных.
К сожалению, жертвы могут и попадаются на эти элементарные аферы. Кибер-злоумышленники — обманщики и манипуляторы, у них высокий уровень умения вести гладкую речь. В целом, это только усиливает смертоносный характер атаки вишинга.
Давайте теперь посмотрим на некоторые распространенные примеры вишинг-атак.
Распространенные примеры вишинг-атак
Вишинг-атаки — это атаки социальной инженерии. Чтобы уточнить, злоумышленник не просто звонит жертве случайным образом. Вместо этого они используют стратегический подход, чтобы узнать больше о своей жертве. Как правило, они просматривают профили жертв в социальных сетях и разрабатывают для них «индивидуальную» стратегию. Давайте посмотрим на некоторые примеры.
Государственная проверка
Если жертва получает социальное обеспечение или другие льготы, злоумышленник может замаскироваться под представителя правительства, чтобы получить эту информацию. Злоумышленник может «заявить», что ему нужна эта информация для целей проверки, чтобы жертва могла продолжать получать эти преимущества.
Шлюз онлайн-платежей
Иногда злоумышленник может выдать себя за представителя службы поддержки таких компаний, как Google, Apple или Amazon. Они говорят своим жертвам, что заметили или проверяли необычную активность в своих цифровых кошельках. Затем «представитель» запросит пароли и PIN-коды для доступа к этим кошелькам.
Менеджер банка
Вероятно, это самый распространенный тип атаки в этом списке. Здесь злоумышленник маскируется под банковского менеджера и утверждает, что на счете жертвы были совершены мошеннические транзакции. Злоумышленник также может заявить, что банк получил чек и хочет внести его на счет жертвы.
Техническая поддержка
В этом примере киберпреступники выдают себя за представителей технической поддержки таких компаний, как Microsoft. Они подробно расскажут о вирусах, обнаруженных на устройстве жертвы. Затем они попросят жертву установить определенное антивирусное программное обеспечение, которое они отправят по электронной почте. Отправляемая ими ссылка содержит вредоносное ПО или другие вредоносные вирусы, которые могут заразить устройство жертвы.
Эти примеры можно продолжать, но теперь вы знаете о смертельной природе вишинг-атак. Итак, как вы можете предотвратить их? Я расскажу об этом дальше!
3 совета по предотвращению атак вишинга в индивидуальном порядке
Этот раздел направлен на то, чтобы научить вас лично тому, как вы можете предотвратить вишинг-атаки. Вы найдете несколько советов и приемов, которые помогут вам не стать потенциальной жертвой. Давайте изучим их дальше.
1. Будьте в курсе вашего разговора
Всегда будьте бдительны, если вам звонит подозрительный человек. Помните, что злоумышленники могут выдавать себя за кого угодно по телефону. Всегда дважды проверяйте информацию в соответствующей организации, прежде чем продолжать звонить.
2. Избегайте раскрытия конфиденциальной информации
Вам следует избегать раскрытия какой-либо информации о себе по телефону. Этот совет касается не только реквизитов вашего банковского счета и PIN-кодов. На самом деле, вы не должны раскрывать какую-либо информацию по телефону. Это включает в себя ваш домашний адрес и любую другую личную информацию о себе. Помните, что ни одна законная организация не будет звонить и запрашивать вашу личную информацию по телефону.
3. Принимайте звонки только от доверенных абонентов
Лучше не отвечать на звонки с подозрительных номеров. Вместо этого позвольте своим абонентам оставлять голосовую почту. Вы можете ответить позже, если сочтете это уместным. Кибер-злоумышленники никогда не оставят голосовую почту. Вы даже можете зарегистрировать свой номер телефона в реестре «Не звонить», чтобы избежать звонков со спам-номеров.
Далее я расскажу, как предотвратить вишинг-атаки как организация.
3 совета по предотвращению вишинг-атак для всей организации
Когда дело доходит до вишинг-атак, киберпреступники также могут атаковать организации. Вот несколько способов предотвратить эти атаки в вашей организации.
1. Обучайте своих сотрудников
В качестве первого шага обучите своих сотрудников вишинг-атакам. Покажите им, как киберпреступники могут использовать эти атаки для извлечения конфиденциальной информации. И вы также должны напомнить им, что ни один менеджер или генеральный директор никогда не свяжется с ними по телефону, чтобы запросить информацию.
2. Воспользуйтесь преимуществами реестра «Не звонить»
Обязательно добавьте все номера офисных телефонов, включая мобильные устройства, в реестр «Не звонить» в вашей организации. Кроме того, вы должны поощрять своих сотрудников также регистрировать свои номера в этом реестре. В целом, эти действия резко снизят шансы на атаку вишинга.
3. Ограничьте доступ к конфиденциальной информации
Как правило, рекомендуется упростить и ограничить доступ к конфиденциальным документам в вашей организации. Эти документы могут включать все, что содержит информацию о сотрудниках и другую важную для бизнеса информацию.
Вы далеко зашли в своем путешествии, не так ли? Думаю, пора закругляться!
Заключительные слова
В заключение, киберугрозы проявляются во многих формах, включая телефонные звонки. Кибер-злоумышленники часто маскируются под авторитетных лиц, таких как банковские менеджеры, чтобы обманом заставить вас раскрыть конфиденциальную информацию. В некоторых случаях они могут использовать эту информацию для получения финансовой выгоды или для совершения кражи личных данных.
Вы можете сделать несколько вещей, чтобы не стать жертвой этой атаки. Например, вы можете не отвечать на звонки с неизвестных номеров. Как организация, вы можете рассказать своим сотрудникам о смертельной природе вишинг-атак. Я выделил еще несколько советов и приемов в самой статье. Используя эту информацию, вы можете создать более безопасную среду для себя и своих сотрудников.
У вас есть еще вопросы о вишинг-атаках? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Вишинг и фишинг — это одно и то же?
Нет, это не одно и то же, хотя оба являются атаками социальной инженерии. Кибератаки используют фишинговые атаки для жертв через электронные письма. С другой стороны, они используют вишинг-атаки через телефонные звонки.
Нацелены ли вишинговые кибератаки на организации?
Да, они делают это для извлечения личной информации сотрудников организации. Что еще более важно, кибератаки могут использовать вишинг-атаки для выкачивания средств компании.
Распространены ли вишинг-атаки?
Да, они очень распространены. Статистика показывает, что процент вишинг-атак увеличился с 17,8% в 2021 году до 53,2% в 2022 году. Это показывает, что киберпреступники считают голосовые вызовы более привлекательным средством для совершения своих гнусных действий.
Могу ли я сообщить о нападении вишинга?
Да, вы можете сообщить о вишинг-атаке в местный отдел по борьбе с киберпреступностью. В Великобритании вы можете сообщить о преступлении в Action Fraud. Для США вы можете позвонить в Федеральную торговую комиссию. Вы также можете проверить свою местную ячейку кибер-информации для получения более подробной информации и процесса подачи жалобы.
Что я могу сделать, чтобы не стать жертвой атаки вишинга?
Ну, во-первых, вы можете зарегистрировать свой номер в реестре «Не звонить». Вам также следует избегать ответов на звонки с подозрительных номеров. Вместо этого позвольте им оставить голосовое сообщение, и вы сможете перезвонить при необходимости позже. И, наконец, как правило, никогда никому не сообщайте никакую личную информацию по телефону.