Περισσότερο μοιάζει με απάτη παρά με απειλή για την ασφάλεια στον κυβερνοχώρο, το vishing είναι γνωστό ως μια προσπάθεια κλοπής πληροφοριών ή χρημάτων μέσω τηλεφώνου, πείθοντας και εξαπατώντας το θύμα.
Σε αυτές τις κλήσεις, οι απατεώνες χρησιμοποιούν συχνά προσωπικά δεδομένα ή πληροφορίες που έχουν αποκτηθεί από προηγούμενες επιθέσεις στον κυβερνοχώρο ή απάτες για να κερδίσουν την εμπιστοσύνη του θύματος και τελικά να το εξαπατήσουν.
Η απειλή αυτή αυξάνεται τα τελευταία χρόνια και, όπως και πολλές άλλες απάτες και επιθέσεις, αρχίζει να γίνεται όλο και πιο δημοφιλής μεταξύ των απατεώνων και των εγκληματιών του κυβερνοχώρου. Ο λόγος για αυτό είναι ότι είναι σχετικά εύκολο να εκτελεστεί, μεγάλης κλίμακας, απλή και συχνά επιτυχημένη. Ο τρόπος δράσης δεν απαιτεί καμία τεχνική επένδυση, καμία γνώση κώδικα ή πληροφορικής, παρά μόνο βασικές πληροφορίες που είναι εύκολα διαθέσιμες στο διαδίκτυο.
Σύμφωνα με πρόσφατη μελέτη της Truecaller, το 26% των πολιτών των ΗΠΑ έχασαν χρήματα από τηλεφωνική απάτη το έτος 2022. Το ποσοστό αυτό καταδεικνύει δύο σημαντικά σημεία: ότι αυτού του είδους οι επιθέσεις αυξάνονται και ότι οι άνθρωποι έχουν λάβει ελάχιστη εκπαίδευση σχετικά με αυτές τις επιθέσεις.
Ο πιο συνηθισμένος τύπος vishing είναι η πλαστοπροσωπία ενός γνωστού ή εξέχοντος προσώπου, όπως ένας κυβερνητικός αξιωματούχος, ένας πελάτης ή ένας συνάδελφος. Στόχος του απατεώνα είναι να αποκτήσει ευαίσθητες πληροφορίες, για παράδειγμα αριθμούς κοινωνικής ασφάλισης, αριθμούς φορολογουμένων ή κωδικούς πρόσβασης. Συνήθως στοχεύουν σε ευαίσθητες προσωπικές πληροφορίες, αλλά είναι πιο πιθανό το θύμα να πεισθεί να δώσει κωδικούς πρόσβασης, οι οποίοι μπορεί να έχουν ευρύτερες επιπτώσεις.
Σε σπάνιες περιπτώσεις, οι απατεώνες μπορεί να προσπαθήσουν να πείσουν τους υπαλλήλους να πληρώσουν χρήματα ή να πληρώσουν για πλαστά τιμολόγια, προκειμένου να κλέψουν χρήματα της εταιρείας. Ανεξάρτητα από τους στόχους και τις μεθόδους που χρησιμοποιούν οι απατεώνες, ο μόνος τρόπος για την πρόληψη αυτού του είδους των επιθέσεων είναι ένα κατάλληλο πρόγραμμα ευαισθητοποίησης των εργαζομένων και των χρηστών.
Αυτό το άρθρο παρέχει μια διεξοδική επισκόπηση οκτώ κοινών παραδειγμάτων vishing, τα οποία οι εργαζόμενοι/χρήστες μπορούν να γνωρίζουν εκ των προτέρων για να αποφύγουν να πέσουν στην παγίδα.
1.AI–based Vishing
Για τους απατεώνες, η τεχνητή νοημοσύνη γίνεται ένα ολοένα και πιο χρήσιμο εργαλείο για την εκτέλεση πονηρών και κακόβουλων προθέσεων και ήδη βλέπουμε την τεχνητή νοημοσύνη να συμβάλλει σε απάτες κοινωνικής μηχανικής όπως το vishing Η τεχνητή νοημοσύνη μπορεί να εντοπίσει μοτίβα χωρίς συνεχή ανθρώπινη συμβολή και μπορεί ακόμη και να εντοπίσει διαφορετικές εκδόσεις. Αυτό σημαίνει ότι μόλις ο αλγόριθμος εντοπίσει ένα μοτίβο, μπορεί να αρχίσει να το επεξεργάζεται αυτόματα.
Επιπλέον, ορισμένα λογισμικά τεχνητής νοημοσύνης μπορούν να μιμηθούν τις ανθρώπινες φωνές και να ξεγελάσουν εύκολα τους υπαλλήλους, ώστε να πιστέψουν ότι μιλούν με έναν προϊστάμενο ή διευθυντή.2021 Υπήρξε επίσης μια μεγάλης κλίμακας επίθεση στον κυβερνοχώρο το 2021 με τη χρήση κλωνοποιημένων φωνών.
Οι εγκληματίες του κυβερνοχώρου που πραγματοποίησαν αυτή την επίθεση χρησιμοποίησαν τεχνητή νοημοσύνη για να μιμηθούν τη φωνή ενός στελέχους εταιρείας, ώστε να πείσουν τον διευθυντή της τράπεζας μέσω τηλεφώνου να μεταφέρει 35 εκατομμύρια δολάρια στο πλαίσιο της διαδικασίας εξαγοράς της τράπεζας.
Το περιστατικό αυτό ήταν ένα από τα πρώτα που συνέδεσε άμεσα την τεχνητή νοημοσύνη με μια απειλή στον κυβερνοχώρο, χρησιμοποιώντας τεχνολογία βαθιάς εκμάθησης φωνής για να μιμηθεί την ομιλία, την κλίση της φωνής και την προφορά του στελέχους για να πραγματοποιήσει την επίθεση στον κυβερνοχώρο. Με τη χρήση μιας ποικιλίας μοτίβων ομιλίας που είναι εύκολα διαθέσιμα από τα μέσα κοινωνικής δικτύωσης, το YouTube και διάφορα κείμενα συνεντεύξεων, η ΤΝ μπορεί να αποτελέσει σημαντική απειλή για κάθε οργανισμό.
2.Robocall
Η επίθεση περιλαμβάνει μια προηχογραφημένη τηλεφωνική κλήση σε κάθε τηλεφωνικό αριθμό σε συγκεκριμένο κωδικό περιοχής μέσω λογισμικού υπολογιστή. Μια αυτοματοποιημένη φωνή καλεί το θύμα να δώσει το όνομά του και άλλες πληροφορίες. Οι απαντήσεις τους καταγράφονται και χρησιμοποιούνται για την κλοπή χρημάτων ή τη δημιουργία πλαστών πιστωτικών καρτών.
Ευτυχώς, τέτοιες κλήσεις είναι πλέον τόσο συνηθισμένες που οι περισσότεροι άνθρωποι τις αναγνωρίζουν και κλείνουν το τηλέφωνο αμέσως μόλις λάβουν την κλήση. Οι διεθνείς κλήσεις και οι μπλοκαρισμένοι αριθμοί αποτελούν επίσης σημάδια τέτοιων επιθέσεων.
3.VoIP
Το VoIP είναι μια σπουδαία τεχνολογία που επέτρεψε εκπληκτικές επιχειρηματικές καινοτομίες, αλλά οι απατεώνες μπορούν εύκολα να δημιουργήσουν ψεύτικους αριθμούς και να πραγματοποιήσουν επιθέσεις. Αυτή η τεχνική μπορεί να συνδυαστεί με ρομποτικές κλήσεις, αλλά συχνότερα οι κλήσεις γίνονται από ανθρώπους.
Ο καλύτερος τρόπος για να αποτρέψετε τέτοιες κλήσεις είναι να ζητήσετε από τον επιτιθέμενο να στείλει λεπτομέρειες μέσω ηλεκτρονικού ταχυδρομείου, όπου η επίθεση μπορεί εύκολα να εντοπιστεί, ή να ζητήσετε από τον επιτιθέμενο να συνεχίσει το υπόλοιπο της κλήσης μιλώντας απευθείας μαζί του.
4.Παραποίηση ταυτότητας καλούντος
Αυτός ο τύπος επίθεσης μπορεί να είναι ιδιαίτερα καταστροφικός επειδή χρησιμοποιεί λογισμικό για την παραποίηση νόμιμων αριθμών ταυτότητας καλούντος. Οι απατεώνες συνήθως παρουσιάζουν την κλήση ως προερχόμενη από κυβερνητική υπηρεσία ή ίδρυμα, όπως εφορία, αστυνομικό τμήμα ή νοσοκομείο, και χρησιμοποιούν το πρόσχημα ότι είναι επείγουσα για να πείσουν το θύμα να παράσχει πληροφορίες που κανονικά δεν θα έδινε.
Τέτοιες επιθέσεις είναι δύσκολο να εντοπιστούν και ο καλύτερος τρόπος για να τις αποφύγετε είναι να διασφαλίσετε ότι οι κλήσεις μεταφέρονται σε άλλο μέσο, παρόμοιο με το VoIP. Ορισμένα μέτρα τηλεφωνίας και φυσικής ασφάλειας μπορούν να ανιχνεύσουν και να απορρίψουν αυτόματα αυτές τις ψεύτικες ταυτότητες καλούντος.
5.Dumpster Diving
Όπως υποδηλώνει το όνομα, οι επιθέσεις αυτές πραγματοποιούνται με τη χρήση πληροφοριών που συλλέγονται από τους κάδους απορριμμάτων της εταιρείας. Τα επίσημα εταιρικά έγγραφα περιέχουν συχνά αρκετές προσωπικές πληροφορίες που μπορούν να χρησιμοποιηθούν για την εξαπόλυση μιας αρκετά επιτυχημένης επίθεσης vishing.
Ο καλύτερος τρόπος για την καταπολέμηση του λεγόμενου “dumpster diving“ είναι απλός. Όλες οι εταιρείες θα πρέπει να τεμαχίζουν τα ευαίσθητα εταιρικά έγγραφα πριν τα πετάξουν στον κάδο απορριμμάτων. Είτε χρησιμοποιείτε μια εξωτερική εταιρεία είτε αγοράζετε έναν καταστροφέα για το γραφείο σας, είναι μια επένδυση που αξίζει τον κόπο, δεδομένων των πιθανών κινδύνων.
6.Κλήση τεχνικής υποστήριξης
Η επίθεση αυτή είναι ευρέως διαδεδομένη σε μεγάλες εταιρείες όπου οι εργαζόμενοι δεν γνωρίζουν ή δεν έχουν συναντήσει ποτέ κάποιο μέλος του τμήματος τεχνικής υποστήριξης. Οι απατεώνες προσποιούνται ότι ο υπολογιστής πρέπει να ενημερωθεί ή να επισκευαστεί και ζητούν έναν κωδικό πρόσβασης για να το πράξουν.
Η εκπαίδευση είναι το κλειδί για την αντιμετώπιση αυτών των επιθέσεων. Υπενθυμίζετε συχνά στους χρήστες ότι δεν θα τους ζητήσετε ποτέ να αποκαλύψουν τον κωδικό πρόσβασής τους από το τηλέφωνο και ότι δεν πρέπει ποτέ να αποκαλύπτουν τον κωδικό πρόσβασής τους σε καμία περίπτωση.
7.Απάτη τηλεφωνητή
Αυτή η επίθεση είναι διαφορετική και αφορά ειδοποιήσεις φωνητικού ταχυδρομείου. Πολλά smartphones και εφαρμογές στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου για να ειδοποιήσουν τους χρήστες για τα αποθηκευμένα φωνητικά μηνύματα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνήθως έναν σύνδεσμο για την ακρόαση του φωνητικού μηνύματος. Αυτά τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν ως στόχο να κατευθύνουν τους χρήστες σε έναν ιστότοπο και να τους βάλουν να κατεβάσουν κακόβουλο λογισμικό στη συσκευή τους.
Η αποτροπή αυτής της απάτης απαιτεί κατάλληλη εκπαίδευση για την αναγνώριση των μηνυμάτων ηλεκτρονικού “ψαρέματος”. Συνιστάται να ελέγχετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα, καθώς τα μηνύματα αυτά περιέχουν συνήθως ορθογραφικά λάθη ή ένα λογότυπο ακατάλληλου μεγέθους και δεν αποστέλλονται από επίσημο όνομα τομέα.
8.Κλήσεις πελατών
Οι απατεώνες που πραγματοποιούν τέτοιες επιθέσεις, αφού βρουν παλιά τιμολόγια μέσω της “κατάδυσης σε κάδους απορριμμάτων” που περιγράφεται παραπάνω, συχνά υποδύονται τον πελάτη της εταιρείας σας και απαιτούν την πληρωμή του τιμολογίου. Με το πρόσχημα ότι βιάζονται, προσπαθούν να πείσουν το θύμα να ρυθμίσει το χρέος και να κλέψει χρήματα από την εταιρεία.
Αυτή η απάτη αποτελεί κλασικό παράδειγμα του γιατί όλες οι εταιρείες απαιτούν την εξουσιοδότηση δύο ατόμων για την πληρωμή τιμολογίων ή τη μεταφορά χρημάτων. Έτσι, ένα δεύτερο άτομο που δεν εμπλέκεται στην επίθεση μπορεί να επανεξετάσει τη διαδικασία και ίσως να είναι σε θέση να εντοπίσει κάποια απόπειρα απάτης ή απάτης/κλοπής.
Η εκπαίδευση είναι το κλειδί
Το Vishing είναι μία από τις αυξανόμενες επιθέσεις. Ο καλύτερος τρόπος για την καταπολέμηση αυτού του τύπου απάτης είναι να διασφαλιστεί ότι οι χρήστες γνωρίζουν και μπορούν να αναγνωρίζουν αυτές τις απάτες/επιθέσεις. Οι προσομοιώσεις Vishing είναι εξίσου απλές με τις προσομοιώσεις phishing και θα πρέπει να αποτελούν βασικό μέρος των εκστρατειών εκπαίδευσης ευαισθητοποίησης σε θέματα ασφάλειας στον κυβερνοχώρο.
Ο καλύτερος τρόπος για να διαπιστώσετε αν ο οργανισμός σας διατρέχει κίνδυνο είναι να δοκιμάζετε συνεχώς και να προσαρμόζετε ανάλογα τις άμυνές σας. Οι απατεώνες και οι εγκληματίες του κυβερνοχώρου βασίζονται πάντα σε καταστάσεις κρίσης, καταστάσεις έκτακτης ανάγκης και σενάρια που αναγκάζουν τους ανθρώπους να “ρίξουν τις άμυνές τους”.
Η υπενθύμιση στους χρήστες και τους υπαλλήλους του πώς εκτυλίσσονται αυτές οι καταστάσεις και ποιες ενδείξεις υποδεικνύουν αυτές είναι η πιο αποτελεσματική ενέργεια που μπορούν να κάνουν για να αποφύγουν τις επιθέσεις vishing. Εάν οι χρήστες και οι εργαζόμενοι είναι καλά εκπαιδευμένοι πάνω στο θέμα, τα βήματα για την αποφυγή ή την πρόληψη των επιθέσεων vishing είναι απλά και έχουν υψηλό ποσοστό επιτυχίας.
Οι επιθέσεις αυτές είναι ίδιες είτε στοχεύουν ένα άτομο είτε μια ολόκληρη εταιρεία. Η εκπαίδευση του προσωπικού σας σχετικά με το vishing μπορεί να βοηθήσει στην προστασία της θέσης και του βιοπορισμού του, τόσο στο γραφείο όσο και στο σπίτι.
