Что такое смишинг это
Смишинг
Добавлено в закладки: 0
Что такое смишинг? Описание и определение понятия
Смишинг (от англ. SMiShing — «SMS» и «фишинг») – это тип фишинга при помощи SMS. Мошенники жертве отправляют СМС-сообщение, которое содержит ссылку на сайт фишинга и мотивирует её на этот сайт войти. Возможно, жертве предлагают в ответном SMS-сообщении отправить конфиденциальную информацию, которая касается индивидуальнык свойств в доступа на платёжно-информационные ресурсы платёжных реквизитов или сети Интернет.
Смишинг – это преступная схема, которая направляется на то, чтобы жертва, получив СМС от будто надежного отправителя, выдал для своей кредитной карты пароли, данные или прочую персональную информацию. Смишинг похож на фишинг. Но преступники при фишин 
ге с аналогичной целью применяют электронные письма.
Входящее смишинг-сообщение выглядит, как СМС-сообщение от банка, компании, которая знакома получателю или как уведомление о выигрыше в лотерею. В электронных письмах данного типа возможно заметить неграмотность речи или опечатки и распознать тем самым фишинг-сообщение (хотя часто данные послания весьма убедительно выглядят). При СМС все не настолько просто, так как они невелики по размеру. Отличие лишь в том, что лотереи, банки, компании в действительности не будут посылать таких сообщений.
Зачастую подставное СМС сообщает: «Поздравляем, вы выиграли!» — и предлагает вводить некоторый специализированный код, чтобы приобрести приз. Для «получения приза» также предлагают по бесплатному номеру позвонить или на СМС-сообщение ответить. Возможно и предложение просто зайти по ссылке, которая указана в сообщении.
Так злоумышленники заманивают к себе доверчивых граждан. Когда жертва даёт ответ на данное сообщение, преступник вытягивает из нее личную информацию, или просит на свой счет перевести деньги в обмен на предлагаемый «приз». Когда же переходишь в сообщении по ссылке, то можно загрузить на свой мобильный вирус.
Рекомендации
Для того, чтобы не быть жертвой мошенников, нужно придерживаться таких рекомендаций:
Распознать мошенничество СМС с банковскими картами достаточно сложно. Отправитель, который внушает доверие, сбивает с толку, а с «оператором» при общении услышите характерный шум, который присущ деятельности офисного сотрудника.
При тонком подходе заранее готовятся к разговору с 
планируемой жертвой. В данный момент не сложно подобрать добавочную информацию при помощи социальных сетей. Могут обратиться к вам по имени-отчеству, назвать место работы, дату рождения. Все это для того, чтобы уменьшить бдительность. Помните, мошенники, являющиеся профессионалами, имеют отличную подготовку, они хитры и умны.
Что должно насторожить
В ситуации, когда СМС в отношении блокировки пластика пришла действительно от банка, прямой телефон колл-центра, банка будет указан в контактных данных. Обязательно при этом пропишут часть номера карты. Посмотрите внимательно, кто в качестве отправителя указан.
Онлайновые мошенники увеличили направление собственных атак на мобильные телефоны. Случаи рассылки массово фальшивых СМС, которые заманивают на инфицированный веб-сайт пользователей, имели уже место в Австралии и Исландии, что вынудило экспертов безопасности предупредить о смишинге (SMiShing).
В тексте ложной СМС пользователю сообщают о том, что его подписали на оплачиваемую услугу, за которую будет удерживаться с его счета ежедневно два доллара, и когда он желает от данной услуги отказаться, ему необходимо зайти на сайт. Пользователей на сайте «ожидала» троянская программа, которая написана на VBS, открывающей лазейку хакерам на компьютер, зараженный ею, и автоматически рассылала СМС на случайные номера, через необходимые веб-сервисы мобильных операторов.
Пример смишинга
Приведём отличный пример сми
шинга. Девушка в письме сообщила, что на ее мобильный телефон поступило СМС-сообщение как будто от фирмы «ОАО «Avto-******», что она выиграла авто.
Текст СМС-сообщения приведём ниже:
”Pozdravlyaem,po itogam akcii,Vi stali obladatelem avtomobilya «Chevrolet-AVEO» Info na www.Avto-******.ru ili po tel: +7(919)804-**-**»
Сайт, на который в сообщении ведет ссылка, качественно сделан. Есть раздел об истории фирмы, контакты, гостевая книга (но неработающая), и интернет-магазин авто и аксессуаров.
В разделе «Акция», сразу бросилось в глаза пару настораживающих пунктов (сохранена орфография оригинала):
«4.1. Если отыскали собственный номер с перечне выигрышных номеров, то Вам после того, как будет пройдена стандартная регистрация, нужно на e-mail Avto-******@yandex.ru прислать копии таких документов
«5. Для того, чтобы в системе зарегистрироваться и получить восьмизначный пинкод (сертификат, который даёт право получить Ваш приз) нужно в течении часа от приобретения целого блока информации, использовать аппарат самообслуживания (терминал) и пополнить баланс выигрышной сим-карты точно на 1 процент от суммы выигрыша.»
Далее указывается сумма: 5600 рублей (для владельцев основных призов-автомобилей).
Участники «акции» могут быть абоненты мобильных номеров, которые указаны на сайте. Но как будто для безопасности в перечнях номера не полностью приведены (к примеру, 8905486****), что увеличивает в значительной степени число потенциальных счастливчиков.
Стало интересно, что в отношении данного сайта думает Google? Опаля! На первой странице результатов поиска четвертая ссылка в запросе «avto-******.ru» кричала: «СМС-мошенники пытаются прикрыться АвтоВАЗом».
Whois тоже порадовали данные домена. Домен создан 2010.01.30, то есть 30.01.10, и всего на одингод вперед оплачен. На сайте утверждают, что фирма с 1997 года существует, и даже выложили фото-отчеты с акций, проходивших якобы в 2009 и 2008 годах.
Сайт в данном случае используют очевидно мошенники, стремящиеся получить конфиденциальную информацию и деньги пользователей.
Необходимо быть осторожными и осознавать, что данные о случайном получении приза в акции/розыгрыше/лотерее, в которых не желали изначально участвовать, присылают различного рода фишеры и мошенники. И они желают вовсе не подарить вам что-то, а тем или иным способом заполучить деньги.
Мошенники такого рода применяют характерные приемы:
Предупрежден – означает защищен
Методы хищения средств с пластиковых карт все более из
ощренные. Сами, не зная того, мы помогаем мошенникам произвести кражу своих сбережений. Потому лучшее средство себя защитить – это ознакомиться своевременно с вероятными мошенническими схемами. Один из самых больших рисков для владельцев карт на данный момент — это фишинг — «выуживание» персональных данных различными методами. И в то время, как раньше зачастую применялись рассылки интернет писем на электронные адреса, будто от имени одной из платежных систем или банка, а в последнее время увеличивается число тех, кто пострадал от смишинга. Что такое смишинг? Приходит на мобильный телефон СМС от отправителя, который надежен на первый взгляд. Текст сообщения побуждает собственника карты к действиям, в итоге которых мошенники приобретают доступ к персональной ценной информации. Это ПИН-код, личные данные или реквизиты карты для платежей. Обычно поступает сообщение в отношении блокировки от имени банка пластиковой карты, где просят перезвонить на номер, который указан в СМС. Цель данных рассылок – вызвать тревогу и немедленную реакцию человека: позвонив, уладить появившееся недоразумение. В сообщении могут указать какую-либо проблему с банковскими счетами. Мошенники в ходе беседы узнают номер карты, CVV/CVC-коды, срок действия. Таких данных достаточно для того, чтобы выполнить в Интернете онлайн транзакцию и обнулить счет на карте. Случается, что злоумышленники передают просьбу им перезвонить, когда к банкомату подойдет жертва. Для того, чтобы разблокировать карту, они предлагают на интернет-банкинг подписаться и просят сообщить пароль и логин, которые выданы банкоматом. Приобретя так доступ к операциям онлайн, списать все средства, которые имеются на счете, уже не трудно. Мошенники, как вариант, диктуют, на какие необходимо кнопки нажать и хозяин карты, сам об этом не подозревая, переводит на другие электронные кошельки деньги.
Распознать обман
Рас
познать с банковскими картами СМС мошенничество бывает достаточно сложно. Отправитель, который внушает доверие, сбивает с толку, а когда общаетесь с «оператором», то услышите шум, который присущ деятельности офисного сотрудника. Если более тонко подойти: к разговору с предстоящей жертвой готовятся заранее. Сейчас не сложно собрать добавочную информацию при помощи социальных сетей. К вам обратятся по имени-отчеству, назовут ваше место работы, дату рождения. Все это для того, чтобы уменьшить бдительность. Запомните, профессионалы-мошенники имеют отличную подготовку, они хитры и умны. Насторожит необычный служебный номер банка (любые комбинации цифр и букв, которые похожи на настоящий номер банковской карты). Лучше всего не перезванивать вообще по указанным телефонам. Так как такие СМС-рассылки применяются с одной целью сбора данных;
уклончивые ответы в отношении состояния счета;
когда просят назвать реквизиты карты;
когда просят к банкомату подойти или последовать указаниям оператора.
В ситуации, когда СМС в отношении блокировки пластика пришла действительно от банка, в контактных данных укажут прямой телефон колл-центра, банка. При этом будет обязательно прописываться часть номера карты. Посмотрите внимательно, кто в качестве отправителя указан. Зачастую мошенники от имени Центробанка России действуют, название могут указать, как латинскими буквами, так и на русском языке. Необходимо знать, что эта организация рассылкой на сотовые телефоны клиентов банка не занимается и когда вы получили данное сообщение – это скорее всего, смишинг.
СМС мошенничество, имеющее интернет ссылки
Интернет среда с каждым днем все 
более опасна. Хакеры взламывают не лишь компьютеры, однако и телефоны. Так как ничего нет проще, нежели массовая рассылка СМС с адресом сайта, который взломан. Пользователь по ссылке переходит и оставляет собственные личные данные. Для того, чтобы побудить к данным действиям, сообщение оформляют в виде подтверждения подписки, которую никто на самом деле не заказывал. В этой ситуации это обязано насторожить. Через СМС мошенничество также распространено в форме шокового текста от «родственников», имеющее просьбу перечислить деньги или поздравления с выигрышем, который не ожидали. Не ведитесь на уловки мошенников. До того, как выполнить неожиданные действия обдумайте внимательно ситуацию. Выполняйте такие советы:
Не доверяйте сильно.
Не реагируйте на подозрительные сообщения, по указанным номерам не звоните и по интернет ссылкам не переходите.
Не указывайте каких-нибудь по телефону персональных данных.
Когда все-таки попались, в срочном порядке заблокируйте собственные карты.
Получив на свой телефон сомнительную рассылку, не будьте безучастны. Смишинг — это самое подлое из преступлений, так как зачастую на него ведутся доверчивые пенсионеры, малоимущие слои населения. Необходимо как можно быстрее передать информацию о СМС мошенничестве организации, от имени которой приходит это сообщение. Поставьте также в известность оператора связи, вы сможете тем самым предотвратить в дальнейшем преступные действия.
Мы коротко рассмотрели смишинг: предупрежден – защищен, распознать обман, СМС мошенничество, имеющее интернет ссылки, пример, что должно насторожить, рекомендации. Оставляйте свои комментарии или дополнения к материалу
Что такое Smishing и как от него защититься?
Фактически о проблемах фишинга написана масса статей. Smishing – это разновидность фишинга, при этом для доставки мошеннического сообщения используется SMS. Фактически Smishing просто использует текстовые сообщения вместо электронной почты.
Что используется в качестве приманки
Текстовые сообщения являются наиболее распространенным использованием смартфонов. По данным маркетингового агентства Experian — взрослые пользователи мобильных телефонов в возрасте от 18 до 24 лет отправляют более 2022 текстовых сообщений в месяц (в среднем это 67 в день) и получают 1831.
Несколько других факторов делают это особенно коварной угрозой безопасности. Большинство людей знают что-то о рисках мошенничества с электронной почтой. Вы, вероятно, научились с подозрением относиться к электронным письмам с надписью «Привет, зацените эту классную ссылку» и не содержащих реальных личных сообщений от предполагаемого отправителя.
Когда люди разговаривают по телефону, они менее осторожны. Многие предполагают, что их смартфоны более безопасны, чем компьютеры. Но безопасность смартфона имеет ограничения и не может напрямую защитить от улыбки. Как отмечено WillisWire киберпреступность, направленная на мобильные устройства, стремительно развивается, как и использование мобильных устройств. Однако, хотя устройства Android остаются основной целью для вредоносных программ — просто потому, что их так много; и платформа предлагает большую гибкость для клиентов (и киберпреступников!) нельзя сказать, что пользователи iPhone более защищены от таких атак. Соответственно, это подвергает пользователей iPhone и iPad особому риску, потому что они часто чувствуют, что защищены от атак. Хотя мобильная технология Apple iOS имеет хорошую репутацию в плане безопасности, ни одна мобильная операционная система сама по себе не может защитить вас от фишинговых атак. Другим фактором риска является то, что вы используете свой смартфон на ходу, часто, когда вы отвлекаетесь или спешите.
Портрет киберпреступника, использующего Smishing.
Большинство киберпреступников хотят украсть ваши личные данные, которые затем могут использовать для кражи денег — обычно ваших, но иногда и вашей компании. Киберпреступники используют два способа кражи этих данных. Они могут заставить вас загрузить вредоносную программу, которая устанавливается на ваш телефон. Это вредоносное ПО может маскироваться под легитимное приложение, обманывая вас при вводе конфиденциальной информации и отправке этих данных злоумышленникам. С другой стороны, ссылка в сообщении SMS может привести вас на фальшивый сайт, где вас попросят ввести конфиденциальную личную информацию, которую киберпреступники могут использовать для кражи вашего онлайн-идентификатора.
Защити себя
Хорошей новостью является то, что потенциально от этих атак легко защититься. На самом деле, вы можете быть в безопасности, ничего не делая. Атака может нанести урон, только если вы глотаете приманку. Следует помнить о нескольких вещах, которые помогут вам защитить себя от этих атак:
Помните, что, как и фишинг электронной почты, Smishing является преступлением. Результат Smishing зависит от того, чтобы заставить жертву сотрудничать, щелкнув ссылку или предоставив информацию. Действительно, самая простая защита от этих атак — вообще ничего не делать. Пока вы не отвечаете, вредоносный текст ничего не может сделать. Проигнорируйте и атака закончится НИЧЕМ!.
Чем смишинг отличается от фишинга и как от него защититься
Рассказываем, как мошенники наловчились использовать SMS для выманивания у жертвы данных карты или пароля от интернет-банкинга.
В последнее время все только и говорят, что о «смишинге»: в США, Италии, Бразилии СМИ штампуют тревожные новости о новых мошеннических кампаниях. Немецкая полиция даже выпустила по поводу одной из них официальное предупреждение.
Если посмотреть на популярность запроса smishing в поиске, становится видно, что именно за последний год это явление набрало нешуточные обороты. Так что же такое смишинг, и в чем его отличительные особенности?
Рост популярности поискового запроса smishing в Google за последние несколько лет
Что такое смишинг и как он устроен?
Сначала разберемся со значением слова: смишинг — это тот же фишинг, но распространяющийся не по электронной почте, а через SMS. Отсюда и сам термин: smishing = SMS + phishing. По некоторым классификациям, к смишингу относится и фишинг в мессенджерах, но его мы все-таки считаем отдельным явлением, поэтому тут рассматривать не будем.
Цель преступников, как и при любом другом фишинге, — выманить у жертвы важную личную информацию, чаще всего это пароль от интернет-банка или данные банковской карты. Для этого мошенники присылают SMS, как правило, о какой-нибудь выдуманной проблеме: застрявшей посылке, неоплаченном счете или заблокированном аккаунте. Чтобы решить проблему, нужно перейти по ссылке. Дальше возможны два варианта развития событий:
По большому счету все зависит от того, с чем данным конкретным мошенникам удобнее работать — с вредоносным ПО или сайтами. Итог для жертвы в обоих случаях одинаковый — потеря денег, нередко довольно ощутимых: у людей воруют тысячи долларов, евро или фунтов. Так почему же SMS-фишинг набрал популярность именно в последнее время, и чем он опаснее обычного фишинга?
Чем смишинг опаснее обычного фишинга
Во-первых, к почтовому фишингу все более-менее привыкли, более-менее знают, как его распознать и как от него защититься. SMS в этом плане гораздо более неожиданный канал для мошенничества, поэтому люди реже ждут подвоха от коротких сообщений.
Во-вторых (и это важное дополнение к «во-первых»): несмотря на то, что доверия к SMS больше, защищены они в среднем хуже, чем та же электронная почта. В любую мало-мальски приличную почтовую службу сегодня обязательно встроен спам-фильтр, зачастую очень даже умный. Обойти его возможно, но для этого мошенникам приходится выдумывать новые и новые уловки. Спам-фильтры мобильных операторов такой гибкостью и точностью сегодня похвастаться, увы, не могут.
В-третьих, SMS чаще читают на ходу и между делом, что в сочетании с первым пунктом усиливает некритичность взгляда и повышает вероятность успешной атаки. В случае с текстовым сообщением получатель часто не вдумывается, от кого оно и что в нем написано — просто кликает по ссылке.
И наконец, в-четвертых, у SMS банально меньше признаков, по которым можно распознать мошенничество. В почте всегда можно посмотреть адрес отправителя, оценить дизайн и верстку письма, проверить грамотность и внятность написанного — в общем, поискать стандартные красные флаги.
В SMS всего этого нет, даже легитимные сообщения выглядят очень похоже друг на друга, текст максимально короткий, а при наличии у мошенников технической подготовки отправителя можно очень достоверно заспуфить, то есть подменить реальный номер отправителя поддельным.
Как защититься от смишинга
Теперь рассказываем, как от этого всего уберечься:
Ну и напоследок небольшой FAQ для самых дотошных.
Можно ли отвечать на мошеннические сообщения? Может, если я попрошу, меня уберут из рассылки?
Ни в коем случае! Любой ответ будет расценен мошенниками как подтверждение того, что номер активен. Отписывать вас, конечно, тоже ниоткуда не будут, этого часто и от нормальных компаний трудно добиться, чего уж говорить о товарищах вне закона.
А что, если это не смишинг, а важное сообщение от банка?
Если есть сомнения, лучше всего связаться с банком напрямую и уточнить, правда ли он отправил то, что вам пришло (скорее всего, нет). Ах да, контакты банка стоит взять из официального источника, например сайта, и ни в коем случае не из того самого сообщения.
Может, есть какой-нибудь способ автоматизировать отсеивание фишинга в SMS?
Конечно, есть! Во многие защитные решения давно уже встроены фильтры, которые выловят подозрительные ссылки в SMS и мессенджерах, предупредят вас о них и не позволят потерять деньги из-за минутной невнимательности. Например, такой фильтр есть в Kaspersky Internet Security для Android.
Также рекомендуем установить наше приложение Kaspersky Who Calls, которое защищает от телефонного спама и мошенничества.
Как происходят атаки при помощи голосового фишинга
Что такое вишинг?
Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология автоматизированной симуляции голоса, или для упрощения задачи скаммер может использовать персональную информацию о жертве, собранную во время предыдущих кибератак.
Какие бы технологии не использовались, схема атаки следует знакомому нам сценарию социального инжиниринга: нападающий создаёт ситуацию, позволяющую эксплуатировать человеческие чувства, и убеждает жертву раскрыть ценную информацию, например, номера кредитных карт или пароли. В этом смысле техники вишинга повторяют фишинг-атаки, которые используются ещё с 1990-х. Но вишинг-звонки используют тот факт, что мы с большей вероятностью доверимся человеческому голосу, и могут быть нацелены на пожилых или боящихся технологий людей, ведь они наивны и не сталкивались с подобными видами мошенничества.
Статистика по вишингу
Эти внушительные числа помогают нам получить представление о масштабах вишинга и о том, почему он может быть выгодным бизнесом для нападающих.
Вишинг, фишинг, смишинг: в чём разница?
Фишинг — это общий предок всех схем, но, по сути, он заключается в отправке таргетированных сообщений электронной почты с целью обмана получателей. Слово «phish» произносится точно так же, как и пишется, и похоже на слово «fish» — аналогия в том, что удильщик забрасывает крючок с наживкой (фишинговое электронное письмо), надеясь, что жертва клюнет. Это понятие появилось в середине 1990-х в среде хакеров, пытавшихся обманом узнать у пользователей AOL их информацию для входа в систему. «Ph» в начале слова — это часть традиции эксцентричной хакерской орфографии; вероятно, на него повлиял термин «phreaking», ставший сокращением от «phone phreaking» — одного из первых видов хакерства, при котором в телефонную трубку проигрывались звуковые тоны для получения возможности бесплатных телефонных звонков.
Вишинг, по сути, является фишингом через телефонные звонки. Аналогично тому, как фишинг считается разновидностью спама, вишинг стал развитием идеи VoIP-спама, так же известного как спам по телефонии (spam over telephony), или SPIT. Сам термин «вишинг» появился в конце 2000-х.
«Смишинг» (smishing) — это похожий тип атак, при котором вместо электронной почты или голосовых звонков используются текстовые сообщения; термин возник как гибрид «SMS» и «phishing.» Подробнее о смишинге можно узнать в этой статье.
Техники вишинга
Почти все вишинг-атаки имеют одинаковые особенности. Телефонные звонки обычно производятся через сервисы voice over IP (VoIP), что упрощает автоматизацию некоторых или всех частей процесса и усложняет их отслеживание жертвами или органами правопорядка. А конечная цель нападающих — получить от атаки какую-нибудь выгоду, узнав или информацию о банковском счёте, или личные данные, которые можно использовать для доступа к банковским счетам, или любую другую персональную информацию, которой можно воспользоваться или для получения доступа к банковскому счёту, или же убедить жертву заплатить мошенникам напрямую.
Однако во вселенной вишинг-мошенничества существует множество методик и стратегий. Их диапазон простирается от сильно автоматизированных «дробовиковых» (shotgun) атак, нацеленных на много потенциальных жертв в надежде на хотя бы частичный успех, до точечного мошенничества, направленного на конкретную ценную мишень.
Наверно, самый широко распространённый вид вишинга начался с так называемого «wardialing», то есть сотен тысяч автоматизированных звонков на сотни тысяч номеров. Потенциальная жертва (или её голосовая почта) получает аудиозапись, задача которой — напугать жертву или хитростью заставить её совершить телефонный звонок скаммерам. Часто вишеры выдают себя за сотрудников IRS (налогового управления США) или какого-то иного государственного органа, банка или кредитной организации. Wardialing может целенаправленно выбирать телефонный код определённого региона и использовать название местной организации в надежде найти его клиентов.
Одна из разновидностей этой методики использует всплывающие окна на компьютере, часто внедряемые вредоносным кодом для имитации предупреждений ОС о какой-то технической проблеме. Жертве сообщают, что ей необходимо позвонить в «отдел технической поддержки Microsoft» или что-то подобное, указывая телефонный номер. При звонке жертву соединяют с вишером, который во время разговора может использовать сочетание реальных и автоматизированных голосовых ответов. Цель этого, опять-таки, заключается в получении максимальной отдачи малыми усилиями.
Spear vishing
При подобных массовых shotgun-атаках вишеры практически ничего не знают о жертвах, и им приходится блефовать, чтобы убедить в том, что они те, кем представляются; из-за этого их достаточно просто выявить. Однако гораздо более опасными являются вишеры, целью которых являетесь именно вы. Эта методика называется «spear vishing»; как и при spear phishing, для неё требуется, чтобы нападающие уже имели какие-то данные о своей цели. Например, spear-вишер может уже знать ваш домашний адрес и название банка, благодаря чему он проще сможет убедить вас сказать ему свой PIN.
Но откуда они так много о вас знают? «Основная часть таких данных берётся из dark web, куда они часто попадают после утечек данных», — рассказывает CEO Отдела услуг глобальной идентификации и киберзащиты Generali Global Assistance (GGA) Пейдж Шаффер. Поэтому когда вы читаете о крупных утечках данных, то знайте, что они могут сильно упростить вишинг. Может показаться странным, что нападающий, уже знающий вашу личную информацию, стремится узнать больше, однако, как говорит Пейдж, «чем больше информации есть у мошенника, тем больший урон он может нанести. Зачем ему успокаиваться, узнав последние четыре цифры SSN (номера социального страхования, в США часто используемого для идентификации личности вместо паспорта), если потенциально он может убедить вас сообщить остальные пять? Полный SSN позволяет им открывать фальсифицированные кредитные карты, получать займы и выполнять многие другие действия».
Может показаться, что это гораздо более трудоёмко, чем позвонить кому-нибудь через wardialing и представиться сотрудником IRS, и это действительно так. Но большинство людей, особенно жертвы, обладающие высокой ценностью, которые часто являются более образованными и технически подкованными, такие простые попытки мошенничества видят насквозь. Если вознаграждение достаточно велико, то может оказаться так, что трата времени на создание убедительного образа для вытягивания из жертвы информации оправдает себя. «Хакер может терпеливо работать над длительным получением информации от жертвы через фишинговые электронные письма или перехватывая её через вредоносное ПО», — поясняет Шаффер. «Когда spear-вишеры охотятся на крупную „рыбу“, например, генеральных директоров, то мы называем это whaling (охотой на китов)». А с улучшением методик симуляции голоса «китобои» получают всё больше инструментов, имея возможность имитировать конкретных людей, пытаясь обмануть своих жертв.
Примеры вишинга
Пока я не вдавался в подробности конкретных манипуляций, которые вишеры могут применять для получения ваших денег или личной информации. Блог HashedOut разбил их на четыре общие категории:
Телемаркетинговое мошенничество. На самом деле, подобный тип мошенничества появился раньше эпохи вишинга, но теперь заимствует многие его методики. Вишер может совершить вам холодный звонок, ничего не зная вас, и сделать предложение, которое слишком хорошо, чтобы быть правдой: вы выиграли в какой-то лотерее, в которой никогда не участвовали, вам предлагают бесплатный отдых в отеле Marriott, снижение процента по кредитной карте и т.п. Обычно для получения ваших «бесплатных» денег нужно внести авансовый платёж, после чего, разумеется, вы не получаете обещанную приманку.
Выдача себя за сотрудника государственного органа. Распространённый вид мошенничества заключается в заявлении о том, что возникла проблема с компенсациями, которые должна получать жертва, допустим, с выплатами по Medicare или социальному страхованию; предложение «устранить» проблему даёт возможность убедить жертву передать мошеннику личную информацию, например, номер социального страхования и номера банковских счетов. Более агрессивная версия подобной методики заключается в том, что фальшивые «расследователи» IRS заявляют жертвам, что те задолжали налоги и угрожают им штрафами или тюремным заключением. В этом видео показано, как офицер полиции общается с одним из таких мошенников.
Часто подобные виды мошенников требуют от жертвы оплаты подарочными картами Amazon, а затем просят прочитать числа с обратной стороны карты, потому что покупки по картам невозможно отследить. Это верный признак того, что вы имеете дело не с госслужащими!
Мошенничество с техподдержкой. Выше мы немного рассказывали об этом — мошенники могут воспользоваться технической наивностью жертвы и её страхами быть взломанной. Они используют всплывающую рекламу или вредоносное ПО, притворяющиеся предупреждениями операционной системы, чтобы убедить жертв позвонить вишерам. Лаборатория Касперского предупреждает о разновидности такого мошенничества, которое, по сути, является видом ransomware: вредоносное ПО блокирует компьютер, но демонстрирует номер «технической поддержки», по которому добрый «специалист», на самом деле являющийся членом той же группы, установившей malware, починит компьютер за деньги, из-за его жертва считает, что ей действительно помогли.
Вишинг-атаки на банковские счета. Разумеется, святым Граалем для вишера является получение доступа к вашей банковской информации. А если нападающий уже имеет доступ к части ваших личных данных из описанных выше источников, то он может имитировать звонки, которые жертва может ожидать от своего финансового учреждения, и это способно обмануть даже самых проницательных людей. Основатель Panic Inc. Калеб Сассер рассказал Krebs on Security пугающую историю почти успешной вишинговой атаки. Нападающему удалось выполнить спуфинг своего телефонного номера, заменив его на номер банка Сассера Wells Fargo, после чего он заявил, что исследует потенциально мошеннические действия. Так как «банк» предложил прислать новую пластиковую карту, Сассер едва не ввёл в телефон новый PIN, однако в последнюю минуту одумался — если бы он так поступил, то вишеры смогли бы клонировать его карту и свободно её использовать.
Подобные типы мошенников чаще всего охотятся на «китов», отыскивая очень ценные мишени, чтобы быстро обогатиться. Один из вариантов подобного называют «аферой после полудня пятницы» — вишеры звонят инвестиционной компании или другой богатой жертве в самом конце рабочей недели, рассчитывая на то, что отвечающий на звонок человек устал и рассеян, а его бдительность ослаблена.
Как предотвратить вишинг
Если вы хотите распознавать вишинг и избегать его, то мы надеемся, что наша статья поможет вам понять, на что следует обращать внимание. FTC собрала хороший список ключевых пунктов, которые должны знать все:
Если вы хотите сделать проактивные шаги для защиты своей организации, то можно включить в вишинг в программу инструктажа по мерам безопасности. Различные компании предлагают услуги симулируемых платформ вишинга, помогающие обнаружить уязвимые места в поведении сотрудников и продемонстрировать свойства угрозы персоналу.
На правах рекламы
Виртуальные серверы с новейшим железом, защитой от DDoS-атак и огромным выбором операционных систем. Максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe.