23/07/2021 19:13

Vishing: τι είναι το «φωνητικό ψάρεμα» και πώς να το αντιμετωπίσετε

Οι κυβερνοεγκληματίες εξελίσσονται διαρκώς και μετά το phishing («ηλεκτρονικό ψάρεμα») ήρθε το vishing, η αντίστοιχη απάτη με τη χρήση φωνής.

Το phising είναι μία πολύ γνωστή μορφή κυβερνοαπάτης μέσω email στην οποία ο απατεώνας παρουσιάζεται ως αξιόπιστη πηγή για να εξαπατήσει τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να κατεβάσουν κακόβουλο λογισμικό.

Το vishing είναι μια αντίστοιχη απάτη «φωνητικού ψαρέματος». Είναι ένα κόλπο με πολλές παραλλαγές που μπορεί να ξεγελάσει άτομα και μεγάλους οργανισμούς – με πιθανές καταστροφικές συνέπειες.

Το «φωνητικό ψάρεμα» λειτουργεί με επιτυχία τόσο στους καταναλωτές όσο και τις επιχειρήσεις για έναν πολύ απλό λόγο: την ανθρώπινη φύση.

Οι απατεώνες χρησιμοποιούν την κοινωνική μηχανική (Social Engineering) για να χειραγωγήσουν τα θύματά τους. Οι απατεώνες παρουσιάζονται ως ένας φορέας που εμπιστεύεστε – πχ η τράπεζά σας, η εταιρεία τεχνολογίας με την οποία συνεργάζεστε, κάποια υπηρεσία του Δημοσίου, κάποιος εργαζόμενος στο τμήμα τεχνικής υποστήριξης – και σας δημιουργούν την αίσθηση ότι πρόκειται για κάποιο επείγον ή ανησυχητικό συμβάν.

Αυτή η αίσθηση του επείγοντος ή του φόβου που δημιουργούν υπερισχύει κάθε φυσικής προσοχής ή υποψίας που μπορεί να έχει το θύμα.

Αυτές οι τεχνικές χρησιμοποιούνται σε ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phishing) και ψεύτικα μηνύματα κειμένου (γνωστά ως smishing από το SMS Phishing). Αλλά ίσως είναι πιο αποτελεσματικά όταν χρησιμοποιούνται “ζωντανά” μέσω τηλεφώνου. Οι Vishers – δηλαδή οι απατεώνες που χρησιμοποιούν τεχνικές φωνητικού ψαρέματος – έχουν πολλά επιπλέον εργαλεία και τακτικές για να κάνουν τις απάτες τους πιο επιτυχημένες, όπως:

– Εργαλεία πλαστογράφησης αναγνώρισης κλήσης, τα οποία μπορούν να χρησιμοποιηθούν για την απόκρυψη της πραγματικής τοποθεσίας του απατεώνα και ακόμη και την αλλαγή των αριθμών τηλεφώνου ώστε να φαίνεται ότι το τηλεφώνημα προέρχεται από κάποιο αξιόπιστο οργανισμό.

Πέρυσι, για παράδειγμα, είχαν κλαπεί τα προσωπικά στοιχεία πελατών του ξενοδοχείου Ritz London κατά τη διάρκεια μιας παραβίασης στο πολυτελές ξενοδοχείο. Οι απατεώνες χρησιμοποίησαν τα δεδομένα για να πραγματοποιήσουν επιθέσεις κοινωνικής μηχανικής εναντίον των θυμάτων, πλαστογραφώντας τον επίσημο αριθμό του ξενοδοχείου στη διαδικασία.

– Απάτες με συνδυαστική χρήση διαφορετικών τακτικών που ενδέχεται να ξεκινούν με ένα ψεύτικο μήνυμα SMS (smishing), ένα email ηλεκτρονικού «ψαρέματος» (phishing) ή ένα φωνητικό μήνυμα και να ενθαρρύνουν τον χρήστη να καλέσει έναν αριθμό. Αν το θύμα καλέσει θα μιλήσει απευθείας με έναν απατεώνα.

– Οι απατεώνες μπορούν να κάνουν έρευνα και να βρουν στα κοινωνικά μέσα και στις ανοικτές πηγές πληροφόρησης πληθώρα πληροφοριών για τα θύματά του.

Οι απατεώνες μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να στοχεύσουν συγκεκριμένα άτομα (ας πούμε, υπαλλήλους εταιρειών με πρόσβαση σε προνομιακούς λογαριασμούς) και για να κάνουν πιο νομιμοφανή την επικοινωνία – δηλαδή, ο απατεώνας μπορεί να παραθέσει ορισμένα προσωπικά στοιχεία στο θύμα, ώστε να μπορέσει να αποσπάσει περισσότερες πληροφορίες.

Στο εταιρικό περιβάλλον το Vishing είναι πιθανόν να χρησιμοποιηθεί για την κλοπή διαπιστευτηρίων. Το FBI έχει προειδοποιήσει πολλές φορές για τέτοιες επιθέσεις. Τον Αύγουστο του 2020, περιέγραψε μια εξελιγμένη επιχείρηση στην οποία οι κυβερνοεγκληματίες μελέτησαν με λεπτομέρεια τους στόχους τους και στη συνέχεια τους κάλεσαν το τηλέφωνο προσποιούμενοι ότι τηλεφωνούν από το τμήμα IT.

Τα θύματα ενθαρρύνθηκαν να συμπληρώσουν τα στοιχεία σύνδεσης τους σε ένα website ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί ώστε να μοιάζει με τη σελίδα σύνδεσης στο VPN της εταιρείας. Αυτά τα διαπιστευτήρια χρησιμοποιήθηκαν στη συνέχεια για πρόσβαση σε βάσεις δεδομένων της εταιρείας για την κλοπή προσωπικών στοιχείων των πελατών.

Τέτοιες επιθέσεις είναι πιο συνηθισμένες εν μέρει χάρη στη μαζική στροφή προς την απομακρυσμένη εργασία κατά τη διάρκεια της πανδημίας, προειδοποίησε το FBI. Στην πραγματικότητα, το FBI αναγκάστηκε να εκδώσει μια ακόμα προειδοποίηση τον Ιανουάριο του 2021 για μια επιχείρηση στην οποία παρόμοιες τεχνικές χρησιμοποιήθηκαν ώστε οι κυβερνοεγκληματίες να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο.

Μια γνωστή επίθεση κατά της εταιρείας Twitter, στην οποία εργαζόμενοι εξαπατήθηκαν από vishers για να αποκαλύψουν τα στοιχεία σύνδεσής τους, δείχνει ότι ακόμη και οι εταιρείες τεχνολογίας μπορούν να πέσουν θύματα μιας επίθεσης.

Σε αυτήν την περίπτωση, η πρόσβαση χρησιμοποιήθηκε για την παραβίαση λογαριασμών διάσημων χρηστών του Twitter για τη διανομή μιας απάτης με κρυπτονομίσματα.

Δυστυχώς, οι απατεώνες χρησιμοποιούν το vishing για να επιτεθούν στους καταναλωτές. Σε αυτές τις επιθέσεις, ο απώτερος στόχος είναι να κερδίσουν χρήματα από εσάς: είτε κλέβοντας απευθείας τραπεζικούς λογαριασμούς ή στοιχεία κάρτας, είτε εξαπατώντας σας για να παραχωρήσετε προσωπικά στοιχεία και διαπιστευτήρια που μπορούν να χρησιμοποιήσουν για πρόσβαση σε αυτούς τους λογαριασμούς.

Μία περίπτωση τέτοιου τύπου απάτης είναι αυτή της τεχνικής υποστήριξης. Τα θύματα συχνά προσεγγίζονται από κάποιον που προσποιείται ότι καλεί από τον τηλεπικοινωνιακό πάροχο ή από έναν γνωστό προμηθευτή λογισμικού ή υλικού.

Οι απατεώνες θα ισχυριστούν ότι βρήκαν ένα πρόβλημα στον υπολογιστή σας και, στη συνέχεια, θα ζητήσουν αμοιβή (και τα στοιχεία της κάρτας σας) για να το επιδιορθώσουν. Μερικές φορές, η διαδικασία περιλαμβάνει και λήψη κακόβουλου λογισμικού εν αγνοία του θύματος.

Μία άλλη πρακτική είναι η αποστολή μηνυμάτων σε μεγάλο αριθμό τηλεφωνικών αριθμών (wardialing). Αυτή είναι η πρακτική της αποστολής αυτοματοποιημένων φωνητικών μηνυμάτων σε μεγάλο αριθμό θυμάτων, και συνήθως προσπαθεί να τους τρομάξει ώστε να καλέσουν πίσω – για παράδειγμα ισχυριζόμενοι ότι τα θύματα έχουν απλήρωτους λογαριασμούς στην εφορία ή άλλα πρόστιμα.

Μια άλλη δημοφιλής τακτική είναι το τηλεφώνημα στο οποίο ο απατεώνας ισχυρίζεται ότι έχετε κερδίσει ένα έπαθλο. Το μόνο πρόβλημα είναι ότι απαιτείται χρηματική προκαταβολή προτού το θύμα μπορεί να λάβει το βραβείο.

Όπως αναφέρθηκε, οι απάτες μπορούν να ξεκινήσουν με ένα ψεύτικο email ή ένα ψεύτικο SMS, ενθαρρύνοντας τον χρήστη να καλέσει έναν αριθμό. Μια δημοφιλής απάτη είναι κάποιο email από την εταιρεία «Amazon» που ισχυρίζεται ότι κάτι δεν πάει καλά με μια πρόσφατη παραγγελία. Καλώντας τον αριθμό, το θύμα θα συνδεθεί τελικά με τον απατεώνα.

Πως να αντιμετωπίσετε αυτές τις απάτες
Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET μπορούμε να πάρουμε τα μέτρα μας για να μην πέσουμε θύματα του φωνητικού ψαρέματος. Αυτές είναι:

Αφαιρέστε τον αριθμό του τηλεφώνου σας από τον τηλεφωνικό κατάλογο, ώστε ο αριθμός να μην είναι διαθέσιμος στο κοινό.
Μη συμπληρώνετε τον αριθμό τηλεφώνου σας σε διαδικτυακές φόρμες (δηλαδή, όταν κάνετε αγορές online).
Να είστε επιφυλακτικοί όταν δέχεστε αιτήματα για πληροφορίες που αφορούν την τράπεζά σας, προσωπικά ή άλλα ευαίσθητα στοιχεία μέσω τηλεφώνου.
Να είστε επιφυλακτικοί – μην μπαίνετε σε συζητήσεις με κάποιον που σας καλεί, ειδικά εάν αυτός ο κάποιος σας ζητήσει να επιβεβαιώσετε ευαίσθητες πληροφορίες.
Ποτέ μην καλέσετε πίσω έναν αριθμό που σας γνωστοποιήθηκε μέσω φωνητικού μηνύματος. Πάντα να επικοινωνείτε πρώτα απευθείας με τον οργανισμό τον οποίο υποτίθεται ότι εκπροσωπεί ο συνομιλητής σας.
Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους διαδικτυακούς λογαριασμούς.
Βεβαιωθείτε ότι το λογισμικό ασφαλείας του email / Internet είναι ενημερωμένο και περιλαμβάνει δυνατότητες anti-phishing.

cnn.gr