Мы определяем VISHING (далее вишинг) как "манипуляция действиями человека по телефону или получение информации.
Это как фишинг, только в нем целью является получение нужной информации, которая может способствовать прямому компромиссу в организации, используя готовность людей помогать. Вы можете распознать их как звонки из "тех. поддержки" и даже "компании, обслуживающей ваши кредитные карты в банке" и их просьбы подтвердить или исправить информацию.
Вы когда-нибудь получали такие звонки?
Кто использует вишинг и зачем?
Мотивы многих реальных вишинговых атак обычно связаны либо с получением денежных средств, либо с кражей личных данных. Это не говорит о том, что это единственные мотивы, но многие из них соответствуют этим категориям. Упомянутая выше афера "технической поддержки" нацелена либо на то, чтобы поставить под угрозу ваш компьютер напрямую, либо устранить несуществующую проблему и взыскать с вас плату за эту "работу". Ещё один пример - просто собрать данные для входа в систему, пока они помогают вам проверить наличие проблемы, без вредоносного ПО, требующегося для этого. На практике, они применяют очень законные программы для удаленного доступа, которые могут попасть в белый список из антивирусных решений.
Простота подделки этих номеров осложняет отслеживание реального места совершения таких атак. Это дает взломщикам чувство защищенности, что даже если это не будет сделано по плану, они не понесут за это никаких последствий.
С фишинговой атакой провайдеры могут закрыть учетные записи электронной почты и, возможно, проследить вход пользователей, но ложные телефонные звонки оставляют очень мало места для защиты или контроля соблюдения.
Желание совершить успешный способ атаки.
- Судя по большому количеству новостей о мошеннических телефонных аферах, похоже, что вишинг работает на злоумышленников. Это недорогостоящее нападение, и даже если одна или две цели из сотни становятся жертвами, оно оправдывает себя.
- Короткий ответ: абсолютно жизнеспособная атака, которая применяется каждый день.
Взглянув теперь на необработанные данные, мы увидим ряд трендов, в которых предприятия находятся под угрозой из-за этого направления атак. Крис и Кэт из компании SECOM провели на DerbyCon 8.0 превосходную презентацию о лучших атаках за последние три года, в ходе которой они рассказали о наиболее эффективных атаках из тех, что мы видели за всю историю нашей работы с нашими клиентами.
Отметим тему "Открытая регистрация", которая, по их данным, имеет 100% компромиссный уровень защиты, за которой следуют темы "Обновления ИТ" (80%) и "HR-портал" (72%). Это аргументы, которые мы использовали против наших клиентов, чтобы показать им, как мы можем получить ценные данные от пользователей с помощью вишинговых звонков.
Они также показали, что звонящие женщины гораздо чаще, чем звонящие мужчины, идут на уступки целям обоих полов (63% - 48%, если сравнивать).
Все ли желают одного и того же?
Хотя может казаться, что на этот вопрос легко ответить, есть примечательное количество сообщений о атаках, которые звучат очень похоже. Нападающие часто прибегают к запугиванию и срочности, когда сценарий позволяет повторить сюжет, который они разыгрывают. Будь то несуществующие налоговые залоги или долги, о которых цели не знали до этого звонка, боязнь - главная игральная карта, которая используется в их атаках. Он настолько хорошо построен, что некоторые атакующие даже не используют людей для проведения атак, а используют роботов для выполнения своей грязной работы.
Здесь, в компании SECOM, мы нанимаем только реальных, реальных людей для проверки клиентов. Хотя роботизированное решение может помочь сэкономить бюджетные средства на безопасность, подумайте о том, сколько раз вы охотно будете отвечать на нежелательные вызовы роботов, особенно когда они могут запрашивать закрытую информацию, в отличие от разговора с настоящим человеком, который может быть в состоянии объяснить "почему" они звонят. На конференции DEFCON в Лас-Вегасе вы можете увидеть образцы или сделать свой собственный, живой человеческий, вишинговый звонок в реальном мире.
Что вы можете сделать в случае охоты хакеров на вас?
С точки зрения ведения бизнеса, это в действительности сводится к некоторым очень общим темам в обороне: проинструктируйте своих сотрудников об угрозах, связанных с переносчиками атак. Мы бы не советовали только компьютерное обучение (CBT) для этого обучения, но и интерактивное, увлекательное, целенаправленное обучение сотрудников во всех аспектах вашего бизнеса. Тогда тебе нужно испытать это обучение. Опять же, мы бы рекомендовали не только ТОС для теста, но и реальное живое тестирование, когда ваши сотрудники получают вызовы от обученных специалистов, которые могут проверить ваших потребителей в данный момент, точно так же, как это делает злоумышленник.
Вдобавок, иметь четкие правила и инструкции, доступные для всех сотрудников по работе с этими типами звонков, которые позволяют проверить их на прочность. Потребители должны ориентироваться, иначе их эмоциональный мозг возьмет верх и, скорее всего, пойдет на компромисс. Только при наличии хорошо составленного плана они могут критически оценить ситуацию в этот момент и знать, что им следует делать, невзирая на то, что звонящий просит или говорит им сделать.
- Итак, вы когда-нибудь получали такие звонки?
Что вы делали в тот момент?
Надеюсь, теперь, когда вы знаете, увидите уловку и повесите трубку, не давая никакой полезной информации атакующему, роботу или человеку.