Найти в Дзене
Мысли Starого
54 подписчика

Мысли об информационной безопасности (Вишинг и смишинг)

1
10 мин
Всем привет! Я уже в своих статьях не раз рассказывал про фишинг, рассуждал о разнице между фишингом и обычным спамом, показывал разные схемы мошенников. А слышали ли вы когда-нибудь про вишинг? Нет, это не ругательство, нет, не связано с виш листом или вошками… А смишинг? Нет это не про смешного Мишу, да и не про мышление смышлёного человека. Это довольно распространенные виды фишинга, своеобразные Болек и Лёлек. от мира фишинговых мошеннических схем. Сегодня давайте поразмышляем в их сторону, рассмотрим что это, как это появилось, чем нам грозит и как с этим бороться. Сразу предупреждаю: буковок будет много, будет местами скучно, местами душно, но точно полезно. Но обо всем по порядку, поехали! Давайте сначала определимся с понятиями, что есть что: Термин Вишинг является сочетанием слов voice и phishing, то есть дословно - «голосовой фишинг» и представляет собой телефонное мошенничество. Конечная цель которого, как и для фишинга – использование жертвы, чтобы каким-то образом получить
Оглавление

Всем привет!

Я уже в своих статьях не раз рассказывал про фишинг, рассуждал о разнице между фишингом и обычным спамом, показывал разные схемы мошенников.

А слышали ли вы когда-нибудь про вишинг? Нет, это не ругательство, нет, не связано с виш листом или вошками… А смишинг? Нет это не про смешного Мишу, да и не про мышление смышлёного человека.

Это довольно распространенные виды фишинга, своеобразные Болек и Лёлек. от мира фишинговых мошеннических схем.

Сегодня давайте поразмышляем в их сторону, рассмотрим что это, как это появилось, чем нам грозит и как с этим бороться. Сразу предупреждаю: буковок будет много, будет местами скучно, местами душно, но точно полезно.

Но обо всем по порядку, поехали!

Что такое вишинг и что такое смишинг?

Давайте сначала определимся с понятиями, что есть что:

Термин Вишинг является сочетанием слов voice и phishing, то есть дословно - «голосовой фишинг» и представляет собой телефонное мошенничество. Конечная цель которого, как и для фишинга – использование жертвы, чтобы каким-то образом получить прибыль, будь то финансовую или иную.

Термин Смишинг произошёл от слов SMS и phishing и представляет собой еще один вид фишинга, при котором злоумышленники используют SMS-сообщения или мессенджеры для обмана пользователей. Цель смишинга — выманить личные данные, финансовую информацию или заставить жертву перевести деньги.

Почему они эффективны?

  • Доверие: люди чаще доверяют общению с живым человеком и персональному отношению. SMS и сообщениям доверяют конечно меньше чем звонкам, но больше чем письмам, люди уже привыкли к пугалкам про фишинг на рабочей почте и спаму в рабочей почте и привыкли удалять письма не читая.
  • Низкая стоимость: рассылка сообщений и звонки практически бесплатны для мошенников.
  • Давление на жертву: мошенники специально давят на жертву, требуя немедленных действий.
  • Сложность отслеживания: номера используемые в схемах вишинга и смишинга часто подделываются или используются одноразовые SIM-карты, поэтому спам фильтры не всегда реагируют на них.

История появления вишинга и смишинга

Предшественники: телефонное мошенничество (1980-е)

По существу, вишинг появился даже раньше самого фишинга и пришел из традиционного телефонного мошенничества, которое существовало задолго до появления интернета. В 1980–1990-е годы мошенники часто звонили жертвам с целью выманить личную информацию или деньги, представляясь сотрудниками банков, представителями налоговой или полиции, службой поддержки какой-нибудь организации, например телефонной компании.

Корни: фишинг (1990-е)

В середине 1990-х появился сам фишинг. Тогда злоумышленники использовали электронные письма, чтобы обманом выманивать пароли и данные кредитных карт. Первые случаи фишинга были связаны с кражей аккаунтов в интернет-сервисах.

Развитие технологий и новые каналы (2000-е)

С развитием интернета и распространением мобильных телефонов и SMS в начале 2000-х мошенники стали искать способы использовать этот канал. В те года вишинг сформировался в отдельное направление и представлял собой комбинирование телефонных звонков с социальной инженерией и технологиями:

  • Подмена номеров (Caller ID spoofing), чтобы звонок выглядел как официальный.
  • Автоматизированные голосовые роботы, имитирующие банковские сервисы.
  • Использование данных из утечек для персонализации звонков.

Тогда же стали появляться первые случаи смишинга, злоумышленники начали рассылать SMS с просьбой перейти на поддельные сайты или позвонить по платным номерам.

Бум смартфонов и мессенджеров (2010-е)

С появлением смартфонов и мессенджеров (WhatsApp*, Viber, Telegram) смишинг распространился и эволюционировал.

Вишинг же, в свою очередь, с появлением VoIP (интернет-телефонии) стал частью комбинированных атак, например, как способ закрепления «легитимности» фишингового письма или смишингового сообщения. Плюс и сам по себе он становился опасней, мошенники могли звонить с поддельных номеров, имитирующих банки или госорганы, плюс дальнейшее развитие голосовых ботов, способных вести вполне осмысленный диалог с жертвой

Наши дни (2020-е)

Сегодня наши Болек и Лелек стали более изощрёнными. Мошенники изучают жертв в соцсетях, чтобы сделать атаки более персонализированными, используют искусственный интеллект для генерации убедительных сообщений или имитации голосов реальных людей, что вкупе дает очень высокую вероятность успеха атаки.

Немного примеров

-2

Примеры вишинга

Представим довольно распространённую ситуацию, которая давно разлетелась на мемы: вам звонит "Служба безопасности Сбербанка" и сообщает, что с вашей карты списываются деньги на подозрительный счёт. Просит назвать код из SMS или подтвердить данные карты для "блокировки мошенников".

Реальный факт: В 2023 году в России было зафиксировано множество случаев, когда мошенники звонили от имени Сбербанка, Тинькофф (ныне Т-банк) и ВТБ, просили назвать код из SMS (который на самом деле был кодом для подтверждения перевода).

Ну и еще одна распространённая ситуация: звонит незнакомый номер, и знакомый голос на том конце просит срочно перевести деньги, потому что "попал в аварию" или "задержан полицией".

Реальный факт: в августе 2024 г. Банк России сообщил, что мошенники стали чаще применять технологию дипфейк (кстати про дипфейки я писал тут). Для создания фейкового видео злоумышленники используют фото, видео, а также записи голоса. По данным регулятора, мошенники получают их через взлом чужого аккаунта в социальных сетях или мессенджера.

Так что доверять нельзя даже знакомым голосам, а теперь давайте посмотрим на примеры смишинга

Примеры смишинга

Вот, к примеру, сообщение:

Ваша карта заблокирована. Перейдите по ссылке, чтобы разблокировать: [подозрительная ссылка].

Реальный факт: В 2024 году мошенники рассылали SMS от имени Альфа-Банка и Сбербанка с просьбой ввести данные карты на поддельном сайте.

Или такое:

Поздравляем! Вы выиграли iPhone 15. Чтобы получить приз, оплатите доставку: [ссылка].

Реальный факт: В 2023 году мошенники рассылали такие SMS от имени известных магазинов, таких как М.Видео или Wildberries.

Ну и третий вариант опасного сообщения:

Ваш аккаунт в ВКонтакте взломан. Введите пароль для восстановления: [ссылка].

Реальный факт: В 2022 году мошенники рассылали SMS с просьбой ввести пароль от соцсетей, после чего взламывали аккаунты и рассылали спам от имени жертвы.

В принципе на такие звонки и сообщения можно легко попасться, если не знать базовых признаков мошенничества. Так что давайте остановимся на них.

Как обнаружить подвох

-3

Признаки мошеннического звонка:

  • Создание срочности: "Ваш счёт заблокируют через 10 минут!", "Срочно подтвердите данные!"
  • Принуждение назвать код из SMS или пароль от аккаунта.
  • Номер выглядит подозрительно (например, начинается с +380* или другого иностранного кода) или звонок пришел через мессенджер.
  • Голос робота или плохое качество связи (прерывание, громкость плавает, скорость голоса меняется).

Признаки мошеннического сообщения:

  • Неожиданность сообщения от "банка", "соцсети" или "госструктуры ".
  • Ссылки на подозрительные сайты (например, sberbank-security.ru вместо sberbank.ru).
  • Просьба ввести данные (пароль, номер карты, CVV-код, код, который пришел отдельно).
  • Требования оплаты, например оплата доставки «выигранного» приза.

Как защитить себя и близких

-4

Для начала любое сообщение или звонок проверяйте на признаки мошенничества. Далее запомните и применяйте базовые правила:

  • Никогда не сообщайте личные данные (пароли, PIN-коды, данные карт, коды из SMS) по телефону или в SMS, даже если голос выглядит знакомым или сообщение похоже на официальное.
  • Не переходите по ссылкам в подозрительных сообщениях — даже если они выглядят как официальные.
  • Всегда проверяйте ссылки в сообщениях, даже от знакомых вам контактов.
  • Не доверяйте неожиданным звонкам от "банков", "налоговой" или "полиции". Прервите разговор и перезвоните по официальному номеру организации.
  • Используйте блокировщики спама например, встроенные в Android или iOS, или инструменты вашего оператора связи.
  • Установите антивирус например, Kaspersky, Dr.Web, Avast.
  • Используйте двухфакторную аутентификацию (2FA) для всех важных аккаунтов (банк, почта, соцсети). О том как это сделать у меня есть отдельная серия статей.
  • Своевременно обновляйте программное обеспечение на компьютере, смартфоне, планшете — мошенники часто эксплуатируют уязвимости в старых версиях ОС.

Отдельно хочется добавить что мошеннические схемы особенно опасны для пожилых людей и подростков, которые менее знакомы с современными мошенническими схемами и более доверчивы. Поэтому:

  • Объясните родственникам, что банки и госорганы никогда не просят предоставить персональные данные по телефону.
  • Настройте родительский контроль и функционал по безопасности предлагаемый вашим оператором связи на телефонах детей и пожилых людей (например, блокировка подозрительных номеров).
  • Используйте совместные аккаунты, чтобы контролировать операции пожилых родственников (например, в банке).

И вот мы рассмотрели, что такое вишинг и смишинг, как они появились и как выглядят и даже как защититься самому. И наверно у вас в голове вопрос: если все вокруг так давно про них знают неужели государство и компании никак не борются с этим?

А что же государство?

-5

В 2025 году наконец -то подписан закон о мерах по противодействию телефонному мошенничеству и мошенничеству, совершаемому с использованием сети "Интернет".

Этим законом:

  • вводится обязательная маркировка звонков от организаций;
  • запрещается служащим банков, сотрудникам государственных органов, операторам связи и иным организациям общаться с гражданами через иностранные мессенджеры;
  • устанавливается запрет на передачу SIM-карт третьим лицам, за исключением членов семьи и близких родственников владельца;
  • предусматривается право человека отказаться от получения рассылок и массовых вызовов;
  • вводится возможность установления запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи без личного присутствия;
  • закрепляются мероприятия по противодействию выдаче наличных без добровольного согласия клиента с использованием банкоматов.

По данному закону каждая кредитная организация должна:

  • ограничить на 48 часов выдачу наличных денежных средств на сумму не более 50 тысяч рублей в сутки через банкомат, если будут выявлены признаки выдачи денежных средств без добровольного согласия клиента
  • ограничить выдачу наличных денежных средств с использованием банкоматов до 100 тысяч рублей в месяц, если от Банка России поступит информация о случаях или попытках осуществления переводов денежных средств без добровольного согласия клиента.

Также с 1 сентября 2025 года банки обязаны внимательнее следить за операциями по переводу и снятию наличных, чтобы защитить клиентов от мошеннических действий.

Раньше всё было просто: пришёл клиент, снял крупную сумму — и ни у кого не возникало вопросов. Или перевёл деньги на другой свой счёт — банк спокойно проводил платёж.

Теперь же банк обязан проверять, не действует ли клиент по принуждению кого-то со стороны. При появлении подозрений сотрудники банка могут уточнить кому отправляются деньги или почему нужно снять деньги именно наличными, а не перевести на карту.

Для банка особенно подозрительно если:

  • снимается крупная сумма (например, больше 100 000 рублей);
  • переводятся деньги на незнакомый счёт;
  • операция совершается в необычное время (например, ночью);
  • клиент говорит, что переводит деньги на безопасный счёт по указанию «сотрудника полиции» или «службы безопасности».

Например:

Пенсионер пришёл к банкомату чтобы снять 300 000 рублей. Антифрод система автоматически фиксирует что это человек никогда до этого не снимал такую большую сумму одномоментно и операция блокируется. Сотрудник банка обязан позвонить и уточнить информацию и если он понимает, что человек волнуется, путается в ответах и ссылается на «звонок из банка» — операции по снятию денег временно замораживают. Заморозка снимается или через 48 часов или после личного посещения банка.

Или:

Женщина переводит 200 000 на счёт «финансового эксперта» в другой город. Антифрод система автоматически фиксирует, что такой перевод делается впервые и она блокируется до того момента пока специалисты банка не свяжутся с женщиной и не зададут уточняющие вопросы.

Вывод

Будьте осторожны и внимательны, особенно если речь идет о вашей личной или финансовой информации. Возьмите себе за правило — никогда не разглашать свои банковские и персональные данные незнакомым людям и даже сотрудникам банка, кроме случаев личного обращения в отделение банка или звонка на официальные подтвержденные номера организации по вашей инициативе.

И помните:

Мошенники постоянно придумывают новые схемы, поэтому бдительность и здоровый скептицизм — лучшая защита

Расскажите как вам статья и встречались ли вы с такими схемами в своей жизни?

Жду ваших комментариев, а пока я пошел формулировать новые Мысли Starого.

Подписывайтесь на все мои ресурсы:

ЖЖ

Teletype

Дзен

Телеграмм

VK

Если у вас есть мысли, факты, истории, которыми вы хотели бы поделиться, присылайте на почту: stariithinks@gmail.com или stariithinks@yandex.ru

Если вас заинтересовала данная тема, прошу ознакомиться с другими статьями:

Мысли об информационной безопасности (Фишинг)
Мысли Starого18 декабря 2024
Мысли об информационной безопасности (Спам vs Фишинг)
Мысли Starого25 июня 2025

#мыслиstarого #атаки #мыслио #ИБ #информационная_безопасность #is #инфобез #фишинг #вишинг #смишинг#ссылка #sms #мошенники #полезное

*принадлежит Meta, признана экстремистской и запрещена в России

2