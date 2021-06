Czym jest phishing - powszechnie wiadomo. Jednak jego odmiana vishing jest mniej znana - choć bardziej niebezpieczna.

Phishing to wiadomość tekstowa (SMS, powiadomienie, e-mail) która ma za zadanie nakłonić odbiorcę do przekazania poufnych danych lub zawiera link do wirusa. Vishing ma ten sam cel, ale bierze w nim udział prawdziwa osoba. Podszywa się pod konsultanta telefonicznego instytucji, firmy lub banku, a następnie próbuje nakłonić ofiarę do przekazania wrażliwych danych. Działa tu socjotechnika. Jak wyjaśnia Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET:

Takie techniki socjotechniczne są wykorzystywane w wiadomościach phishingowych i fałszywych wiadomościach tekstowych. Wysoką skuteczność oszuści osiągają także w telefonicznym kontakcie z ofiarą. Narzędzia do fałszowania numeru telefonu wyświetlanego odbiorcy, których można użyć do ukrycia rzeczywistej lokalizacji oszusta, a nawet podszycia się pod numery telefonów zaufanych organizacji. Na przykład w zeszłym roku, po włamaniu do luksusowego hotelu Ritz London i kradzieży danych osobowych klientów, oszuści wykorzystali te dane do przeprowadzenia przekonujących ataków socjotechnicznych na ofiary, podszywając się pod pracowników i oficjalny numer telefonu hotelu.

Ale to nie wszystko. Oszuści mają kilka dodatkowych narzędzi i taktyk. Ich zastosowanie może zwiększyć zaufanie ofiary, co ułatwi osiągnięcie celu. Ekspert ESET wyjaśnia:

Oszustwa wielokanałowe, które mogą zaczynać się od wiadomości SMS, e-mail lub poczty głosowej, zachęcając użytkownika do zadzwonienia pod wskazany w wiadomości numer. Takie działanie powoduje skierowanie ofiary bezpośrednio do oszusta. Przeszukiwanie mediów społecznościowych i innych otwartych źródeł danych w Internecie, które może dostarczyć oszustom wielu cennych informacji o ich ofiarach. Takie dane mogą zostać później wykorzystane do atakowania określonych osób – np. pracowników korporacji na określonych stanowiskach. Dane te mogą posłużyć również do uwiarygodnienia oszustwa – osoba atakująca może powtórzyć znane ofierze niektóre dane osobowe, aby zdobyć jej zaufanie i wyciągnąć od niej w ten sposób więcej poufnych informacji.

Przykładem vishiungu może być operacja z 2020 roku. Miała miejsce w USA. Cyberprzestępcy badali swoje cele, a następnie dzwonili do wytypowanych ofiar podszywając się pod dział pomocy IT. Ofiary były zachęcane do podania swoich danych logowania na zarejestrowanej wcześniej stronie phishingowej, pozorującej stronę logowania do firmowego VPN. Przekazane przez nich dane uwierzytelniające zostały później wykorzystane do uzyskania dostępu do firmowych baz z danymi osobowymi klientów.

Takie ataki stały się bardziej powszechne, częściowo dzięki masowemu przejściu na pracę zdalną podczas pandemii wywołanej koronawirusem. Ostatni przypadek włamania na Twitterze, w którym pracownicy zostali nakłonieni do ujawnienia swoich danych logowania, ilustruje, że nawet firmy i użytkownicy znający się na technologii mogą paść ofiarą oszustów. W tym przypadku dostęp został wykorzystany do przejęcia kont sławnych użytkowników w celu rozpowszechniania oszustwa kryptowalutowego

– dodaje Kamil Sadkowski.

Podsumowując. Cel visihngu to bezpośrednia kradzież danych, w tym do konta bankowego. Najczęściej oszust podszywa się pod dostawcę usług internetowych lub oprogramowania czy sprzętu. Sugerowane jest znalezienie poważnego problemu ze sprzętem, po czym następuje żądanie płatności (danych karty), aby go naprawić. Pojawiają się także fałszywe wiadomości głosowe - zwykle mają za cel przestraszyć ofiarę i zmusić ją do oddzwonienia na podany wcześniej numer. Inna popularna taktyka to informowanie ​​o rzekomej wygranej - przed jej otrzymaniem ofiara musi dokonać drobnej opłaty.

Źródło: ESET