Говоря о вишинговых атаках, на мой взгляд, стоило бы вначале напомнить о том, что же такое vishing?

Вишинг (vishing)

Вишинг (англ. vishing — от voice phishing) — вид телефонного мошенничества, позволяющий красть у клиентов банков конфиденциальную информацию. Клиент получает звонок от автоинформатора, который сообщает, что с картой, например, производятся мошеннические действия, и дает инструкции — перезвонить по определенному номеру. Далее, следуя инструкциям автоответчика, клиент должен сообщить или ввести на телефонной клавиатуре реквизиты карты. Иногда злоумышленники сами звонят жертвам, убеждая, что являются сотрудниками банка. (https://www.banki.ru/wikibank/vishing/)

Сегодня основной темой как фишинговых, так и вишинговых (смишинговых) атак является пандемия COVID-19. Эта тема используется в виде центральной во всех видах фишинговых кампаний, связанных с кризисом. Но из-за резкого роста числа сотрудников, вынужденных работать из дома, одним из методов, который становится все более распространенным в последние несколько месяцев, являются мошеннические атаки, то есть фишинговые кампании, осуществляемые с помощью телефонных звонков.

Этому способствует то, что число успешных атак с использованием телефонного мошенничества упорно растет. Причиной тому являются несколько факторов:

  • Люди на самом деле находятся дома, чтобы принимать звонки, предоставляя субъектам-угрозам больше часов для связи с живыми целями
  • Все находятся в состоянии повышенной готовности, чтобы получить информацию о пандемии, проверках стимулов, компенсации по безработице, способах пожертвований благотворительным организациям и других темах, связанных с COVID, предоставляя злоумышленникам бесконечный запас привлекательных вариантов социальной инженерии.
  • Киберпреступники проводят исследования и используют личную информацию — например, последние четыре цифры номера социального страхования — для того, чтобы завоевать доверие и обмануть своих жертв, заставив их думать, что они разговаривают из законных источников.

Давайте немного подробнее остановимся на этом последнем пункте. Современные атаки используют основанную на исследованиях социальную инженерию, чтобы убедительнее атаковать цели. Откуда эти злоумышленники так много знают о своих целях? Как правило, киберпреступники получают личную информацию одним из трех способов:

1. Социальные сети

Многие профили в социальных сетях не защищены от публичного просмотра и служат сокровищницей личной информации, которую можно использовать для создания атак. Например, указание вашего места работы со значком сотрудника не только позволяет злоумышленнику узнать, где вы работаете, но и как значок компании выглядит для целей репликации.

Разделы «О вас» в социальных сетях часто содержат личную информацию, которую можно использовать для полей сброса пароля — ваш любимый цвет, имя вашей собаки или город, в котором вы родились. А подробные публикации с изложением рабочих проектов, профессиональных связей и технологий, которые вы используете, помогают создать правильный сценарий с предлогом.

2. Сброс пароля

Сегодня нет недостатка в открытых данных, которые привели к обширным дампам паролей, содержащим имена пользователей, адреса электронной почты и пароли скомпрометированных учетных записей. Люди часто используют пароли в разных учетных записях, что позволяет злоумышленникам легко проникнуть через «заполнение учетными данными». Например, пароль LinkedIn и адрес электронной почты пользователя, выявленные в результате взлома, могут быть использованы для доступа к банковским счетам или учетным записям электронной коммерции.

3. Поисковые системы

Имя человека, адрес и фотографию подписи часто можно найти в Интернете на сайтах государственных органов местного самоуправления. Кроме того, платные услуги существуют для лиц, которые хотят получить дополнительную информацию, такую как дата рождения цели или семейное положение.

Многие люди не понимают, сколько личной информации можно найти с помощью простого онлайн-поиска. В результате, когда злоумышленник использует такие вещи, как последние четыре цифры своего номера социального страхования, город, в котором они живут, или имена своих детей, жертвы предполагают, что человек, с которым они разговаривают, является заслуживающим доверия источником, и они не думают о возможном разглашении информации, которую они в противном случае могли бы сохранить в тайне

Вишинг тоже проблема бизнеса

На первый взгляд может показаться, что подобные атаки являются только проблемой домашних пользователей. Но в действительности это может повлиять и на бизнес — особенно сейчас, поскольку значительная часть сотрудников по всему миру работает из дома.

Эти сотрудники не только хранят корпоративную информацию на своих личных устройствах, но и обычно имеют удаленный доступ к внутренним корпоративным ресурсам. Атаки Vishing предназначены для выстраивания отношений с сотрудниками, чтобы в конечном итоге убедить их выдать конфиденциальную информацию или щелкнуть по вредоносным ссылкам, которые им отправляет злоумышленник, который заслужил доверие как «надежный источник». Как и в случае других атак социальной инженерии, конечной целью является получение доступа к корпоративным сетям и данным или получение другой информации, которая может быть использована для мошенничества.

Советы по смягчению последствий атак COVID-19

Снижение риска от подобных атак требует многогранного подхода, но он должен начинаться с осведомленности и образования конечных пользователей.

Как можно скорее, предприятия должны запустить тренинги для сотрудников (даже если они виртуальные), которые объясняют, что такое мошенничество, как киберпреступники получают личную информацию и как они используют пандемию COVID-19 для обмана жертв.

Они должны предоставить основные советы по безопасности, такие как сохранение конфиденциальности учетных записей в социальных сетях и использование разных паролей для разных учетных записей, а также рекомендации по реагированию на реальные атаки. Включение симуляций атак в учебные программы может стать отличным способом научить сотрудников реагировать на опасную кампанию с использованием определенных внутренних процессов.

Технический контроль является еще одним ключевым компонентом многоуровневой стратегии безопасности, которая защищает сотрудников и ваш бизнес от угроз. Веб-фильтры, антивирусное программное обеспечение и решения для обнаружения и реагирования на конечные точки являются примерами типов стандартных мер безопасности, которые должны быть реализованы. Кроме того, политики паролей должны быть определены и доведены до сведения сотрудников. И, наконец, что не менее важно, многофакторная аутентификация может быть эффективной для предотвращения атак, поскольку она заставляет киберпреступников взломать несколько учетных данных пользователя для получения доступа к корпоративным системам.

Защита от побуждения во время пандемии и за ее пределами

Несмотря на то, что количество сотрудников, работающих удаленно растет, многие организации поддерживают политику работы на дому для обеспечения безопасности своих сотрудников и потому, что они осознают операционные и финансовые преимущества, которые сопровождают программы удаленной работы. , Это означает, что защита удаленных сотрудников должна оставаться главным приоритетом для компаний всех размеров, а защита от злонамеренных атак должна быть ключевым компонентом стратегии безопасности.

Злоумышленники будут продолжать звонить еще долго после того, как пандемия COVID-19 закончится, поэтому важно убедиться, что удаленные работники — и все сотрудники — знают, как идентифицировать подозрительных абонентов, точно так же, как они должны знать, как идентифицировать подозрительные электронные письма. Дополнение обучения сотрудников надлежащими мерами безопасности является хорошей отправной точкой для обеспечения безопасности вашего персонала и вашего бизнеса независимо от того, кто находится на другом конце линии.

 

Ссылка на источник