ویشینگ چیست؟

ویشینگ (Vishing) چیست؟

ویشینگ یا “فیشینگ صوتی” نوعی کلاهبرداری مهندسی اجتماعی است که طی آن فرد مهاجم در تلاش است تا با فریب هدف، از طریق تلفن به داده های حساس دست یابد.

همانند سایر حملات مهندسی اجتماعی، ویشینگ نیز از طریق هدف قرار دادن احساسات انسانی با ایجاد وحشت (مثلا هشدارهای امنیتی) یا حس تمایل (مثلا برنده شدن مقدار زیادی پول) به شخص مورد نظر القا می کند که اطلاعات حساس مانند گذرواژه، اطلاعات مالی یا سایر اطلاعات شخصی را در اختیار فرد مهاجم قرار دهد.

در یک حمله فیشینگ ، هکرها از ارتباطات نوشتاری (به عنوان مثال ایمیل یا پیام کوتاه) به عنوان یک منبع معتبر برای سرقت اطلاعات شخص استفاده می کنند.

اما در کلاهبرداری ویشینگ از تماس تلفنی استفاده می شود که می تواند تهدیدکننده تر از ایمیل یا پیام کوتاه باشد. امروزه مهاجمان با استفاده از VOIP صدها تماس کلاهبرداری را از طریق اینترنت به طور خودکار انجام می دهند ، در حالی که وانمود می کنند یک کسب و کار معتبر هستند. در برخی موارد ، مهاجمان حتی پیش از این در مورد اهداف خود تحقیق می کنند تا فریب های خود را بسیار قانع کننده تر نشان دهند.

تماس های کلاهبرداری در سراسر جهان در سال 2019 با رشد 18 درصدی روبرو شد. با این حال طبق گزارش Proofpoint در سال 2020 تنها 25٪ از کارمندان می توانند ویشینگ را به درستی تعریف کنند. بنابراین با در نظر گرفتن عدم آگاهی و فقدان دانش امنیتی پرداختن به این موضوع حائز اهمیت است.

در این مقاله از وبلاگ آتین ، ما نحوه عملکرد حملات ویشینگ را به طور دقیق بررسی کرده و برخی اقدامات پیشگیرانه که تیم های فناوری اطلاعات و افراد می توانند برای دفاع در برابر آنها انجام دهند را شرح خواهیم داد.

حمله ویشینگ چیست؟

حملات ویشینگ از نظر دامنه و استراتژی متفاوت هستند. متداول ترین نوع حمله ویشینگ، تماس با فهرستی بزرگ از شماره تلفن های پراکنده و بدون هدف گذاری خاص است که تعداد زیادی از قربانیان بالقوه را هدف قرار می دهد، به این امید که از تعدادی از آن ها پاسخ دریافت کند. کلاهبرداران برای جستجوی شماره تلفن های فعال از شماره گیری انبوه استفاده می کنند و ممکن است روی اهدافی در کدهای منطقه خاص تمرکز کنند.

حملات ویشینگ همچنین می توانند بدافزار را در خود جای دهند. صفحات وب یا دانلودهای مخرب می توانند با ایجاد صفحات پاپ آپ که در سیستم عامل دستگاه تکثیر می شود قربانیان را تشویق کنند که برای حل یک مشکل فنی یا امنیتی با “خط پشتیبانی” تماس بگیرند. اینجاست که ویشر با استفاده از ترکیبی از پاسخ های صوتی واقعی و خودکار برای فریب قربانی ، وارد می شود.

نمونه هایی از متداول ترین حملات ویشینگ :

حمله ویشینگ معمولا یکی از این سناریوهای گسترده را دنبال می‌کند:

تماس های اضطراری دولتی

جعل هویت های دولتی یکی از رایج ترین اشکال ویشینگ است. تماس هایی از قبیل هشدار بابت پرداخت نکردن مالیات یا حل مشکلات مربوط به بیمه از سازمان تامین اجتماعی از این دست هستند. آن‌ها از طریق شرایط اضطراری ساختگی ، با هدف سرقت داده‌های حساس مانند امنیت اجتماعی و شماره حساب بانکی، فشار و ضرورت ایجاد می‌کنند.

پیشنهادهای غیر واقعی که بیش از حد جذاب هستند.

احتمالا شما هم به برخی از این موارد برخورد کرده اید. یک ویشر شما را با یک پیشنهاد خارق العاده ناخواسته فراخوانی می کند! شما ممکن است در یک مسابقه برنده شده باشید که در آن شرکت نکرده اید ، یا اینکه یک ویشر می تواند وام یا فرصت سرمایه گذاری بی سابقه ای را به شما پیشنهاد دهد. نوع متفاوتی از این فرایند ممکن است درخواست کمک مالی با یک هدف خیرخواهانه باشد که احساسات شما را تحت تاثیر قرار دهد. در هر صورت ، کلاهبردار این پیشنهاد غیرواقعی و تقلبی را ارائه می دهد تا شما را متقاعد کند که اطلاعات شخصی و مالی خود را تحویل دهید تا پس از آن به سوء استفاده از آنها بپردازد.

کلاهبرداری از طریق پشتیبانی فنی

همانطور که بالاتر به این نوع کلاهبرداری ها اشاره کردیم ، برخی بدافزارها و ابزارهای تبلیغاتی مزاحم بر قربانیان تأثیر می گذارند تا با خطوط پشتیبانی تماس بگیرند. در این حملات عموما طعمه افرادی هستند که کمتر با فناوری آشنا هستند و ممکن است برای جداسازی پیام ها و تماس های واقعی از پیام های جعلی تلاش کمتری کنند.

براساس گزارشی از کسپراسکی موارد مشابهی از حملات وجود دارند که ترکیبی از باج افزار و ویشینگ هستند. طی این حملات دستگاه کاربر قفل شده و عبارت “تماس با پشتیبانی” روی صفحه ظاهر می شود. در طرف دیگر ویشر در نقش تکنسین برای رفع مشکل دستگاه از کاربر درخواست پول می کند.

حملات حساب بانکی

جعل هویت موسسات مالی یک راه محبوب برای ویشرها برای تلاش و کسب ثروت است، به خصوص اگر قبلا برخی از اطلاعات شخصی شما را گرفته باشند. از آنجایی که حساب بانکی مدیران کسب و کارها اهداف پر منفعتی هستند در این صورت حملات ویشینگ به والینگ تبدیل می شود. تجربه نشان داده است که روزهای آخر هفته برای این هدف بهتر است. زیرا معمولا افراد به دلیل خستگی ناشی از یک هفته کاری، موشکافی و توجه کمتری نسبت به تماس های خود دارند.

ویشینگ

ویشینگ چگونه بر سازمان ها تأثیر می گذارد؟

در صورتی که حمله ویشینگ موفقیت آمیز باشد و سازمانی دارای مشکل نقض داده باشد ، عواقب شدیدی را به دنبال دارد:

خسارت اعتبار

برندها براساس اعتماد شکل گرفته اند و یک شکاف یا رخنه جدی می‌تواند باعث شود که یک سازمان در نظر مشتریان، شرکا و کارمندان خود غیرقابل اطمینان به نظر برسد. حملات ویشینگ می توانند اعتبار یک برند را مسموم کنند. در صورتی که مهاجمی با موفقیت اطلاعات سازمان شما را جعل کند ، افراد ممکن است در برقراری ارتباط با شما بسیار مردد شوند. این موضوع یک دردسر بزرگ به خصوص برای سازمان هایی است که از طریق تلفن با کاربران خود در تعامل هستند.

خسارت مالکیت معنوی

اطلاعات مالی همیشه هدف نهایی کلاهبرداری های ویشینگ نیست. اسرار تجاری ، مشخصات مشتریان ، تحقیقات ، طرح ها ، فناوری ها و سایر اطلاعات محرمانه همگی برای ویشرها جذاب هستند و در صورت سرقت می توانند خسارت جدی به بار بیاورند. قربانیان ویشینگ لازم نیست صریحاً این جزئیات را از طریق تلفن ارائه دهند تا به خطر بیفتند بلکه اعتبار حساب به خطر افتاده به تنهایی می تواند فرصت های مختلف دیگری را برای سوء استفاده ایجاد کند.

جریمه های نظارتی

در صورتی که حمله ویشینگ اتفاق بیفتد و اطلاعات افراد (مثلا مشتریان) نشر پیدا کند احتمال جریمه از سوی نهادهای نظارتی و حقوقی وجود دارد که اغلب هزینه هنگفتی است.

ضررهای مالی پایدار

از دست دادن اعتماد به سازمان شما می تواند مشتریان و سرمایه گذاران را به جای دیگری سوق دهد. فراتر از هرگونه سرقت پول ، جریمه و پرداخت غرامت ، این مسئله می تواند در طولانی مدت برای کسب و کار شما زیان بیشتری به بار بیاورد.

چگونه میتوان از حملات ویشینگ جلوگیری کرد؟

در بسیاری از موارد پیشگیری از حملات ویشینگ به آموزش مربوط می‌شود. در ادامه به چند نکته که به شما در تشخیص و مقابله با حقه‌های ویشینگ کمک می‌کند می پردازیم:

نکاتی برای افراد

اعلام شرایط اضطراری یک چراغ خطر است. تماس هایی که شما را وادار به اقدامات فوری می کنند، خواه به دلیل مشکلات حقوقی ، مسائل امنیتی یا فنی یا فرصت های مالی به احتمال زیاد کلاهبرداری هستند. در این مواقع یک نفس عمیق بکشید ، از دادن جزئیات به تماس گیرنده خودداری کرده و قبل از قطع تلفن ، در مورد تماس اطلاعات لازم را یادداشت کنید. سپس به طور مستقل در مورد تماس تحقیق کرده و با سازمانی که تماس گیرنده ادعا می کند تماس گرفته و بررسی های لازم را انجام دهید.

اگر پیشنهادی بیش از حد جذاب است پس واقعی نیست! مواظب تماس های ناخواسته با پیشنهادهای خیلی جذاب باشید.

جعل شماره تلفن برای ویشرها آسان است. به صحت شماره تلفن تماس گیرنده اعتماد نکنید بلکه از او اطلاعاتی بخواهید که هویت و شغلش را مورد تایید قرار دهد..

به محض مشکوک شدن به چیزی ، تلفن را قطع کنید. شما هیچ تعهدی برای ماندن در تماس ندارید و هرچه تعامل کمتری داشته باشید ، بهتر است.

با احتیاط با تلفن های گویا برخورد کنید. به هر تماس خودکار یا تلفن گویایی که از شما می خواهد دکمه ای را بر روی تلفن خود فشار دهید، پاسخ ندهید. پاسخ دادن شما ممکن است باعث شود ویشرها به این نتیجه برسند که شما هدف خوبی برای کلاهبرداری های تلفنی آینده هستید. همچنین ممکن است با ضبط صدای شما از این صدا برای احراز هویت صوتی در حساب های شما استفاده کنند. در برخی کشورها استفاده از تلفن گویا برای بازاریابی بدون اخذ اجازه قبلی از شخص غیر قانونی است.

اگر تصمیم دارید که کلاهبرداری های تلفنی را گزارش دهید می توانید با سازمان مقابله با جرایم رایانه ای یا پلیس فتا تماس بگیرید.

نکاتی برای کسب و کارها

از عوامل احراز هویت قوی تر استفاده کنید. ویشرها مرتباً رمزهای عبور مختلف را امتحان می کنند و سعی در به دست آوردن آن ها دارند ، بنابراین با معرفی عوامل تأیید اعتبار اضافی ، آسیب به اعتبارنامه های به خطر افتاده را به حداقل برسانید. عواملی را انتخاب کنید که ویشرها قادر به حدس زدن یا به دست آوردن آن نباشند ، مانند اعلان تلفن همراه، رمز یکبار مصرف، توکن های سخت افزاری و شناسه های بیومتریک.

شبیه سازی ویشینگ سازمانی برای آموزش پرسنل. شما می توانید با شبیه سازی حملات ویشینگ در سازمان خود، سطح آمادگی پرسنل خود را در برابر این نوع حملات ارزیابی کنید. این کار به شما کمک می کند تا برای آموزش پرسنل و افزایش سطح امنیت سازمان خود برنامه ریزی کنید.

از آنجا که چشم انداز تهدیدها همواره در حال گسترش است و حملات روز به روز پیچیده تر می شوند ، محافظت شما از سازمان خود از هر زاویه ای ضروری است. راهکار احراز هویت تطبیقی آتین از دسترسی های مشکوک به منابع سازمان شما جلوگیری می کند. همچنین با به کار گیری Zero Trust می توانید اقدام به ساخت یک معماری امنیتی قوی کنید که کلاهبرداران ویشینگ قادر به شکستن آن نباشند.

بدون دیدگاه

مقالات مرتبط :

محصولات

راهکارها

راهنمای سایت

سامانه مدیریت هویت و دسترسی آتین
enamad
  • آدرس : تهران، کارگر شمالی، خیابان شانزدهم، پارک علم و فناوری دانشگاه تهران، ساختمان شماره 2، واحد 312
  • کد پستی : 74845- 14458​
  • تلفن: 88176039 - 021​
  • ایمیل: contactus@authin.ir​

© تمامی حقوق برای شرکت دانش بنیان آتین محفوظ است.

Linkedin
Instagram
Github
Twitter