Czym jest vishing?

Vishing, znany również jako phishing głosowy, ma miejsce, gdy oszuści wykonują połączenia telefoniczne, aby nakłonić użytkownika do udostępnienia danych osobowych lub przesłania pieniędzy. Podszywając się pod legalne firmy i wykorzystując taktyki ataków socjotechnicznych, oszuści próbują zdobyć zaufanie użytkownika i przekonać go do udostępnienia poufnych danych, które mogą zostać wykorzystane do popełniania oszustw lub kradzieży tożsamości. Według raportu Keepnet z 2024 r. dotyczącego wyłudzania informacji głosowych, około 70% organizacji padło ofiarą vishingu, co spowodowało średnie straty finansowe w wysokości 14 milionów USD rocznie. Vishing może dotyczyć zarówno osób fizycznych, jak i organizacji, dlatego ważne jest, aby zrozumieć, jak działa i jak można się przed nim chronić.

Czytaj dalej, aby dowiedzieć się, czym vishing różni się od wyłudzania informacji oraz smishingu, poznać typowe przykłady vishingu oraz dowiedzieć się, jak uniknąć tych ataków.

Vishing a phishing a smishing: czym się różnią?

Wyłudzanie informacji należy traktować jako szerokie pojęcie określające cyberataki, których oszuści używają do nakłaniania użytkowników do udostępniania danych osobowych. Wyłudzanie informacji zazwyczaj odbywa się za pośrednictwem wiadomości e-mail, w których oszuści wysyłają niechciane linki lub załączniki. Vishing i smishing należą do wyłudzania informacji, ponieważ mają te same cele, ale vishing odbywa się wyłącznie za pośrednictwem połączeń telefonicznych, podczas gdy smishing odbywa się wyłącznie za pośrednictwem wiadomości tekstowych (SMS).

Jak to działa?

W większości przypadków vishing rozpoczyna się od sprawdzenia użytkownika przez oszusta, aby ustalić, jak najlepiej nakłonić go do udostępniania informacji. Oszuści mogą wykorzystać adres e-mail do ujawnienia innych danych osobowych, takich jak numer telefonu. Dzięki tym informacjom oszust może ukryć kod obszarowy, zmieniając go tak, aby pasował do kodu użytkownika, oszukując, że dzwoni z lokalnego numeru telefonu.

Po odebraniu połączenia od oszusta może on przekonać Cię do udostępnienia danych osobowych, takich jak numery kont bankowych, dane karty kredytowej lub adres domowy. Oszuści mają nadzieję, że uwierzysz, że są legalnymi osobami lub firmami, budując relacje poprzez aktywne słuchanie, serdeczną rozmowę i pytania dające do myślenia. Ostatnio oszuści zaczęli wykorzystywać sztuczną inteligencję (AI) do przeprowadzania ataków vishingowych, podszywając się pod głos osoby, którą znasz. Sztuczna inteligencja pomaga oszustom przekonać Cię, że rozmawiasz z przyjacielem, członkiem rodziny lub współpracownikiem, analizując głos danej osoby z filmów, często publikowanych w mediach społecznościowych. Oszustwa przeprowadzane za pomocą AI w atakach vishingowych są znacznie trudniejsze do wykrycia, ponieważ głosy mogą brzmieć autentycznie, ale nie są to osoby, za które się podają.

Jeśli uwierzysz, że oszust jest osobą, za którą się podaje i udostępnisz mu swoje dane podczas rozmowy telefonicznej, dane te zostaną wykorzystane do popełnienia cyberprzestępstw. Niektóre złośliwe działania, które oszuści mogą wykonywać z wykorzystaniem danych podanych podczas ataków vishing, obejmują kradzież pieniędzy z konta bankowego, nieautoryzowane zakupy za pomocą karty kredytowej lub zhakowanie konta e-mail w celu oszukania osób, którym ufasz.

Przykłady vishingu

Oto niektóre z najczęstszych przykładów ataków vishingu, z którymi możesz się spotkać.

Fałszywe połączenia z Urzędu Skarbowego z żądaniem natychmiastowej płatności

Oszust może podszywać się pod pracownika Urzędu Skarbowego, dzwoniąc, aby powiadomić Cię, że musisz zapłacić zaległe podatki i podać poufne informacje, aby uniknąć działań prawnych. Większość fałszywych połączeń z Urzędem Skarbowym odbywa się za pośrednictwem wcześniej nagranych wiadomości, więc prawdopodobnie nie będziesz rozmawiać z daną osobą w czasie rzeczywistym. Wiadomość może brzmieć następująco: „Aby uniknąć konsekwencji prawnych, musisz podać prawidłowe dane płatnicze do podatków należnych do Urzędu Skarbowego w ciągu 24 godzin”. Ten atak vishingowy ma na celu przestraszenie użytkownika i zniechęcenie go do kwestionowania legalności połączenia, poprzez twierdzenie, że pochodzi ono z organu rządowego. Jednak Urząd Skarbowy nigdy nie skontaktuje się z Tobą telefonicznie, aby zażądać zapłaty bez uprzedniego kontaktu za pośrednictwem poczty elektronicznej lub poczty tradycyjnej za Twoją zgodą. Nigdy nie należy podawać danych płatniczych przez telefon osobom podającym się za Urząd Skarbowy, chyba że to Ty jesteś osobą inicjująca połączenie i masz pewność, że rozmawiasz z pracownikiem Urzędu Skarbowego.

Połączenia z banku z prośbą o podanie danych konta

Możesz otrzymać połączenie telefoniczne od kogoś podającego się za Twój bank, proszącego o weryfikację danych konta. Ponieważ bank nigdy nie poprosi Cię o udostępnienie danych konta, w tym kodów bezpieczeństwa lub haseł, powinno być możliwe rozpoznanie tego połączenia jako atak vishingowy. Oszust podszywający się pod bank może powiedzieć coś w rodzaju: „Potrzebujemy tylko danych konta bankowego, aby zweryfikować podejrzaną opłatę. Prosimy o podanie kodu zabezpieczającego, abyśmy mogli to sprawdzić?” W takiej sytuacji najbezpieczniej jest się rozłączyć i skontaktować się bezpośrednio z bankiem, aby potwierdzić, czy potrzebują potwierdzić Twoje dane konta. Udostępnienie przez telefon oszustowi danych osobowych lub poufnych może spowodować opróżnienie konta bankowego.

Oszustwa związane z pomocą techniczną polegające na uzyskaniu dostępu do komputera

Podczas ataku vishingowego udającego wsparcie techniczne oszust podszywa się pod przedstawiciela firmy technologicznej, takiej jak Apple lub Microsoft. Gdy dzwoni, oszust twierdzi, że znalazł problem technologiczny z komputerem i potrzebuje zdalnego dostępu, aby go naprawić. Podczas rozmowy telefonicznej oszust może powiedzieć coś w rodzaju: „Znaleźliśmy błąd na urządzeniu i potrzebujemy do niego dostępu, aby rozwiązać problem. Czy możesz podać nam swój adres e-mail i aktualne dane oprogramowania?” Może poprosić o Twój adres e-mail, aby przesłać Ci kody lub treści do pobrania, co umożliwi mu uzyskanie dostępu do urządzenia. Udostępnienie tych kodów lub pobranie treści może spowodować zainstalowanie złośliwego oprogramowania na komputerze, co może prowadzić do kradzieży danych i naruszenia prywatności. Jeśli otrzymasz telefon od firmy technologicznej, którego nie oczekujesz, najlepiej się rozłączyć i skontaktować się bezpośrednio z firmą, aby potwierdzić, czy wykryto problem z urządzeniem.

Oszustwa medyczne polegające na podaniu numeru identyfikacji

Kolejnym typowym atakiem vishingowym jest atak, w którym oszust podszywa się pod przedstawiciela Medicare w celu ustalenia kwalifikowalności. Może ostrzec, że uprawnienia do korzystania z Medicare zostaną anulowane, jeśli nie zweryfikujesz tożsamości, podając aktualny numer Medicare. Oszust podszywający się pod pracownika Medicare może powiedzieć coś w rodzaju: „Nie możemy zweryfikować tożsamości bez dodatkowych danych. Aby otrzymać świadczenia Medicare, proszę o podanie numeru identyfikacyjnego Medicare”. Ten rodzaj ataku vishingowego ma za zadanie nakłonienie użytkownika do udostępnienia numeru Medicare i innych danych osobowych, aby umożliwić oszustowi kradzież świadczeń i tożsamości. Nie udostępniaj danych osobowych osobom podającym się za pracowników Medicare, chyba że masz pewność, że dana osoba prawdziwa lub to Ty kontaktujesz się z nią wcześniej.

Krewni twierdzący, że potrzebują pieniędzy w sytuacjach awaryjnych

Może Ci się wydawać, że łatwo jest wykryć, czy ktoś podszywa się pod członków rodziny, ale oszuści coraz częściej wykorzystują sztuczną inteligencję do naśladowania znajomych głosów i nakłaniania do udostępniania informacji lub przesyłania pieniędzy. Jeśli otrzymasz telefon od kogoś z rodziny, kto twierdzi, że miał wypadek i potrzebuje pieniędzy natychmiast, nie panikuj i nie działaj impulsywnie. Najczęściej takie ataki vishingowe mają formę oszustw tzw., „na wnuczka” i są zazwyczaj skierowane do osób starszych, gdzie oszust podszywa się pod wnuczka lub bliską osobę potrzebującą pomocy ze względu na katastrofalne wydarzenie. Oszust może znaleźć głos Twojego wnuka za pośrednictwem filmu w mediach społecznościowych. Może przesłać ten film do oprogramowania AI, które klonuje głos wnuka, co umożliwi oszustowi podszywanie się pod niego w przekonujący sposób. Jeśli kiedykolwiek otrzymasz taki telefon, skontaktuj się z krewnym bezpośrednio za pomocą innej metody, takiej jak wiadomość tekstowa z numerem telefonu zapisanym na liście kontaktów.

Jak chronić się przed vishingiem?

Możesz chronić się przed atakami vishingowymi, unikając połączeń z nieznanych numerów, tworząc bezpieczne słowo z bliskimi, powstrzymując się od udostępniania danych osobowych przez telefon i upewniając się, że Twoje konta są zabezpieczone silnymi hasłami.

Unikaj odbierania połączeń z nieznanych numerów

Jeśli otrzymujesz połączenia telefoniczne z nieznanych numerów, najlepiej ich nie odbierać. Nieznane numery często są spamem lub oszustwami, więc unikanie niechcianych połączeń może pomóc w ochronie przed atakami vishingowymi. Oszuści mogą wykorzystywać oprogramowanie do zmiany sposobu wyświetlania numeru telefonu na ekranie, często nadając mu lokalny kod obszarowy, aby wzbudzić zaufanie. Jeśli numer nie jest zapisany w kontaktach, bezpieczniej jest pozwolić, aby połączenie zostało przekazane na pocztę głosową, zamiast je odbierać.

Stwórz bezpieczne słowo ze znajomymi i rodziną

Ponieważ oszuści wykorzystują sztuczną inteligencję do podszywania się pod znajome głosy w atakach vishingowych, należy stworzyć bezpieczne słowo ze znajomymi i rodziną. Nowoczesne ataki vishingowe wspomagane przez sztuczną inteligencję mają na celu nakłonienie użytkownika do uwierzenia, że osoba po drugiej stronie telefonu to osoba bliska użytkownikowi. Używając bezpiecznego słowa, które znają tylko Twoi przyjaciele i rodzina, możesz zweryfikować tożsamość osoby dzwoniącej. Jeśli osoba dzwoniąca nie zna bezpiecznego słowa lub udziela niewłaściwej odpowiedzi, rozpoznasz ją jako oszusta.

Nigdy nie udostępniaj swoich danych osobowych komukolwiek

Nawet jeśli osoba podająca się za pracownika Urzędu Skarbowego lub innej firmy dzwoni, aby zażądać natychmiastowej płatności lub podania danych osobowych, nigdy nie ujawniaj poufnych danych przez telefon. Podczas tych połączeń możesz otrzymywać ostrzeżenia o poważnych konsekwencjach, takich jak kara więzienia lub znaczne grzywny. Jeśli jednak użytkownik nie kontaktował się bezpośrednio z Urzędem Skarbowym lub inną firmą, nie ma uzasadnienia dla otrzymania takiego połączenia, więc można je rozpoznać za atak vishingowy.

Upewnij się, że Twoje konta są zabezpieczone silnymi hasłami i MFA

Ważnym sposobem na ochronę przed atakami vishingowymi i innymi formami wyłudzania informacji jest zabezpieczenie kont w Internecie silnymi hasłami. Upewnij się, że każde konto ma mocne unikalne hasło składające się z co najmniej 16 znaków i kombinacji małych i dużych liter oraz cyfr i symboli. Zabezpieczając swoje konta silnymi, niepowtarzalnymi hasłami, zmniejszasz ryzyko odgadnięcia słabego lub ponownie używanego hasła przez oszusta i zhakowania kont w celu kradzieży prywatnych informacji.

Oprócz zabezpieczenia kont silnymi hasłami należy również włączyć uwierzytelnianie wieloskładnikowe (MFA), jeśli jest dostępne. MFA zapewnia dodatkową warstwę bezpieczeństwa kont, wymagając innej formy uwierzytelniania w celu weryfikacji tożsamości przed uzyskaniem dostępu. Jeśli podczas ataku vishingowego ujawnisz swoje dane uwierzytelniające, ale masz włączone zabezpieczenie MFA, oszust nie będzie mógł uzyskać dostępu do konta za pomocą wyłącznie nazwy użytkownika i hasła, ponieważ będzie potrzebował innego sposobu uwierzytelnienia tożsamości. Niektóre rodzaje MFA obejmują kod z aplikacji uwierzytelniającej, odpowiedź na pytanie zabezpieczające, kod PIN lub dane biometryczne.

Słuchaj swojego instynktu

Rozumiemy, że niezależnie od tego, jak bardzo przygotujesz się na cyberatak, emocjonalne przygotowanie się na potencjalne konsekwencje może być trudne. Łatwo jest wpaść w panikę i wyrzucić logikę przez okno, gdy zdasz sobie sprawę, że możesz paść ofiarą ataku vishingowego, dlatego musisz słuchać swojego instynktu. Jeśli rozmawiasz z kimś przez telefon i masz podejrzenie, że nie to osoba, za którą się podaje, zaufaj swojemu instynktowi i rozłącz się. O wiele bezpieczniej jest bezpośrednio zadzwonić do firmy za pomocą numeru telefonu podanego na oficjalnej stronie internetowej, niż przekazywać swoje dane osobowe komuś, kto sprawia, że czujesz się niekomfortowo.

Podsumowanie

Ponieważ sztuczna inteligencja jest nadal wykorzystywana w cyberatakach, ważne jest, aby wiedzieć, jak chronić się przed atakami vishingowymi i smishingowymi wyłudzającymi informacje. Niezależnie od tego, jak dochodzi do ataku, możesz się chronić, tworząc bezpieczne słowo ze swoimi bliskimi, powstrzymując się od udostępniania danych osobowych przez telefon i zabezpieczając swoje konta silnymi hasłami. Łatwym sposobem na zabezpieczenie kont silnymi hasłami jest użycie menedżera haseł, takiego jak Keeper^®. Keeper Password Manager umożliwia tworzenie, aktualizowanie i przechowywanie unikalnych haseł oraz metod MFA w bezpiecznym, zaszyfrowanym magazynie.

Rozpocznij korzystanie z bezpłatnej 30-dniowej wersji próbnej Keeper Password Manager, aby chronić swoje konta i chronić się przed atakami vishingowymi.