Что такое вишинг?

Вишинг, или голосовой фишинг, происходит, когда мошенники звонят вам, чтобы обманом заставить вас поделиться личной информацией или отправить деньги. Выдавая себя за настоящие компании и используя методы социальной инженерии, мошенники рассчитывают на ваше доверие и пытаются убедить вас поделиться конфиденциальной информацией, которую они могут использовать для совершения мошенничества или кражи личности. Согласно отчету Keepnet по голосовому фишингу за 2024 год, примерно 70% организаций стали жертвами вишинга, что привело к финансовым потерям в среднем в размере 14 миллионов долларов в год. Вишинг может затрагивать как частных лиц, так и организации, поэтому важно понимать, как он работает и как можно защитить себя.

Читайте дальше, чтобы узнать, чем вишинг отличается от фишинга и смишинга, увидеть распространенные примеры вишинга и понять, как не стать жертвой этих атак.

Вишинг, фишинг и смишинг: в чем разница?

Фишинг — это общий термин для кибератак, используемых мошенниками, чтобы заставить вас поделиться личной информацией. Фишинг обычно осуществляется по электронной почте, когда мошенники отправляют нежелательные ссылки или вложения. Вишинг и смишинг относятся к фишингу, так как преследуют те же цели, но вишинг происходит в телефонном разговоре, а смишинг — посредством текстовых сообщений (СМС).

Как работает вишинг?

В большинстве случаев вишинг начинается с того, что мошенник собирает сведения о вас, чтобы определить, как лучше всего заставить вас поделиться информацией. Он может использовать адрес электронной почты, чтобы раскрыть другую личную идентифицируемую информацию (PII), такую как номер телефона. С помощью этой информации мошенник может замаскировать код города, чтобы вы поверили, что звонят с местного номера телефона.

Когда вы ответите на звонок мошенника, он может убедить вас поделиться личной информацией, такой как номера банковских счетов, данные кредитной карты или домашний адрес. Мошенники рассчитывают на то, что вы поверите, что они являются правомочными лицами или компаниями, и будут стараться наладить контакт, внимательно слушая, ведя приятную беседу, а также задавая вопросы, которые заставляют задуматься. Совсем недавно мошенники начали использовать искусственный интеллект (ИИ) для проведения вишинговых атак, выдавая себя за знакомых с помощью голоса. ИИ помогает мошенникам убедить вас, что звонит друг, член семьи или коллега, анализируя голос человека из видео, часто размещаемого в социальных сетях. Поскольку мошенники используют ИИ в ходе вишинговых атак, обнаружить эти виды мошенничества гораздо сложнее, ведь голоса могут звучать очень похоже, но не принадлежать тому, за кого они себя выдают.

Если вы посчитаете, что мошенник является настоящим лицом и поделитесь с ним личной информацией во время телефонного звонка, он будет использовать эту информацию для совершения киберпреступлений. Среди злонамеренных действий, совершаемых мошенниками с помощью предоставленной вами в ходе вишинговой атаки информации, можно назвать кражу денег с банковского счета, несанкционированные покупки с помощью кредитной карты или взлом учетной записи электронной почты для обмана людей, которым вы доверяете.

Примеры вишинга

Вот несколько наиболее распространенных примеров вишинговых атак, с которыми можно столкнуться.

Фальшивые звонки от имени налоговой службы с требованием немедленной оплаты

Мошенник может притвориться инспектором Налоговой службы США, позвонив вам, чтобы уведомить, что вы должны заплатить налоги и что вам нужно предоставить конфиденциальную информацию, чтобы избежать судебного преследования. В большинстве случаев фальшивые звонки от имени налоговой службы осуществляются с помощью предварительно записанных сообщений, поэтому вы, скорее всего, не будете разговаривать с человеком в реальном времени. Сообщение может звучать следующим образом: «Чтобы избежать юридических последствий, предоставьте действительную платежную информацию по налогам, подлежащим оплате, в течение 24 часов». Цель этой вишинговой атаки — напугать вас и заставить не сомневаться в легитимности звонка путем утверждения, что он поступил из государственного органа. Однако Налоговая служба США никогда не связывается по телефону, чтобы потребовать оплату, предварительно не уведомив вас по обычной или электронной почте с вашего разрешения. Ни в коем случае не сообщайте платежную информацию по телефону никому, кто утверждает, что является сотрудником налоговой службы, если только вы не инициировали звонок и не уверены, что говорите с настоящим инспектором налоговой службы.

Звонки из банка с просьбой предоставить данные счета

Может позвонить человек, утверждающий, что он из банка, и попросить проверить данные счета. Так как банк никогда не будет просить вас делиться данными счета, включая коды безопасности или пароли, это следует расценивать как вишинговую атаку. Мошенник, выдающий себя за сотрудника банка, может сказать что-то вроде: «Нам нужны данные банковского счета, чтобы просто проверить подозрительное списание. Можете ли вы сообщить код безопасности от счета, чтобы мы могли проверить это?» Безопаснее всего повесить трубку и связаться с банком напрямую, чтобы уточнить, нужны ли данные вашего счета. Передав по телефону личную или конфиденциальную информацию мошеннику, вы можете лишиться средств на банковском счете.

Мошенничество с технической поддержкой с просьбой предоставить доступ к компьютеру

При вишинговой атаке от имени техподдержки мошенник выдает себя за представителя технологической компании, такой как Apple или Microsoft. По телефону мошенник утверждает, что обнаружил технологическую проблему с компьютером, и ему нужен удаленный доступ, чтобы исправить ее. Во время звонка мошенник может сказать что-то вроде: «Мы нашли ошибку на вашем устройстве и нам нужно получить к нему доступ, чтобы устранить проблему. Можете ли вы сообщить нам адрес электронной почты и данные о текущем программном обеспечении?» Он может запросить ваш адрес электронной почты, чтобы отправить коды или загружаемый контент, что позволит получить доступ к вашему устройству. Однако после предоставления этих кодов или загрузки контента на компьютер может быть установлено вредоносное ПО, что приведет к краже данных и нарушению конфиденциальности. Если вам позвонили из технологической компании, в которую вы не обращались первым, лучше повесить трубку и связаться с ней напрямую, чтобы проверить, была ли обнаружена проблема с устройством.

Мошенничество от имени Medicare с требованием предоставить номер удостоверения

Еще одна распространенная вишинговая атака происходит, когда звонит мошенник и выдает себя за представителя Medicare, чтобы проверить ваше право на участие в программе. Он может предупредить, что ваше право на участие в программе Medicare будет аннулировано, если вы не подтвердите свою личность и не предоставите действующий номер Medicare. Мошенник, выдающий себя за сотрудника Medicare, может сказать что-то вроде: «Мы не можем проверить вашу личность без дополнительной информации. Чтобы получить пособие Medicare, сообщите, пожалуйста, номер Medicare». Цель вишинговой атаки состоит в том, чтобы обманом заставить вас поделиться номером Medicare и другой личной информацией, чтобы мошенник мог украсть ваше пособие и личность. Не сообщайте личную информацию никому, кто утверждает, что он из Medicare, если вы не уверены, что он является законным представителем, или вы не связывались с компанией первыми.

Родственники утверждают, что им срочно нужны деньги

Вы, наверное, думаете, что понять, что кто-то выдает себя за члена семьи, легко, но мошенники все чаще используют ИИ, чтобы имитировать знакомые голоса и обманом заставить вас предоставить информацию или отдать деньги. Если вам позвонил родственник, который утверждает, что попал в аварию и ему срочно нужны деньги, не паникуйте и не действуйте импульсивно. Чаще всего вишинговые атаки направлены на пожилых людей, когда мошенники выдают себя за внуков или близких родственников, которые попали в беду. Например, мошенники могут найти голос внука по видео в социальных сетях. Они могут загрузить это видео в программное обеспечение ИИ, которое клонирует голос внука, что позволит им убедительно выдать себя за него. Если вам когда-либо поступал подобный телефонный звонок, свяжитесь с родственником напрямую другим способом, например, отправив СМС на номер, сохраненный в телефонной книге.

Как защитить себя от вишинга

Вы можете защитить себя от вишинговых атак, не отвечая на звонки с неизвестных номеров, придумав секретное слово для близких, не передавая личную информацию по телефону и защитив учетные записи с помощью надежных паролей.

Не отвечайте на звонки с неизвестных номеров

Если вам звонят с незнакомых номеров, лучше не отвечать. С неизвестных номеров зачастую поступают спам-звонки или звонят мошенники, поэтому, не отвечая на нежелательные звонки, вы можете защитить себя от вишинговых атак. Мошенники могут использовать программное обеспечение, чтобы изменить то, как номер телефона будет отображаться на экране, часто присваивая ему местный код города, чтобы вызвать больше доверия. Если номер не сохранен в контактах, безопаснее отправлять звонок на голосовую почту, а не отвечать.

Создайте секретное слово для друзей и членов семьи

Поскольку мошенники используют ИИ, чтобы выдать себя за знакомых людей в ходе вишинговых атак, следует создать секретное слово для друзей и членов семьи. Цель современных вишинговых атак заключается в том, чтобы обманом и с помощью ИИ заставить вас поверить, что человек на другом конце провода — это кто-то из близких вам людей. Однако, используя безопасное слово, которое знают только ваши друзья и родственники, вы можете проверить личность звонящего. Если тот, кто звонит, не знает секретное слово или даст неправильный ответ, вы распознаете в нем мошенника.

Ни в коем случае не сообщайте личную информацию никому

Даже если кто-то утверждает, что он звонит из налоговой службы или другой компании, и требует срочно произвести оплату или предоставить личную информацию, ни в коем случае не сообщайте конфиденциальную информацию по телефону. Во время таких звонков могут угрожать серьезными последствиями, например тюремным заключением или значительными штрафами. Однако, если вы напрямую не обращались в налоговую службу или в настоящую компанию, причин для таких звонков нет, поэтому расценивайте их как вишинговые атаки.

Защитите учетные записи с помощью надежных паролей и многофакторной аутентификации

Важный способ защитить себя от вишинговых атак и других форм фишинга — защитить учетные записи в Интернете с помощью надежных паролей. Установите для каждой учетной записи надежный и уникальный пароль, состоящий не менее чем из 16 знаков и комбинации строчных и прописных букв, цифр и специальных символов. Защитив учетные записи с помощью надежных и уникальных паролей, вы снизите риск того, что мошенники угадают ненадежный или повторно используемый пароль и взломают ваши учетные записи для кражи личной информации.

Помимо защиты учетных записей с помощью надежных паролей, следует включить многофакторную аутентификацию (MFA), если есть возможность. Многофакторная аутентификация обеспечивает дополнительный уровень безопасности для учетных записей, требуя еще одну форму аутентификации для проверки личности перед получением доступа. Если вы раскроете учетные данные в ходе вишинговой атаки, но включите многофакторную аутентификацию, мошенники не смогут получить доступ к вашей учетной записи, используя только имя пользователя и пароль, поскольку им потребуется еще один способ аутентификации личности. Среди видов многофакторной аутентификации можно назвать код из приложения для аутентификации, ответ на секретный вопрос, PIN-код или биометрические данные.

Доверьтесь интуиции

Мы понимаем, что независимо от того, насколько вы подготовлены к кибератаке, эмоционально подготовиться к потенциальным последствиям может быть сложно. Осознав, что, возможно, вы попались на вишинговую атаку, можно легко запаниковать и забыть про логику, поэтому следует прислушаться к интуиции. Если во время разговора с кем-то по телефону у вас возникло подозрение, что это не тот, за кого он себя выдает, доверьтесь интуиции и повесьте трубку. Гораздо безопаснее позвонить в компанию напрямую по номеру телефона, указанному на официальном веб-сайте, чем сообщить личную информацию тому, кто вызывает у вас дискомфорт.

Заключение

Поскольку в кибератаках постоянно используется ИИ, важно знать, как защитить себя от вишинговых, фишинговых и смишинговых атак. Независимо от того, как происходит вишинговая атака, вы можете защитить себя, создав секретное слово для близких, не передавая личную информацию по телефону и защитив учетные записи с помощью надежных паролей. Простой способ защитить учетные записи с помощью надежных паролей — использовать менеджер паролей, такой как Keeper^®. Keeper Password Manager позволяет создавать, обновлять и хранить уникальные пароли, а также методы многофакторной аутентификации в безопасном зашифрованном хранилище.

Начните использовать бесплатную 30-дневную пробную версию Keeper Password Manager, чтобы защитить учетные записи и себя от вишинговых атак.