Вишинг (от англ. voice — голос и phishing — фишинг), или голосовой фишинг, — вид мошенничества, при котором злоумышленники используют голосовую связь для манипуляции пользователем, например с целью получения его персональных данных, таких как учетные данные от аккаунтов в интернет-сервисах или финансовые сведения.
Как и при других разновидностях фишинга, в ходе вишинговых атак мошенники используют методы социальной инженерии, чтобы вызвать доверие жертвы, напугать ее, запутать или создать ощущение срочности. Для этого злоумышленники могут представляться работниками известных компаний, знакомыми жертвы, сотрудниками полиции или государственных органов.
Термин «вишинг» могут использовать как для обозначения мошенничества, нацеленного на кражу данных, так и для обозначения любого телефонного мошенничества, в том числе сценариев, при которых злоумышленники убеждают жертву перевести им деньги или установить вредоносное ПО.
Схема атаки
Для осуществления вишинговой атаки злоумышленники могут:
- Позвонить потенциальной жертве. При этом злоумышленники могут использовать IP-телефонию и подменять номер, отображающийся на устройстве жертвы.
- Отправить потенциальной жертве SMS, сообщение в мессенджере или электронное письмо с номером телефона. В этом случае мошенники используют социальную инженерию, чтобы убедить пользователя позвонить им самостоятельно. Как правило, сообщение выглядит как автоматическая рассылка: потенциальная жертва с меньшей вероятностью ответит на такое письмо и с большей — позвонит по указанному номеру.
- Использовать сайты с поддельными предупреждениями о вредоносном ПО на устройстве (hoax), которые пугают пользователя несуществующим заражением и предлагают решить проблему, позвонив на номер мошенников.
- Использовать реальное вредоносное ПО, которое, например, автоматически перенаправляет входящие звонки на мошеннический кол-центр.
Типичные сценарии вишинг-атак
Злоумышленники могут использовать голосовой фишинг в разных схемах. Ниже приведены несколько распространенных схем вишинга:
- Финансовое мошенничество. Злоумышленники представляются сотрудниками банка, кредитной организации, налоговой службы или другого финансового учреждения. Они звонят потенциальной жертве и сообщают, что возникла проблема, связанная с ее счетом: например, обнаружены несанкционированные транзакции или невыплаченные налоги. Чтобы «решить проблему», пользователю предлагают совершить платеж или сообщить учетные данные от онлайн-банка и одноразовый код.
- Ложная техподдержка. Злоумышленники представляются сотрудниками технической поддержки или IT-службы компании и сообщают пользователю о проблеме с его компьютером или аккаунтом. Чтобы решить ее, жертве якобы нужно предоставить собеседнику учетные данные, доступ к устройству или установить специальную программу (чаще всего это средство удаленного доступа) якобы для удаленного решения проблемы.
- «Легкие деньги». Мошенники сообщают жертве о крупном выигрыше или о полагающейся ей выплате и под этим предлогом убеждают предоставить им личные данные и данные счета или карты якобы для отправки банковского перевода.
- Звонки от торговых представителей. Злоумышленники выдают себя за сотрудников отдела продаж и предлагают несуществующие продукты или услуги по выгодным ценам, стремясь получить личные и банковские данные пользователя якобы для размещения заказа или его оплаты.
- Фальшивые запросы о помощи. Мошенники звонят от лица благотворительных организаций или правоохранительных органов, призывая жертву предоставить банковские данные для оказания финансовой помощи нуждающимся или личную информацию для расследования.