Λιγότερο ως απειλή για την κυβερνοασφάλεια και περισσότερο ως απάτη, το vishing είναι γνωστό ως μία απόπειρα κλοπής πληροφοριών ή χρημάτων μέσω τηλεφώνου πείθοντας και εξαπατώντας το θύμα. Οι απατεώνες στις συγκεκριμένες κλήσεις συχνά χρησιμοποιούν προσωπικά δεδομένα και πληροφορίες που αποκτήθηκαν από παλαιότερες κυβερνοεπιθέσεις ή απάτες για να κερδίσουν την εμπιστοσύνη του θύματός τους και τελικά να το εξαπατήσουν.

Η συγκεκριμένη απειλή βρίσκεται σε έξαρση τα τελευταία χρόνια και από όπως πολλές άλλες απάτες και επιθέσεις άρχισε να αποκτά δημοφιλία μεταξύ των απατεώνων και κυβερνοεγκληματιών επειδή είναι σχετικά απλή στην εκτέλεση της, κλιμακώνεται εύκολα και απλά και συχνά στέφεται από επιτυχία. Δεν απαιτεί σημαντικές επενδύσεις σε τεχνολογικό επίπεδο και στην ουσία δεν απαιτεί γνώσεις κώδικα ή πληροφορικής, παρά μόνο βασικές πληροφορίες που βρίσκονται εύκολα στο διαδίκτυο.

Σύμφωνα με μια πρόσφατη έρευνα της εταιρείας Truecaller, το 26% των Αμερικανών πολιτών έχασε χρήματα λόγω τηλεφωνικής απάτης το έτος 2022. Το συγκεκριμένο ποσοστό δείχνει δύο βασικά πράγματα: ότι τέτοιου είδους επιθέσεις βρίσκονται σε άνοδο και ότι οι άνθρωποι δεν είναι εκπαιδευμένοι σε μεγάλο βαθμό ενάντια σε αυτές τις επιθέσεις.

Ο συνηθέστερος τύπος vishing είναι η μίμηση μίας γνωστής ή εξέχουσας προσωπικότητας, όπως για παράδειγμα ενός κυβερνητικού αξιωματούχου, κάποιου πελάτη ή συναδέλφου. Ο στόχος του απατεώνα είναι να αποκτήσει ευαίσθητες πληροφορίες, όπως για παράδειγμα τον αριθμό κοινωνικής ασφάλισης, τον αριθμό φορολογικού μητρώου, κάποιον κωδικό ενδεχομένως. Αν και συνήθως στοχεύουν σε προσωπικές ευαίσθητες πληροφορίες, η πιθανότητα το θύμα να πειστεί για να δώσει κάποιον κωδικό πρόσβασης, είναι μεγάλη και αυτό ενδέχεται να έχει ευρύτερες συνέπειες.

Σε σπάνιες περιπτώσεις, οι απατεώνες θα αποπειραθούν να πείσουν κάποιον εργαζόμενο να καταβάλει χρήματα ή να πληρώσει για ένα πλαστό τιμολόγιο με στόχο να κλέψουν εταιρικά κεφάλαια. Ανεξάρτητα από τον στόχο ή τη μέθοδο που χρησιμοποιεί ο απατεώνας, ο μοναδικός τρόπος για να αποτραπεί ο συγκεκριμένος τύπος επίθεσης είναι μέσω κατάλληλων προγραμμάτων ευαισθητοποίησης των υπαλλήλων και χρηστών.

Στο συγκεκριμένο άρθρο εξετάζονται διεξοδικά οκτώ κοινότυπα παραδείγματα vishing που οι υπάλληλοι/χρήστες σας μπορούν να γνωρίζουν εκ των προτέρων για να μην πέσουν στην παγίδα. 

1.AIbased Vishing

Για τους απατεώνες, η τεχνητή νοημοσύνη έχει αρχίσει και γίνεται ένα ολοένα και πιο χρήσιμο εργαλείο για να εκτελέσουν τις πονηρές και κακόβουλες ατζέντες τους και ήδη έχουμε δει τη τεχνητή νοημοσύνη να συμβάλει σε απάτες κοινωνικής μηχανικής όπως είναι το vishing. Η τεχνητή νοημοσύνη εντοπίζει μοτίβα και δημιουργεί διάφορες εκδοχές τους χωρίς την ανάγκη συνεχούς ανθρώπινης συμβολής -πράγμα που σημαίνει ότι μπορεί να εκκινήσει αυτόματα διεργασίες μόλις εντοπίσει κάποιο μοτίβο στον αλγόριθμό της. 

Πλέον, υπάρχει λογισμικό τεχνητής νοημοσύνης που μπορεί να μιμηθεί τη φωνή ενός ατόμου, για να ξεγελάσει με ευκολία υπαλλήλους να πιστέψουν ότι μιλούν σε ανωτέρους ή στους διευθυντές τους. Το 2021 μάλιστα πραγματοποιήθηκε μια μεγάλης κλίμακας κυβερνοεπίθεση με τη χρήση κλωνοποιημένης φωνής.

Ο κυβερνοεγκληματίας που πραγματοποίησε την επίθεση, χρησιμοποίησε τεχνητή νοημοσύνη για να μιμηθεί τη φωνή του διευθυντή μίας εταιρείας για να πείσει μέσω τηλεφωνικής κλήσης έναν διευθυντή τραπέζης να μεταφέρει $35 εκατομμύρια ως μέρος της διαδικασίας εξαγοράς της τράπεζας.

Το συγκεκριμένο περιστατικό ήταν ένα από τα πρώτα που σύνδεσε άμεσα την τεχνητή νοημοσύνη με τις κυβερνοαπειλές, καθώς αξιοποιώντας τεχνολογία βαθιάς εκμάθησης φωνής για να κλωνοποιήσει τον τρόπο ομιλίας, τη χροιά της φωνής και τη προφορά ενός στελέχους για να πραγματοποιήσει μία κυβερνοεπίθεση. Χρησιμοποιώντας διάφορα μοτίβα φωνής που είναι άμεσα διαθέσιμα από τα μέσα κοινωνικής δικτύωσης, από το YouTube, από διάφορες ηχογραφήσεις συνεντεύξεων και από άλλα, η τεχνητή νοημοσύνη μπορεί να αποτελέσει σημαντική απειλή για όλους τους οργανισμούς.

2.Robocall

Οι συγκεκριμένες επιθέσεις πραγματοποιούν προ-ηχογραφημένες κλήσεις σε κάθε αριθμό τηλεφώνου σε έναν συγκεκριμένο κωδικό περιοχής μέσω λογισμικού υπολογιστή. Η αυτοματοποιημένη φωνή ζητά από το θύμα να δηλώσει το όνομά του και άλλες πληροφορίες. Οι απαντήσεις καταγράφονται και χρησιμοποιούνται για την κλοπή χρημάτων ή τη δημιουργία πλαστών πιστωτικών καρτών. 

Ευτυχώς, αυτές οι κλήσεις είναι πλέον τόσο κοινότυπες που οι περισσότεροι άνθρωποι τις γνωρίζουν και κλείνουν αμέσως το τηλέφωνο όταν τις λαμβάνουν. Ένα άλλο ενδεικτικό σημάδι αυτών των επιθέσεων είναι οι διεθνείς ή αποκλεισμένοι αριθμοί, καθώς οι απατεώνες αναγκάζονται να ανακυκλώνουν τηλεφωνικά νούμερα για να κρατούν τις αρχές μακριά από τα ίχνη τους. 

3.VoIP

Αν και το VoIP είναι μια εξαιρετική τεχνολογία που έχει επιτρέψει εκπληκτικές επιχειρηματικές καινοτομίες, οι απατεώνες μπορούν εύκολα να δημιουργήσουν ψεύτικα νούμερα για να πραγματοποιήσουν επιθέσεις. Η συγκεκριμένη τεχνική μπορεί να συνδυαστεί και με ρομποτική κλήση, αλλά συχνότερα οι κλήσεις πραγματοποιούνται από ανθρώπους.

Ο καλύτερος τρόπος για να αποτρέψετε αυτές τις κλήσεις είναι να ζητήσετε να σταλούν περισσότερες πληροφορίες μέσω ηλεκτρονικού ταχυδρομείου, όπου οι επιθέσεις είναι πιο εύκολο να εντοπιστούν ή να ζητήσετε να συνεχίσετε την υπόλοιπη κλήση μιλώντας με κάποιον αυτοπροσώπως, καθώς ο επιτιθέμενος δεν θα μπορεί να το κάνει.

4.Παραποίηση ταυτότητας καλούντος

Ο συγκεκριμένος τύπος επίθεσης μπορεί να είναι ιδιαίτερα καταστροφικός επειδή χρησιμοποιεί λογισμικό για να παραποιήσει ένα νόμιμο αναγνωριστικό καλούντος. Οι απατεώνες συνήθως προσποιούνται ότι καλούν από κάποιον κρατικό οργανισμό ή κάποιο ίδρυμα όπως την φορολογική υπηρεσία, κάποιο αστυνομικό τμήμα ή ένα νοσοκομείο και με τη δικαιολογία του κατεπείγοντος αποπειρώνται να κάνουν το θύμα να δώσει πληροφορίες που υπό φυσιολογικές συνθήκες δεν θα έκανε.

Οι συγκεκριμένες επιθέσεις είναι δύσκολο να εντοπιστούν και ο καλύτερος τρόπος για να τις αποφύγετε είναι ο ίδιος όπως και με το VoIP, να προσπαθήσετε να μεταφέρετε την κλήση σε κάποιο άλλο μέσο. Ορισμένα τηλέφωνα και φυσικά μέτρα ασφαλείας μπορούν να εντοπίσουν αυτά τα πλαστά αναγνωριστικά καλούντων και να τα απορρίψουν αυτόματα. 

5.Dumpster Diving

Όπως λέει και το όνομα, οι συγκεκριμένες επιθέσεις πραγματοποιούνται με τη χρήση πληροφοριών που συλλέγονται από τα σκουπίδια μιας επιχείρησης. Τα επίσημα έγγραφα της εταιρείας συχνά περιέχουν αρκετά προσωπικά δεδομένα που μπορούν να χρησιμεύσουν για να εξαπολυθεί μία αρκετά επιτυχημένη επίθεση vishing.

Ο καλύτερος τρόπος για να αντιμετωπίσετε το λεγόμενο «dumpster diving» είναι απλός. Κάθε εταιρεία πρέπει να θρυμματίζει όλα τα ευαίσθητα εταιρικά έγγραφα πριν τα πετάξει στους κάδους απορριμάτων. Είτε χρησιμοποιείτε μια εξωτερική εταιρεία είτε αγοράζετε καταστροφείς για το γραφείο, πρόκειται για μια αξιόλογη επένδυση αν λάβετε υπόψη σας τους πιθανούς κινδύνους.

6.Κλήση τεχνικής υποστήριξης

Αυτή η επίθεση είναι ευρέως διαδεδομένη σε μεγάλες εταιρείες όπου οι εργαζόμενοι μπορεί να μην γνωρίζουν ή να έχουν συναντήσει τα μέλη του τμήματος τεχνικής υποστήριξης. Οι απατεώνες θα προσποιηθούν ότι πρέπει να κάνουν ενημέρωση ή επισκευή στον υπολογιστή και θα ζητήσουν τον κωδικό πρόσβασης του θύματος για να το κάνουν. 

Η εκπαίδευση είναι το κλειδί για την αντιμετώπιση αυτών των επιθέσεων. Να υπενθυμίζετε συχνά στους χρήστες ότι δεν πρόκειται να τους ζητήσετε ποτέ να αποκαλύψουν τον κωδικό πρόσβασής τους μέσω τηλεφώνου και ότι δεν πρέπει να το κάνουν σε καμία περίπτωση.

7.Απάτη τηλεφωνητή

Αυτή η επίθεση είναι διαφορετική και περιλαμβάνει ειδοποιήσεις φωνητικού ταχυδρομείου. Πολλά smartphones και εφαρμογές στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου στους χρήστες τους για να τους ειδοποιούν για αποθηκευμένα φωνητικά μηνύματα. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συνήθως περιέχουν έναν σύνδεσμο προκειμένου να ακούσετε ένα φωνητικό μήνυμα. Τα συγκεκριμένα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου έχουν στόχο να οδηγήσουν τους χρήστες σε μία ιστοσελίδα για να κατεβάσουν κακόβουλο λογισμικό στις συσκευές τους.

Αυτή η απάτη μπορεί να αποφευχθεί διασφαλίζοντας ότι οι χρήστες είναι επαρκώς εκπαιδευμένοι ώστε να εντοπίζουν τα μηνύματα ηλεκτρονικού ψαρέματος. Συνήθως τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου έχουν ορθογραφικά λάθη, λογότυπα ακατάλληλου μεγέθους και δεν αποστέλλονται από επίσημα ονόματα τομέων, οπότε καλό θα είναι να ελέγχεται τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα.

 8.Κλήσεις πελατών

Δεν είναι λίγες φορές, που αφού βρουν παλαιά τιμολόγια μέσω του «dumpster diving» που περιγράψαμε παραπάνω, οι απατεώνες που διαπράττουν αυτές τις επιθέσεις θα προσποιηθούν ότι είναι πελάτες της εταιρείας σας και θα σας ζητήσουν να πληρωθεί ένα τιμολόγιο. Με τη δικαιολογία του κατεπείγοντος θα αποπειραθούν να πείσουν το θύμα να τακτοποιήσει κάποια οφειλή και να κλέψουν χρήματα από την εταιρεία.

Αυτή η απάτη είναι ένα εξαιρετικό παράδειγμα του γιατί κάθε εταιρεία πρέπει να έχει την έγκριση δύο ατόμων για οποιαδήποτε πληρωμή τιμολογίου ή για μεταφορά χρημάτων. Με αυτόν τον τρόπο, το δεύτερο άτομο που δεν εμπλέκεται στην επίθεση μπορεί να επανεξετάσει τη διαδικασία και μπορεί να εντοπίσει κάποια απάτη ή απόπειρα εξαπάτησης/κλοπής.

Η εκπαίδευση είναι το κλειδί

Το vishing είναι από τις ανερχόμενες επιθέσεις. Ο καλύτερος τρόπος για να αντιμετωπίσετε αυτού του τύπου της απάτες είναι να διασφαλίσετε ότι οι χρήστες σας γνωρίζουν τις συγκεκριμένες απάτες/επιθέσεις, ώστε να μπορούν να τις αναγνωρίζουν και να τις προσδιορίζουν. Οι προσομοιώσεις vishing είναι εξίσου απλές με τις προσομοιώσεις phishing και θα πρέπει να αποτελούν βασικό μέρος των εκπαιδευτικών εκστρατειών ευαισθητοποίησης για την κυβερνοασφάλεια.

Ο καλύτερος τρόπος για να διαπιστώσετε αν ο οργανισμός σας κινδυνεύει είναι να κάνετε πάντα δοκιμές και να προσαρμόζετε τις άμυνές σας αναλόγως. Οι απατεώνες και κυβερνοεγκληματίες βασίζονται πάντα σε κρίσιμες ή επείγουσες καταστάσεις και σενάρια που κάνουν τους ανθρώπους να «ρίχνουν τις άμυνες τους».

Το να υπενθυμίζετε στους χρήστες και στους υπαλλήλους σας πως εξελίσσονται αυτές οι καταστάσεις και ποιες είναι οι ενδείξεις που τις μαρτυρούν είναι ο αποτελεσματικότερος τρόπος δράσης για την αποφυγή των επιθέσεων vishing. Από τη στιγμή που οι χρήστες/υπάλληλοι σας είναι καλά εκπαιδευμένοι σε αυτό το θέμα, τα βήματα για την αποφυγή ή την αποτροπή των επιθέσεων vishing είναι απλά και έχουν υψηλό ποσοστό επιτυχίας.

Οι συγκεκριμένες επιθέσεις είναι το ίδιο πράγμα είτε στοχεύουν ένα άτομο είτε μια ολόκληρη επιχείρηση. Η εκπαίδευση του προσωπικού σας όσον αφορά το vishing προστατεύει τη θέση και τη ζωή του, στο γραφείο και στο σπίτι. 

Πηγή: NSS –  Terranova