ویشینگ (vishing) چیست؟+معرفی کامل ویشینگ+روش های جلوگیری+نکات مهم🟢

ویشینگ (vishing) چیست؟+معرفی کامل ویشینگ+روش های جلوگیری+نکات مهم🟢

ویشینگ

ویشینگ

0
(0)

فیشینگ صوتی یا ویشینگ یک کلاهبرداری مجرمانه مبتنی بر تلفن است که از مهندسی اجتماعی برای دسترسی به اطلاعات مالی و شخصی خصوصی استفاده می کند. از آن به عنوان vishing، پورمانتو یا ترکیب صدا و فیشینگ یاد می شود. حملات Vishing معمولاً به شکل تماس تلفنی یا پیام صوتی است. مهاجمان سایبری اغلب می‌توانند قربانیان را با ادعای اینکه از نهادهای مورد اعتماد مانند شرکت‌های معتبر هستند فریب دهند. تا آنها را وادار به افشای اطلاعات شخصی، مانند شماره کارت اعتباری و جزئیات بانکی کنند.

تعریف ویشینگ

Vishing که گاهی به آن سایبر vishing نیز گفته می شود، نوعی از فیشینگ است. که از تماس سنتی تلفنی یا صوتی از طریق پروتکل اینترنت (VoIP) یا با یک شخص واقعی در حال صحبت، یک پیام متنی یا سایر ابزارها استفاده می کند.  ویشینگ نیز نوعی حمله سایبری است که از هر نوع پیامی استفاده می‌کند که به طور تقلبی خود را از یک منبع قابل اعتماد با هدف سرقت اطلاعات یا پول نشان می‌دهد.

در طول یک حمله معمولی ، یک کلاهبردار ممکن است صدها تماس را با استفاده از فناوری صوتی روی IP و یک شماره‌گیر جنگی برقرار کند و شناسه تماس گیرنده بانک را جعل کند تا به نظر برسد که تماس از یک منبع قابل اعتماد است. یا در یک تماس فراگیرتر، یک کلاهبردار ممکن است سعی کند از مهندسی اجتماعی استفاده کند تا قربانی را به اشتراک گذاری اطلاعات مالی و اطلاعات شخصی، مانند رمز عبور و شماره حساب، یا متقاعد کردن او برای دانلود “نرم افزار” که در واقع بدافزار است، وادار کند.

به طور سنتی، خدمات تلفن ثابت قابل اعتماد بوده است. هر خط با یک کاربر خاص، شخص یا کسب و کاری که صورتحساب را پرداخت می کند مرتبط است و در یک مکان فیزیکی شناخته شده خاتمه می یابد. و حتی تلفن های همراه حداقل با کاربران شناخته شده مرتبط هستند.

نکته

با این حال، مهاجمان vishing اکنون می توانند از سیستم های خودکار (IVR)، جعل شناسه تماس گیرنده و سایر ویژگی های VoIP استفاده کنند تا نظارت، ردیابی و مسدود کردن فعالیت های خود را دشوار کنند. و صدای دیپ‌فیک حتی می‌تواند بسیاری از شنوندگان را فریب دهد تا باور کنند منبع قابل اعتمادی را می‌شنوند.

ویشینگ

ویشینگ می تواند از روش های مختلفی شما را آزار دهد

Vishing چگونه کار می کند؟

یک تاکتیک متداول ویشینگ این است که مهاجم سایبری یک شماره‌گیر جنگی را برای تماس با فهرستی از شماره‌های تلفن دزدیده شده از یک مؤسسه یا شماره تلفن در یک منطقه خاص پیکربندی کند. این به آنها اجازه می دهد در بسیاری از موارد تنها بر اساس حجم موفق شوند.

به طور معمول، زمانی که قربانی به تماس پاسخ می‌دهد، ضبط خودکار پخش می‌شود، که معمولاً توسط یک سینت سایزر تبدیل متن به گفتار یا ابزارهای مشابه ایجاد می‌شود. “ضبط” به قربانی در مورد فعالیت غیرعادی در حساب بانکی خود می گوید، یا مثلاً کارت اعتباری او مسدود شده است. سپس این پیام به قربانی دستور می دهد که فوراً با موسسه تماس بگیرد، اما با یک شماره تلفن خاص – معمولاً همان شماره جعلی در شناسه تماس گیرنده قربانی.

قربانی با شماره تماس می گیرد و دوباره دستورالعمل های خودکار را می شنود – احتمالاً همان چیزی که از بانک انتظار دارد. آنها یک شماره حساب بانکی یا شماره کارت اعتباری را روی صفحه کلید و احتمالاً جزئیات شخصی اضافی مانند تاریخ انقضا، شماره شناسایی شخصی امنیتی (PIN) و تاریخ تولد وارد می کنند.

اشکال مختلف ویشینگ

مورد بالا ساده ترین شکل ویشینگ است. اما گاهی اوقات کلاهبرداری ها پیچیده تر هستند. کلاهبرداران انسانی ممکن است با ظاهر شدن به عنوان کارمندان نهادهای قانونی مانند ISP ها، بانک ها، پشتیبانی فنی یا دیگران، قربانیان را متقاعد کنند و سعی کنند اطلاعات شخصی را به دست آورند. آنها همچنین ممکن است قربانی را متقاعد کنند که اقدامات مختلفی مانند انتقال پول، تغییر رمز عبور، دانلود بدافزار یا برخی فعالیت های مضر دیگر انجام دهد.

مهاجمان این نوع حمله همچنین ممکن است با قربانیان تماس بگیرند و آنها را راهنمایی کنند تا با یک آژانس دولتی، بانک یا سایر نهادهای مورد اعتماد تماس بگیرند. با این حال، اگرچه قربانی تلفن را قطع می کند، تماس گیرنده ویزینگ این کار را نمی کند و وقتی قربانی تلاش می کند دوباره تماس بگیرد، خط باز می ماند. به این ترتیب، کلاهبردار تماس بعدی را ربوده، صدای شماره گیری را جعل می کند و هویت شخص مورد اعتماد را جعل می کند.

برای جلوگیری از این مشکل، مصرف‌کنندگان می‌توانند تلفن را قطع کنند و سپس از یک تلفن کاملاً متفاوت برای تماس با شماره شناخته‌شده نهاد برای تأیید مشکل استفاده کنند.

حمله ویشینگ در واقع هر حمله فیشینگی است که با استفاده از پیام‌های صوتی خودکار و سایر ابزارهای ویزینگ از طریق تلفن انجام شود. این همان هدفی است که یک لینک فیشینگ در یک ایمیل یا متن انجام می شود، اما با استفاده از قدرت روانی که خطوط تلفن و صدا برای ایجاد اعتماد به تراکنش دارند.

تفاوت بین فیشینگ، اسمشینگ و ویشینگ چیست؟

فیشینگ هنر فریب دادن افراد به افشای اطلاعات شخصی مانند نام کاربری، رمز عبور و شماره کارت اعتباری است. این حمله نمونه‌ای از مهندسی اجتماعی است . با استفاده از فریب برای دستکاری افراد به افشای اطلاعات حساس به دلایل متقلبانه.

مهاجمان فیشینگ معمولاً از طریق جعل ایمیل به قربانیان نزدیک می شوند و سپس کاربران را به یک وب سایت جعلی هدایت می کنند که با ظاهر و احساس سایت قانونی مطابقت دارد تا قربانیان اطلاعات شخصی را در آنجا وارد کنند. مهاجمان می‌توانند کاربران را با ارتباطاتی فریب دهند که ادعا می‌کنند از طرف‌های مورد اعتماد مانند سایت‌های حراج، همکاران، بانک‌ها، وب‌سایت‌های رسانه‌های اجتماعی، مدیران/مدیران در محل کار، IT آمده است.

برخی از فیشینگ به عنوان یک نسخه ایمیلی از vishing فکر می کنند. با این حال، اگرچه از نظر فنی مشابه هستند. از آنجایی که فیشینگ اولین بار بود، این کاملا دقیق نیست. در اصل، vishing فیشینگ از طریق تلفن است. Vishing نتیجه اسپم VoIP است که به آن SPIT یا هرزنامه از طریق تلفن نیز گفته می شود، همانطور که فیشینگ زیرمجموعه ای از هرزنامه است.

با هر دو نوع حمله، هدف اساساً یکسان است. تفاوت در استفاده از صدا یا این ایده است که انسان ها به انسان های دیگر اعتماد بیشتری دارند تا حمله را انجام دهند. این همان کاربردهای ویشینگ با زاویه مهندسی اجتماعی و تفاوت اصلی بین فیشینگ و ویشینگ است.

اسمیشینگ

Smishing، مجموعه‌ای از «SMS» و «فیشینگ»، به سادگی همان نوع حمله فیشینگ است که از پیام‌های متنی SMS به‌عنوان بردار حمله به جای ایمیل یا تماس‌های صوتی استفاده می‌کند.

تفاوت بین حمله های قبلی و ضربه زدن، روش تحویل و تا حدودی هدف است. برخی از قربانیان بیشتر از سایرین از روش‌های مهندسی اجتماعی خاصی استقبال می‌کنند. به عنوان مثال، برخی از گروه های سنی به تماس های صوتی بسیار بیشتر از متن اعتماد دارند. حملات سایبری موفقیت آمیز و سایر مهاجمان سایبری از این تفاوت ها استفاده هوشمندانه می کنند.

Spear vishing چیست و چگونه با نیزه فیشینگ مقایسه می شود؟ بر خلاف ویشینگ دسته جمعی با شماره گیرهای جنگ، حملات نیزه ای به طور خاص قربانیان شناخته شده را هدف قرار می دهند و به آنها دسترسی پیدا می کنند. مانند spear phishing، spear vishing نیز نیازمند این است که مهاجم اطلاعات خاصی در مورد هدف داشته باشد. به عنوان مثال، یک مهاجم نیزه ای ممکن است با دانستن نام، شغل و آدرس یک هدف از قبل تماس بگیرد و این باور را آسان تر می کند که او فردی است که باید به شماره حساب یا پین دسترسی داشته باشد.

تفاوت ویشینگ و فیشینگ

ویشینگ و فیشینگ مانند دو برادر هستند که مدام در حال تلاش هک هستند

جعل هویت

این امر مستلزم آماده‌سازی و کار بیشتری نسبت به مثلاً شماره‌گیری فهرستی از اهداف جنگی با یک تماس خودکار است که جعل هویت Medicare یا IRS است. اما به‌ویژه اهداف با ارزش، گاهی اوقات باهوش‌تر و تحصیل‌کرده‌تر در فضای سایبری هستند و کلاهبرداری‌های ساده‌تر را بی‌فایده می‌سازند.

مزایای پیشگیری از Vishing

طبق گزارش FBI 2019 جنایات اینترنتی، این حملات و کلاهبرداری ها 57 میلیون دلار خسارت به قربانیان وارد کرد. تعداد قربانیان این نوع کلاهبرداری ها بیشتر از سایر انواع کلاهبرداری های سایبری است.

متأسفانه، حمله ویشینگ تنها آغاز راه است. هنگامی که مهاجمان سایبری قربانیان را فریب می دهند تا نام، شماره تامین اجتماعی، تاریخ تولد، شماره کارت اعتباری، جزئیات حساب بانکی و سایر اطلاعات حساس را به اشتراک بگذارند، مجموعه ای از جنایات با مرتکبین متعدد، اغلب در طول سال ها، آغاز می شود. هویت قربانی اغلب هرگز به طور کامل بازیابی نمی شود. کلاهبرداران می توانند با استفاده از این جزئیات دست به تصرف حساب، کلاهبرداری از کارت اعتباری و سرقت هویت بزنند.

انواع ویشینگ

انواع مختلفی از نمونه های ویشینگ وجود دارد، اما همه تا حدی بر اساس احساسات و با استفاده از مهندسی اجتماعی ساخته شده اند.

فرم اول قربانیان را با ترس یا وحشت هدف قرار می دهد. در این مثال از vishing، یک تماس، به صورت خودکار یا زنده، ادعا می‌کند که یک حساب کارت اعتباری مسدود شده است یا یک حساب بانکی به خطر افتاده است. به شما می گوید برای تنظیم مجدد رمز عبور یا حل مشکل با شماره دیگری تماس بگیرید.

تنها چیزی که تماس‌گیرنده واقعاً می‌خواهد، اطلاعات است. آنها امیدوارند با ایجاد وحشت و تصمیم‌های نادرست شما، به این اطلاعات دست پیدا کنند. شما با شماره تماس می گیرید و اطلاعات حساسی مانند شماره حساب را برای ضبط می گذارید. یا اعداد را برای یک سیستم خودکار چاپ می کنید و داده های حساس در معرض نمایش قرار می گیرند.

شکل دیگری از ویشینگ قربانیان را با هیجان یا میل هدف قرار می دهد. به عنوان مثال، این تماس‌گیرنده می‌گوید قربانی جایزه‌ای را برنده شده یا واجد شرایط دریافت جایزه است . اما همیشه چیزی وجود دارد. برای دریافت جایزه یا بازخرید هدیه، قربانی باید مبلغی را بپردازد . مهاجم معمولاً به آنها اجازه می‌دهد این کار را مستقیماً از طریق تلفن با کارت اعتباری انجام دهند. برای مهاجم راحت است.

رایج ترین نمونه های Vishing

تعداد زیادی از شکایات مربوط به کلاهبرداری که کمیسیون تجارت فدرال (FTC) دریافت می کند، مربوط به تماس های تلفنی و دیدار است. برخی از رایج ترین نمونه های ویشینگ به شرح زیر است.

تداخل با حساب بانکی یا کارت اعتباری

این کلاهبرداری بسیار متداول شامل استفاده از یک پیام از پیش ضبط شده یا شخصی برای فریب قربانیان برای ارائه جزئیات حساب، پین یا سایر اعتبارنامه های ورود به سیستم برای حل مشکل حساب بانکی، پرداخت اخیر یا کارت اعتباری آنها است.

کلاهبرداری های پشتیبانی فنی

این مشکل رو به رشد باعث می‌شود که vishers قربانیان را فریب دهند تا با جعل هویت شرکت‌های پشتیبانی فنی قانونی، اطلاعات شخصی خود را واگذار کنند یا بدافزار را دانلود کنند. کلاهبرداران به عنوان شرکت های نامی مطرح می شوند. این بدافزار پیام‌های بازشو درباره امنیت رایانه قربانی ارسال می‌کند و برای مثال شماره‌های پشتیبانی فنی جعلی اضافی را ارائه می‌کند.

ویشینگ

ویشینگ با استفاده از صدا و تماس می تواند اطلاعات شما را از بین ببرد

پیشنهادات وام یا سرمایه گذاری ناخواسته

کلاهبرداران شهوانی وام دهندگان و سرمایه گذاران قانونی را جعل می کنند که در مورد بخشش بدهی، لغو بدهی پزشکی یا مسائل مرتبط با آن تماس می گیرند. به قربانی گفته می شود که اکنون برای دسترسی به پیشنهاد، یک هزینه بپردازد.

کلاهبرداری تامین اجتماعی یا مدیکر

طبق گزارش کمیسیون تجارت فدرال تماس‌های تلفنی همچنان بهترین تکنیکی است که کلاهبرداران برای دسترسی به افراد مسن‌تر از آن استفاده می‌کنند، و نوع مورد علاقه آنها کلاهبرداری شامل ظاهر شدن به عنوان نمایندگان سازمان تامین اجتماعی و کارمندان مدیکر است – اغلب در طول فصل ثبت نام آزاد، بسته به کلاهبرداری.

کلاهبرداری مالیاتی IRS

این کلاهبرداری‌ها معمولاً با پیام‌های از پیش ضبط‌شده از شناسه تماس‌گیرنده جعلی شروع می‌شوند. که نقص در اظهارنامه مالیاتی قربانی و جریمه‌های قانونی بدون اقدام – از جمله صدور حکم برای دستگیری آنها – را اعلام می‌کنند. این یک بردار حمله گسترده است. زیرا تقریباً همه مالیات ها را ثبت می کنند. بنابراین یک ابزار رباتیک بلانت برای مهاجمان به خوبی کار می کند.

در تمام این موارد، حملات ویشینگ اهداف اساسی یکسانی دارند. قربانیان را متقاعد می‌کنند که اطلاعات شخصی خود را فاش کنند. تا امکان حملات بیشتر و سود مالی فراهم شود.

علائم Vishing: چگونه از حملات Vishing جلوگیری کنیم؟

چندین نشانه آشکار از کلاهبرداری ویشینگ وجود دارد:

تماس گیرنده از یک بخش دولتی است

اگر تماس‌گیرنده بگوید که نماینده بیمه ، IRS، مجری قانون، یا اداره تامین اجتماعی است، احتمالاً به شما کمک می‌کند مگر اینکه با آنها تماس بگیرید. هیچ یک از این آژانس‌ها هرگز برای درخواست اطلاعات شخصی یا مالی از طریق پیام متنی، ایمیل یا رسانه‌های اجتماعی به مشتریان مراجعه نمی‌کنند.

تماس گیرنده یک پیشنهاد ویژه دارد

نسبت به هر کسی که با شما تماس می گیرد با هر نوع پیشنهادی شک کنید.

تماس فوری است

کلاهبرداران ویزینگ از قدرت مهندسی اجتماعی و ترس و وحشت یا هیجان و تمایل برای به دام انداختن قربانیان استفاده می کنند. هیچ یک از این احساسات برای تصمیم گیری خوب نیستند و همه آنها با فوریت تحریک می شوند. تهدید به مسدود کردن حساب، حکم بازداشت و از دست دادن دائمی جوایز فراموش نشدنی باید شما را مشکوک کند. تلفن را قطع کنید و در دستگاه دیگری تحقیق کنید.

تماس گیرنده اطلاعات شخصی می خواهد

دلایل آنها هر چه که باشد، اگر تماس گیرنده از شما درخواست کرد که جزئیات شخصی را تأیید کنید، رد کنید. آنها از چیزهایی که از قبل دارند استفاده می کنند. تا شما را فریب دهند تا بقیه چیزها را فاش کنید. بنابراین این الگو را بشناسید. فراتر از درک چگونگی شناسایی ویشینگ، کارهای دیگری نیز وجود دارد که می توانید برای محافظت از خود و کسب و کارتان انجام دهید.

به همه تماس ها پاسخ ندهید

به همه تماس ها پاسخ ندهید شناسه تماس‌گیرنده را می‌توان جعل کرد. بنابراین فقط پیام‌ها را مرور کنید و فقط با افرادی که واقعاً می‌شناسید تماس بگیرید. اگر کسب‌وکاری است که از آن استفاده می‌کنید، مستقیماً با آنها تماس بگیرید.

تماس های مشکوک را قطع کنید

اگر ممکن است یک تماس ویشینگ باشد، فقط تماس را قطع کنید. یک مشتری یا فروشنده واقعی بعداً اگر اشتباهی مرتکب شوید، استدلال شما را درک خواهد کرد. حملات مهندسی اجتماعی بر زیبایی های اجتماعی و شرمساری قربانیان متکی هستند. بنابراین از پایان دادن به یک حمله ویزینگ در حال انجام نترسید.

به درخواست‌های خودکار صوتی یا فشار دادن دکمه‌ها پاسخ ندهید

این شامل اعلان های صوتی است. گاهی اوقات تماس‌های vishing شناسایی اهداف بالقوه یا ضبط صدای قربانی برای استفاده بعدی در پیمایش منوهای تلفن مرتبط با حساب است. که خود خودکار صوتی هستند.

هویت تماس گیرنده را تأیید کنید

به شناسه تماس گیرنده اعتماد نکنید که به راحتی جعل می شود. از شماره های تماس استفاده نکنید. از شماره تلفن های عمومی رسمی استفاده کنید.

اطلاعات حساس را ارائه ندهید

اگر تماس گیرنده اطلاعات حساسی را درخواست کرد، در صورتی که هویت او تأیید نشد، از آن خودداری کنید. کسب‌وکارها باید خط‌مشی‌هایی ایجاد کنند. که بر نحوه تأیید هویت تماس‌گیرنده و نوع اطلاعاتی که می‌تواند، زمان، و توسط و برای چه کسی افشا شود، حاکم باشد. کارمندان باید بدانند که هر درخواست را به چه کسی تحویل دهند . در صورت ارائه درخواست غیرعادی چه روندی را طی می کنند. قرار دادن حفاظت از ویشینگ در خط مشی شرکت، تأیید هویت و محافظت در برابر حملات سایبری را بخشی از فرهنگ شرکت می کند.

اعتماد صفر را به کار بگیرید

مدل امنیت فناوری اطلاعات بدون اعتماد مستلزم آن است که هویت هر دستگاه و کاربر، خواه در داخل محیط شبکه باشد یا نباشد، به شدت تأیید شود. تا به منابع شبکه خصوصی، از جمله هرگونه اطلاعات درخواستی، دسترسی پیدا کند. ایجاد و انتشار فهرست تایید شده از متقاضیان قابل قبول.

از احراز هویت قوی استفاده کنید

برای واجد شرایط بودن به عنوان احراز هویت قوی، یک سیستم باید: در هیچ نقطه ای، از جمله رمزهای عبور، کدها، و سوالات بازیابی، صرفاً به اسرار مشترک/کلیدهای متقارن متکی نباشد. همچنین باید به طور قوی فیشینگ و جعل هویت را دفع کند. مهم نیست که چقدر آموزش کاربر در مورد ویشینگ یا مهندسی اجتماعی انجام می شود. برخی از حملات موفق خواهند شد. احراز هویت قوی فرض می کند که خطاها اجتناب ناپذیر هستند و از آنها جلوگیری می کند.

این پست برای شما مفید بود؟

این پست چندتا ستاره داره ؟

میانگین رتبه : 0 / 5. تعداد آرا : 0

اولین نفری باشید که به این پست امتیاز می دهید