فیشینگ صوتی یا ویشینگ یک کلاهبرداری مجرمانه مبتنی بر تلفن است که از مهندسی اجتماعی برای دسترسی به اطلاعات مالی و شخصی خصوصی استفاده می کند. از آن به عنوان vishing، پورمانتو یا ترکیب صدا و فیشینگ یاد می شود. حملات Vishing معمولاً به شکل تماس تلفنی یا پیام صوتی است. مهاجمان سایبری اغلب میتوانند قربانیان را با ادعای اینکه از نهادهای مورد اعتماد مانند شرکتهای معتبر هستند فریب دهند. تا آنها را وادار به افشای اطلاعات شخصی، مانند شماره کارت اعتباری و جزئیات بانکی کنند.
آنچه در این مقاله خواهید خواند :
Vishing که گاهی به آن سایبر vishing نیز گفته می شود، نوعی از فیشینگ است. که از تماس سنتی تلفنی یا صوتی از طریق پروتکل اینترنت (VoIP) یا با یک شخص واقعی در حال صحبت، یک پیام متنی یا سایر ابزارها استفاده می کند. ویشینگ نیز نوعی حمله سایبری است که از هر نوع پیامی استفاده میکند که به طور تقلبی خود را از یک منبع قابل اعتماد با هدف سرقت اطلاعات یا پول نشان میدهد.
در طول یک حمله معمولی ، یک کلاهبردار ممکن است صدها تماس را با استفاده از فناوری صوتی روی IP و یک شمارهگیر جنگی برقرار کند و شناسه تماس گیرنده بانک را جعل کند تا به نظر برسد که تماس از یک منبع قابل اعتماد است. یا در یک تماس فراگیرتر، یک کلاهبردار ممکن است سعی کند از مهندسی اجتماعی استفاده کند تا قربانی را به اشتراک گذاری اطلاعات مالی و اطلاعات شخصی، مانند رمز عبور و شماره حساب، یا متقاعد کردن او برای دانلود “نرم افزار” که در واقع بدافزار است، وادار کند.
به طور سنتی، خدمات تلفن ثابت قابل اعتماد بوده است. هر خط با یک کاربر خاص، شخص یا کسب و کاری که صورتحساب را پرداخت می کند مرتبط است و در یک مکان فیزیکی شناخته شده خاتمه می یابد. و حتی تلفن های همراه حداقل با کاربران شناخته شده مرتبط هستند.
با این حال، مهاجمان vishing اکنون می توانند از سیستم های خودکار (IVR)، جعل شناسه تماس گیرنده و سایر ویژگی های VoIP استفاده کنند تا نظارت، ردیابی و مسدود کردن فعالیت های خود را دشوار کنند. و صدای دیپفیک حتی میتواند بسیاری از شنوندگان را فریب دهد تا باور کنند منبع قابل اعتمادی را میشنوند.
یک تاکتیک متداول ویشینگ این است که مهاجم سایبری یک شمارهگیر جنگی را برای تماس با فهرستی از شمارههای تلفن دزدیده شده از یک مؤسسه یا شماره تلفن در یک منطقه خاص پیکربندی کند. این به آنها اجازه می دهد در بسیاری از موارد تنها بر اساس حجم موفق شوند.
به طور معمول، زمانی که قربانی به تماس پاسخ میدهد، ضبط خودکار پخش میشود، که معمولاً توسط یک سینت سایزر تبدیل متن به گفتار یا ابزارهای مشابه ایجاد میشود. “ضبط” به قربانی در مورد فعالیت غیرعادی در حساب بانکی خود می گوید، یا مثلاً کارت اعتباری او مسدود شده است. سپس این پیام به قربانی دستور می دهد که فوراً با موسسه تماس بگیرد، اما با یک شماره تلفن خاص – معمولاً همان شماره جعلی در شناسه تماس گیرنده قربانی.
قربانی با شماره تماس می گیرد و دوباره دستورالعمل های خودکار را می شنود – احتمالاً همان چیزی که از بانک انتظار دارد. آنها یک شماره حساب بانکی یا شماره کارت اعتباری را روی صفحه کلید و احتمالاً جزئیات شخصی اضافی مانند تاریخ انقضا، شماره شناسایی شخصی امنیتی (PIN) و تاریخ تولد وارد می کنند.
مورد بالا ساده ترین شکل ویشینگ است. اما گاهی اوقات کلاهبرداری ها پیچیده تر هستند. کلاهبرداران انسانی ممکن است با ظاهر شدن به عنوان کارمندان نهادهای قانونی مانند ISP ها، بانک ها، پشتیبانی فنی یا دیگران، قربانیان را متقاعد کنند و سعی کنند اطلاعات شخصی را به دست آورند. آنها همچنین ممکن است قربانی را متقاعد کنند که اقدامات مختلفی مانند انتقال پول، تغییر رمز عبور، دانلود بدافزار یا برخی فعالیت های مضر دیگر انجام دهد.
مهاجمان این نوع حمله همچنین ممکن است با قربانیان تماس بگیرند و آنها را راهنمایی کنند تا با یک آژانس دولتی، بانک یا سایر نهادهای مورد اعتماد تماس بگیرند. با این حال، اگرچه قربانی تلفن را قطع می کند، تماس گیرنده ویزینگ این کار را نمی کند و وقتی قربانی تلاش می کند دوباره تماس بگیرد، خط باز می ماند. به این ترتیب، کلاهبردار تماس بعدی را ربوده، صدای شماره گیری را جعل می کند و هویت شخص مورد اعتماد را جعل می کند.
برای جلوگیری از این مشکل، مصرفکنندگان میتوانند تلفن را قطع کنند و سپس از یک تلفن کاملاً متفاوت برای تماس با شماره شناختهشده نهاد برای تأیید مشکل استفاده کنند.
حمله ویشینگ در واقع هر حمله فیشینگی است که با استفاده از پیامهای صوتی خودکار و سایر ابزارهای ویزینگ از طریق تلفن انجام شود. این همان هدفی است که یک لینک فیشینگ در یک ایمیل یا متن انجام می شود، اما با استفاده از قدرت روانی که خطوط تلفن و صدا برای ایجاد اعتماد به تراکنش دارند.
فیشینگ هنر فریب دادن افراد به افشای اطلاعات شخصی مانند نام کاربری، رمز عبور و شماره کارت اعتباری است. این حمله نمونهای از مهندسی اجتماعی است . با استفاده از فریب برای دستکاری افراد به افشای اطلاعات حساس به دلایل متقلبانه.
مهاجمان فیشینگ معمولاً از طریق جعل ایمیل به قربانیان نزدیک می شوند و سپس کاربران را به یک وب سایت جعلی هدایت می کنند که با ظاهر و احساس سایت قانونی مطابقت دارد تا قربانیان اطلاعات شخصی را در آنجا وارد کنند. مهاجمان میتوانند کاربران را با ارتباطاتی فریب دهند که ادعا میکنند از طرفهای مورد اعتماد مانند سایتهای حراج، همکاران، بانکها، وبسایتهای رسانههای اجتماعی، مدیران/مدیران در محل کار، IT آمده است.
برخی از فیشینگ به عنوان یک نسخه ایمیلی از vishing فکر می کنند. با این حال، اگرچه از نظر فنی مشابه هستند. از آنجایی که فیشینگ اولین بار بود، این کاملا دقیق نیست. در اصل، vishing فیشینگ از طریق تلفن است. Vishing نتیجه اسپم VoIP است که به آن SPIT یا هرزنامه از طریق تلفن نیز گفته می شود، همانطور که فیشینگ زیرمجموعه ای از هرزنامه است.
با هر دو نوع حمله، هدف اساساً یکسان است. تفاوت در استفاده از صدا یا این ایده است که انسان ها به انسان های دیگر اعتماد بیشتری دارند تا حمله را انجام دهند. این همان کاربردهای ویشینگ با زاویه مهندسی اجتماعی و تفاوت اصلی بین فیشینگ و ویشینگ است.
Smishing، مجموعهای از «SMS» و «فیشینگ»، به سادگی همان نوع حمله فیشینگ است که از پیامهای متنی SMS بهعنوان بردار حمله به جای ایمیل یا تماسهای صوتی استفاده میکند.
تفاوت بین حمله های قبلی و ضربه زدن، روش تحویل و تا حدودی هدف است. برخی از قربانیان بیشتر از سایرین از روشهای مهندسی اجتماعی خاصی استقبال میکنند. به عنوان مثال، برخی از گروه های سنی به تماس های صوتی بسیار بیشتر از متن اعتماد دارند. حملات سایبری موفقیت آمیز و سایر مهاجمان سایبری از این تفاوت ها استفاده هوشمندانه می کنند.
Spear vishing چیست و چگونه با نیزه فیشینگ مقایسه می شود؟ بر خلاف ویشینگ دسته جمعی با شماره گیرهای جنگ، حملات نیزه ای به طور خاص قربانیان شناخته شده را هدف قرار می دهند و به آنها دسترسی پیدا می کنند. مانند spear phishing، spear vishing نیز نیازمند این است که مهاجم اطلاعات خاصی در مورد هدف داشته باشد. به عنوان مثال، یک مهاجم نیزه ای ممکن است با دانستن نام، شغل و آدرس یک هدف از قبل تماس بگیرد و این باور را آسان تر می کند که او فردی است که باید به شماره حساب یا پین دسترسی داشته باشد.
این امر مستلزم آمادهسازی و کار بیشتری نسبت به مثلاً شمارهگیری فهرستی از اهداف جنگی با یک تماس خودکار است که جعل هویت Medicare یا IRS است. اما بهویژه اهداف با ارزش، گاهی اوقات باهوشتر و تحصیلکردهتر در فضای سایبری هستند و کلاهبرداریهای سادهتر را بیفایده میسازند.
طبق گزارش FBI 2019 جنایات اینترنتی، این حملات و کلاهبرداری ها 57 میلیون دلار خسارت به قربانیان وارد کرد. تعداد قربانیان این نوع کلاهبرداری ها بیشتر از سایر انواع کلاهبرداری های سایبری است.
متأسفانه، حمله ویشینگ تنها آغاز راه است. هنگامی که مهاجمان سایبری قربانیان را فریب می دهند تا نام، شماره تامین اجتماعی، تاریخ تولد، شماره کارت اعتباری، جزئیات حساب بانکی و سایر اطلاعات حساس را به اشتراک بگذارند، مجموعه ای از جنایات با مرتکبین متعدد، اغلب در طول سال ها، آغاز می شود. هویت قربانی اغلب هرگز به طور کامل بازیابی نمی شود. کلاهبرداران می توانند با استفاده از این جزئیات دست به تصرف حساب، کلاهبرداری از کارت اعتباری و سرقت هویت بزنند.
انواع مختلفی از نمونه های ویشینگ وجود دارد، اما همه تا حدی بر اساس احساسات و با استفاده از مهندسی اجتماعی ساخته شده اند.
فرم اول قربانیان را با ترس یا وحشت هدف قرار می دهد. در این مثال از vishing، یک تماس، به صورت خودکار یا زنده، ادعا میکند که یک حساب کارت اعتباری مسدود شده است یا یک حساب بانکی به خطر افتاده است. به شما می گوید برای تنظیم مجدد رمز عبور یا حل مشکل با شماره دیگری تماس بگیرید.
تنها چیزی که تماسگیرنده واقعاً میخواهد، اطلاعات است. آنها امیدوارند با ایجاد وحشت و تصمیمهای نادرست شما، به این اطلاعات دست پیدا کنند. شما با شماره تماس می گیرید و اطلاعات حساسی مانند شماره حساب را برای ضبط می گذارید. یا اعداد را برای یک سیستم خودکار چاپ می کنید و داده های حساس در معرض نمایش قرار می گیرند.
شکل دیگری از ویشینگ قربانیان را با هیجان یا میل هدف قرار می دهد. به عنوان مثال، این تماسگیرنده میگوید قربانی جایزهای را برنده شده یا واجد شرایط دریافت جایزه است . اما همیشه چیزی وجود دارد. برای دریافت جایزه یا بازخرید هدیه، قربانی باید مبلغی را بپردازد . مهاجم معمولاً به آنها اجازه میدهد این کار را مستقیماً از طریق تلفن با کارت اعتباری انجام دهند. برای مهاجم راحت است.
تعداد زیادی از شکایات مربوط به کلاهبرداری که کمیسیون تجارت فدرال (FTC) دریافت می کند، مربوط به تماس های تلفنی و دیدار است. برخی از رایج ترین نمونه های ویشینگ به شرح زیر است.
این کلاهبرداری بسیار متداول شامل استفاده از یک پیام از پیش ضبط شده یا شخصی برای فریب قربانیان برای ارائه جزئیات حساب، پین یا سایر اعتبارنامه های ورود به سیستم برای حل مشکل حساب بانکی، پرداخت اخیر یا کارت اعتباری آنها است.
این مشکل رو به رشد باعث میشود که vishers قربانیان را فریب دهند تا با جعل هویت شرکتهای پشتیبانی فنی قانونی، اطلاعات شخصی خود را واگذار کنند یا بدافزار را دانلود کنند. کلاهبرداران به عنوان شرکت های نامی مطرح می شوند. این بدافزار پیامهای بازشو درباره امنیت رایانه قربانی ارسال میکند و برای مثال شمارههای پشتیبانی فنی جعلی اضافی را ارائه میکند.
کلاهبرداران شهوانی وام دهندگان و سرمایه گذاران قانونی را جعل می کنند که در مورد بخشش بدهی، لغو بدهی پزشکی یا مسائل مرتبط با آن تماس می گیرند. به قربانی گفته می شود که اکنون برای دسترسی به پیشنهاد، یک هزینه بپردازد.
طبق گزارش کمیسیون تجارت فدرال تماسهای تلفنی همچنان بهترین تکنیکی است که کلاهبرداران برای دسترسی به افراد مسنتر از آن استفاده میکنند، و نوع مورد علاقه آنها کلاهبرداری شامل ظاهر شدن به عنوان نمایندگان سازمان تامین اجتماعی و کارمندان مدیکر است – اغلب در طول فصل ثبت نام آزاد، بسته به کلاهبرداری.
این کلاهبرداریها معمولاً با پیامهای از پیش ضبطشده از شناسه تماسگیرنده جعلی شروع میشوند. که نقص در اظهارنامه مالیاتی قربانی و جریمههای قانونی بدون اقدام – از جمله صدور حکم برای دستگیری آنها – را اعلام میکنند. این یک بردار حمله گسترده است. زیرا تقریباً همه مالیات ها را ثبت می کنند. بنابراین یک ابزار رباتیک بلانت برای مهاجمان به خوبی کار می کند.
در تمام این موارد، حملات ویشینگ اهداف اساسی یکسانی دارند. قربانیان را متقاعد میکنند که اطلاعات شخصی خود را فاش کنند. تا امکان حملات بیشتر و سود مالی فراهم شود.
چندین نشانه آشکار از کلاهبرداری ویشینگ وجود دارد:
اگر تماسگیرنده بگوید که نماینده بیمه ، IRS، مجری قانون، یا اداره تامین اجتماعی است، احتمالاً به شما کمک میکند مگر اینکه با آنها تماس بگیرید. هیچ یک از این آژانسها هرگز برای درخواست اطلاعات شخصی یا مالی از طریق پیام متنی، ایمیل یا رسانههای اجتماعی به مشتریان مراجعه نمیکنند.
نسبت به هر کسی که با شما تماس می گیرد با هر نوع پیشنهادی شک کنید.
کلاهبرداران ویزینگ از قدرت مهندسی اجتماعی و ترس و وحشت یا هیجان و تمایل برای به دام انداختن قربانیان استفاده می کنند. هیچ یک از این احساسات برای تصمیم گیری خوب نیستند و همه آنها با فوریت تحریک می شوند. تهدید به مسدود کردن حساب، حکم بازداشت و از دست دادن دائمی جوایز فراموش نشدنی باید شما را مشکوک کند. تلفن را قطع کنید و در دستگاه دیگری تحقیق کنید.
دلایل آنها هر چه که باشد، اگر تماس گیرنده از شما درخواست کرد که جزئیات شخصی را تأیید کنید، رد کنید. آنها از چیزهایی که از قبل دارند استفاده می کنند. تا شما را فریب دهند تا بقیه چیزها را فاش کنید. بنابراین این الگو را بشناسید. فراتر از درک چگونگی شناسایی ویشینگ، کارهای دیگری نیز وجود دارد که می توانید برای محافظت از خود و کسب و کارتان انجام دهید.
به همه تماس ها پاسخ ندهید شناسه تماسگیرنده را میتوان جعل کرد. بنابراین فقط پیامها را مرور کنید و فقط با افرادی که واقعاً میشناسید تماس بگیرید. اگر کسبوکاری است که از آن استفاده میکنید، مستقیماً با آنها تماس بگیرید.
اگر ممکن است یک تماس ویشینگ باشد، فقط تماس را قطع کنید. یک مشتری یا فروشنده واقعی بعداً اگر اشتباهی مرتکب شوید، استدلال شما را درک خواهد کرد. حملات مهندسی اجتماعی بر زیبایی های اجتماعی و شرمساری قربانیان متکی هستند. بنابراین از پایان دادن به یک حمله ویزینگ در حال انجام نترسید.
این شامل اعلان های صوتی است. گاهی اوقات تماسهای vishing شناسایی اهداف بالقوه یا ضبط صدای قربانی برای استفاده بعدی در پیمایش منوهای تلفن مرتبط با حساب است. که خود خودکار صوتی هستند.
به شناسه تماس گیرنده اعتماد نکنید که به راحتی جعل می شود. از شماره های تماس استفاده نکنید. از شماره تلفن های عمومی رسمی استفاده کنید.
اگر تماس گیرنده اطلاعات حساسی را درخواست کرد، در صورتی که هویت او تأیید نشد، از آن خودداری کنید. کسبوکارها باید خطمشیهایی ایجاد کنند. که بر نحوه تأیید هویت تماسگیرنده و نوع اطلاعاتی که میتواند، زمان، و توسط و برای چه کسی افشا شود، حاکم باشد. کارمندان باید بدانند که هر درخواست را به چه کسی تحویل دهند . در صورت ارائه درخواست غیرعادی چه روندی را طی می کنند. قرار دادن حفاظت از ویشینگ در خط مشی شرکت، تأیید هویت و محافظت در برابر حملات سایبری را بخشی از فرهنگ شرکت می کند.
مدل امنیت فناوری اطلاعات بدون اعتماد مستلزم آن است که هویت هر دستگاه و کاربر، خواه در داخل محیط شبکه باشد یا نباشد، به شدت تأیید شود. تا به منابع شبکه خصوصی، از جمله هرگونه اطلاعات درخواستی، دسترسی پیدا کند. ایجاد و انتشار فهرست تایید شده از متقاضیان قابل قبول.
برای واجد شرایط بودن به عنوان احراز هویت قوی، یک سیستم باید: در هیچ نقطه ای، از جمله رمزهای عبور، کدها، و سوالات بازیابی، صرفاً به اسرار مشترک/کلیدهای متقارن متکی نباشد. همچنین باید به طور قوی فیشینگ و جعل هویت را دفع کند. مهم نیست که چقدر آموزش کاربر در مورد ویشینگ یا مهندسی اجتماعی انجام می شود. برخی از حملات موفق خواهند شد. احراز هویت قوی فرض می کند که خطاها اجتناب ناپذیر هستند و از آنها جلوگیری می کند.