آموزش و پیشگیری

ویشینگ (Vishing)

[vc_row][vc_column][vc_column_text]

ویشینگ یا فیشینگ صوتی به نوعی کلاهبرداری مهندسی اجتماعی گفته می‌شود، که طی آن فرد مهاجم می‌خواهد با فریب دادن هدف، از طریق تلفن به داده‌های مهم و حساس وی دست پیدا کند. ویشینگ نیز همچون سایر حملات مهندسی اجتماعی از طریق هدف قرار دادن احساسات انسانی با ایجاد رعب و وحشت (مثلاً هشدارهای امنیتی) یا برانگیختن حس تمایل شخص مورد نظر اطلاعات مهم آن را مانند رمز عبور، اطلاعات مالی و یا سایر اطلاعات شخصی را در اختیار فرد مهاجم قرار می‌دهد.

در طی حملات فیشینگ، هکرها از ارتباطات نوشتاری به عنوان یک منبع مورد اعتماد و معتبر برای سرقت اطلاعات شخصی استفاده می‌نمایند. ولی در کلاهبرداری‌های ویشینگ مهاجم از تماس تلفنی استفاده می‌کند که می‌تواند مکالمه تهدیدکننده‌تر از ایمیل یا پیام کوتاه باشد.

مهاجمان امروزه با استفاده از تکنولوژی VoIP صدها تماس کلاهبرداری را بر بستر اینترنت به صورت خودکار انجام می‌دهند، درحالی که وانمود می‌کنند یک کسب و کار معتبر هستند. گاهی اوقات مهاجمان حتی قبل از هر چیزی در خصوص اهدافشان تحقیق می‌کنند تا بتوانند فریب‌های خود را قانع کننده نشان دهند.

در سال ۲۰۱۹ تماس‌های کلاهبرداری در سراسر جهان با رشد ۱۸ درصدی مواجه شده است. مطابق با گزارش proofpoint در سال ۲۰۲۰ فقط ۲۵ درصد از کارمندان می‌توانند به تعریف درست ویشینگ بپردازند. بنابراین با توجه به عدم آگاهی و نداشتن دانش امنیتی پرداختن به این موضوع حائز اهمیت فراوانی می‌باشد.

 

حمله ویشینگ چیست؟

حملات ویشینگ از نظر استراتژی و دامنه دارای تفاوت‌های قابل توجهی هستند. متداول‌ترین نوع حمله ویشینگ، تماس با فهرستی بزرگ از شماره تلفن‌های پراکنده و بدون هدف‌گذاری خاصی هستند که تعداد زیادی از قربانیان را به این امید که از تعدادی از آنها پاسخ دریافت کند، مورد هدف قرار می‌دهد. کلاهبرداران برای یافتن شماره تلفن‌های فعال از شماره گیری انبوه استفاده می‌نمایند، امکان دارد که تمرکز آن‌ها بر روی اهدافی در کدهای منطقه خاصی باشد.

در حملات ویشینگ کلاهبرداران می‌توانند بدافزار را جایگزین خود نمایند. صفحات وب و یا دانلودهای مخرب می‌توانند با ایجاد نمودن صفحات پاپ آپ که در سیستم عامل دستگاه تکثیر می‌شود، قربانیان را تشویق نموده تا برای حل مشکلات فنی و یا امنیتی با پشتیبانی تماس برقرار نمایند. در اینجا ویشر با ترکیبی از پاسخ‌های صوتی خودکار و واقعی در جهت فریب قربانی، وارد می‌شود.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_single_image image=”16700″ img_size=”full”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

متداول‌ترین حملات ویشینگ

ویشرها در حملات خود معمولاً یکی از سناریوهای گفته شده در ذیل را دنبال می‌کنند.

تماس‌های اضطراری دولتی

یکی از رایج‌ترین اشکال ویشینگ‌ها جعل هویت‌های دولتی می‌باشد. تماس‌هایی همچون هشدار بابت پرداخت نکردن مالیات و یا حل مشکلات مربوط به بیمه از طرف سازمان تأمین اجتماعی از این دسته از حملات ویشرها می‌باشد. آن‌ها می‌توانند از طریق شرایط اضطراری ساختگی، با داشتن هدف سرقت داده‌های حساس همچون امنیت اجتماعی و شماره حساب بانکی، ضرورت ایجاد نمایند.

 

پیشنهادهای غیر واقعی ولی بیش از حد جذاب

احتمالاً برای شما هم اتفاق افتاده است تا با برخی از این موارد برخورد کرده باشید. ویشرها اصولاً شما را با دادن یک پیشنهاد بسیار جذاب و خارق‌العاده فراخوانی می‌کنند. امکان دارد که در یک مسابقه‌ای برنده شده باشید، که در آن شرکت نکرده‌اید و یا ویشر می‌تواند به شما وام یا فرصت سرمایه‌گذاری بی‌سابقه‌ای را پیشنهاد نماید. در حالتی دیگر این فرایند ممکن است که درخواست کمک مالی با یک هدف خیرخواهانه باشد، که احساسات شما را مورد هدف قرار دهد. در کل توجه داشته باشید که کلاهبردار این پیشنهاد تقلبی و غیرواقعی را ارائه می‌کند تا شما با اعتماد به آن ها اطلاعات شخصی و مالی خود را در اختیار آنان قرار دهید تا به سوءاستفاده از آنها بپردازند.

کلاهبرداری از طریق پشتیبانی فنی

برخی بد افزارها و ابزارهای تبلیغاتی مزاحم بر قربانیان تاثیر گذاشته تا با خطوط پشتیبانی تماس برقرار نمایند. در این حملات معمولاً طعمه‌ها افرادی هستند که آشنایی کمتری با فناوری دارند و ممکن است برای جداسازی پیام‌ها وتماس‌های واقعی از جعلی تلاش کمتری داشته باشند.

بر اساس گزارشی از کسپراسکی موارد مشابهی از حملات وجود دارند که ترکیبی از باج افزار و ویشینگ هستند. طی این حملات دستگاه کاربر قفل شده و عبارت “تماس با پشتیبانی” روی صفحه ظاهر می‌شود. در طرف دیگر نیز ویشر در نقش تکنسین برای رفع مشکل دستگاه از کاربر درخواست می‌کند تا پولی را برای او پرداخت نماید.

حملات حساب بانکی

محبوب‌ترین راه برای ویشرها جعل هویت مؤسسات مالی برای کسب ثروت می‌باشد، خصوصاً اگر در گذشته اطلاعات شما را گرفته باشند. با توجه به اینکه حساب بانکی مدیران کسب و کار اهدافی با منفعت بالا هستند در اینجا حملات ویشینگ به والینگ تبدیل می‌شود. در این حملات تجربه نشان داده است که روزهای پایانی هفته برای این هدف مناسب‌تر هستند زیرا افراد به دلیل خستگی ناشی از یک هفته کاری، توجه کمتری نسبت به تماس‌های خود دارند.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_single_image image=”16704″ img_size=”full”][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

ویشینگ چگونه بر سازمان‌ها تاثیر می‌گذارد؟

اگر که حمله ویشینگ‌ها با موفقیت صورت گیرد و سازمانی دارای مشکل نقض داده باشد، عواقب غیر قابل جبرانی را به همراه خواهد داشت:

خسارت اعتبار

برندها با توجه به اعتمادی که به دست آورده‌اند، تنها با یک رخنه جدی امکان دارد تا یک سازمان در نظر مشتریان، شرکت و کارمندان خود غیر قابل اعتماد به نظر برسد. حمله‌های ویشینگ‌ها می‌تواند اعتبار برندها را مسموم نمایند. اگر که ویشرها بتوانند با موفقیت اطلاعات سازمان شما را جعل کنند، امکان دارد که افراد در برقراری ارتباط با شما دچار تردید شوند. این مسئله می‌تواند یک دردسر بزرگ برای سازمان‌هایی باشد که از طریق تلفن با کاربران خود در تعامل هستند.

خسارت مالکیت معنوی

اطلاعات مالی همیشه هدف نهایی کلاهبرداری‌های ویشینگ نیستند. اسرار تجاری، مشخصات مشتریان، فناوری‌ها و سایر اطلاعات محرمانه همگی برای ویشرها جذاب بوده و در صورت سرقت می‌توانند خسارت جدی ایجاد کنند.

جریمه‌های نظارتی

در صورتی که حمله ویشینگ اتفاق بیفتد و اطلاعات افراد (مثلاً مشتریان) نشر پیدا کند احتمال جریمه از سوی نهادهای نظارتی و حقوقی وجود دارد که اغلب هزینه هنگفتی است.

ضررهای مالی پایدار

از دست دادن اعتماد از سازمان شما امکان دارد مشتریان و سرمایه گذاران را به سوی دیگری سوق دهد. فراتر از هرگونه سرقت پول، جریمه و پرداخت غرامت، این مسئله می‌تواند در مدت طولانی برای کسب و کار شما زیان بیشتری به بار بیاورد.

[/vc_column_text][vc_single_image image=”16702″ img_size=”full”][vc_column_text]

راه‌هایی برای کمک به تشخیص حملات ویشینگ‌ها

در بسیاری از موارد پیشگیری از حملات ویشینگ به آموزش مربوط می‌شود. در ادامه به چند نکته که به شما در تشخیص و مقابله با حقه‌های ویشینگ کمک می‌کند می‌پردازیم:

 

  • اجتناب از تماس‌هایی که شما را وادار به اقدامات فوری می‌کنند.
  • پیشنهادهای بیش از حد جذاب واقعی نیستند.
  • جعل آسان شماره تلفن برای ویشرها.
  • اگر به تماسی مشکوک هستید فوراً تلفن را قطع نمایید، زیرا شما هیچ تعهدی برای ادامه دادن تماس ندارید.
  • با تلفن‌های گویا به احتیاط برخورد کنید. توجه کنید در تماس با تلفن گویای مشکوک که از شما می‌خواهد دکمه‌ای را بر روی تلفنتان فشار دهید، به خواسته او پاسخ ندهید.
[/vc_column_text][/vc_column][/vc_row]

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا
با ما تماس بگیرید