Skip to main content
Hermes Banner 1
DIGITAL TV 190
ilka aggelia
securityreport e mag odhgos 2021
29 Αυγούστου 2021 21:46

Vishing: Από το ηλεκτρονικό στο… φωνητικό ψάρεμα!

Γράφει: Αποστολόπουλος Παναγιώτης
7cda353dc4437c2f47caf424309a8b6d XL fdc35ec4

Το Vishing είναι ένα έγκλημα στον κυβερνοχώρο ή καλύτερα μία φωνητική απάτη μέσω τηλεφώνου που χρησιμοποιεί διάφορες τεχνικές για να εξαπατήσει τους πολίτες, αλλά και μεγάλους οργανισμούς και επιχειρήσεις. Συχνά αναφέρεται ως φωνητικό ψάρεμα και χρησιμοποιείται για την κλοπή διαπιστευτηρίων και άρα την πρόσβαση…

Το Vishing είναι ένα έγκλημα στον κυβερνοχώρο ή καλύτερα μία φωνητική απάτη μέσω τηλεφώνου που χρησιμοποιεί διάφορες τεχνικές για να εξαπατήσει τους πολίτες, αλλά και μεγάλους οργανισμούς και επιχειρήσεις. Συχνά αναφέρεται ως φωνητικό ψάρεμα και χρησιμοποιείται για την κλοπή διαπιστευτηρίων και άρα την πρόσβαση σε τραπεζικούς λογαριασμούς.

Όλοι έχουμε ακούσει για το ηλεκτρονικό ψάρεμα-phishing. Το Phishing είναι ενέργεια εξαπάτησης των χρηστών του διαδικτύου, κατά την οποία ο ‘θύτης’ υποδύεται μία αξιόπιστη πηγή, καταχρώμενος την ελλιπή προστασία που παρέχουν τα ηλεκτρονικά εργαλεία, και την άγνοια του χρήστη-θύματος, με σκοπό την αθέμιτη απόκτηση προσωπικών δεδομένων, όπως είναι ευαίσθητα ιδιωτικά στοιχεία και κωδικοί.

Ο όρος Phishing, που πρωτοχρησιμοποιήθηκε από τον χάκερ Khan C Smith και υιοθετήθηκε στη συνέχεια από όλη την κοινότητα των χάκερς, προέρχεται από το αγγλικό fishing (ψάρεμα), καθώς η διαδικασία με την οποία ο θύτης παρουσιάζεται ως η αξιόπιστη οντότητα ώστε να προσελκύσει τους χρήστες, θυμίζει την διαδικασία του δολώματος στο ψάρεμα.

Το vishing είναι μια αντίστοιχη απάτη “φωνητικού ψαρέματος”. Είναι ένα κόλπο με πολλές παραλλαγές που μπορεί να ξεγελάσει άτομα και μεγάλους οργανισμούς – με πιθανές καταστροφικές συνέπειες. Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET, το phishing, το smishing, το pharming και το vishing κόστισαν σε περισσότερα από 241.000 θύματα πάνω από 54 εκατομμύρια δολάρια. Και αυτές είναι μόνο οι περιπτώσεις που καταγγέλθηκαν στο FBI, καθώς πολλές περιπτώσεις απάτης δε δηλώνονται στις Αρχές.

Συχνά, αυτός που καλεί, προσποιείται πως είναι από την αστυνομία, την κυβέρνηση, την εφορία, ακόμα και την τράπεζα του θύματος. Η πειστική γλώσσα που χρησιμοποιούν οι κυβερνοεγκληματίες, κάνει τα θύματα να αισθάνονται σαν να μην έχουν άλλη επιλογή παρά να παρέχουν τις πληροφορίες που τους ζητούνται! Κάποιοι μάλιστα, είναι τόσο πειστικοί, που προτείνουν στα υποψήφια θύματα τους λύσεις, ώστε να αποφύγουν ποινικές κατηγορίες. Τέτοιες περιπτώσεις έχουν καταγγελθεί και στη χώρα μας. Πιο συγκεκριμένα οι δράστες επιλέγουν κυρίως ηλικιωμένους ανθρώπους, για τους οποίους πληροφορούνται με οποιανδήποτε τρόπο τα στοιχεία ταυτότητας τόσο των ιδίων, όσο και προσφιλών συγγενικών τους προσώπων, συνήθως των παιδιών ή των εγγονιών τους.

Τους προσεγγίζουν «δήθεν» ως απεσταλμένοι των συγγενών τους και με το πρόσχημα άμεσης και επείγουσας ανάγκης χρημάτων, επιδιώκουν να τους αποσπάσουν μεγάλα χρηματικά ποσά. Η προσέγγιση, συνήθως γίνεται κατά την έξοδο ή λίγο πριν την είσοδο στην κατοικία τους, καθώς και έξω από τράπεζες ή εμπορικά καταστήματα κ.λπ.

Οι τεχνικές που χρησιμοποιούν οι δράστες για να πείσουν τους ηλικιωμένους να τους δώσουν τα χρήματα για λογαριασμό των οικείων τους, είναι ο αιφνιδιασμός και η παρουσίαση μιας αληθοφανούς οικονομικής ανάγκης που πρέπει να ικανοποιηθεί χωρίς αναβολή. Με τον τρόπο αυτό, αλλά και με την αναφορά σε συγγενικά πρόσωπα με ιδιαίτερη οικειότητα, επιδιώκουν να κερδίσουν την εμπιστοσύνη και να μην αφήσουν περιθώρια δεύτερης σκέψης. Σε αρκετές περιπτώσεις, οι δράστες για να ισχυροποιήσουν τα επιχειρήματά τους, προσποιούνται πως τηλεφωνούν στα οικεία πρόσωπα για να επιβεβαιώσουν την οικονομική ανάγκη, πλην όμως οι ηλικιωμένοι μέσα στην αναστάτωση τους δεν αντιλαμβάνονται ότι συνομιλούν με συνεργούς των δραστών και όχι με τους συγγενείς τους. Οι λόγοι που επικαλούνται οι δράστες για να αποσπάσουν χρήματα είναι συνήθως η εξόφληση ενός χρέους, η πληρωμή ασφαλιστηρίων συμβολαίων, η αγορά ηλεκτρικών συσκευών, ανταλλακτικών αυτοκινήτων κ.λπ., για λογαριασμό «δήθεν» συγγενικών προσώπων.

Μία ακόμα απάτη, είναι αυτή με το πρόσχημα ενός τροχαίου ατυχήματος. Οι δράστες πραγματοποιούν αιφνιδιαστικές τηλεφωνικές κλήσεις σε αυτούς (κυρίως πρωινές και απογευματινές ώρες), προσποιούμενοι άλλοτε τους νοσοκομειακούς γιατρούς και άλλοτε τους δικηγόρους ή αστυνομικούς, υποστηρίζοντας ψευδώς ότι, στενό συγγενικό τους πρόσωπο (συνήθως τέκνο τους) έχει προκαλέσει με υπαιτιότητά του τροχαίο ατύχημα, με συνέπεια τον θανάσιμο ή βαρύτατο τραυματισμό συνήθως ανήλικου παιδιού.

Προκειμένου να αποφευχθεί η φυλάκιση του συγγενικού τους προσώπου και να απεμπλακεί από τις επικείμενες ποινικές συνέπειες, απαιτούν την καταβολή σημαντικών χρηματικών ποσών, το ύψος των οποίων ποικίλλει, προσαρμοζόμενα σε κάθε υπόθεση ανάλογα με τη δεκτικότητα και την ευπιστία των θυμάτων.

Για να γίνουν πιο πειστικοί, έτεροι συνεργάτες παρεμβάλλονται στην τηλεφωνική επικοινωνία, αναλόγως του φύλου του συγγενικού τους προσώπου, προσποιούμενοι αυτό, εκλιπαρώντας για βοήθεια και ασκώντας αφόρητη ψυχολογική πίεση στα θύματα.

Στη συνέχεια και εφόσον τα θύματα έχουν πεισθεί, είτε εμφανίζονται στην οικία τους για την παραλαβή των χρημάτων, είτε δίνουν ραντεβού σε προκαθορισμένο από τους δράστες τόπο και χρόνο, πλησίον της οικίας.

Επισημαίνεται ότι στα τροχαία ατυχήματα ακολουθούνται πάντα από τις αστυνομικές Αρχές οι νόμιμες και προβλεπόμενες ενέργειες, υπό την καθοδήγηση των κατά τόπους Εισαγγελικών Αρχών και σε καμία περίπτωση δεν υφίστανται παρέκκλιση από αυτές, με την καταβολή χρηματικών ποσών.

Στο χώρο εργασίας 

Στο εταιρικό περιβάλλον το Vishing είναι πιθανόν να χρησιμοποιηθεί για την κλοπή διαπιστευτηρίων. Όπως αναφέρει η ESET στην επίσημη ιστοσελίδα της, το FBI έχει προειδοποιήσει πολλές φορές για τέτοιες επιθέσεις. Τον Αύγουστο του 2020, περιέγραψε μια εξελιγμένη επιχείρηση στην οποία οι κυβερνοεγκληματίες μελέτησαν με λεπτομέρεια τους στόχους τους και στη συνέχεια τους κάλεσαν  το τηλέφωνο προσποιούμενοι ότι τηλεφωνούν από το τμήμα IT. Τα θύματα ενθαρρύνθηκαν να συμπληρώσουν τα στοιχεία σύνδεσης τους σε ένα website ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί ώστε να μοιάζει με τη σελίδα σύνδεσης στο VPN της εταιρείας. Αυτά τα διαπιστευτήρια χρησιμοποιήθηκαν στη συνέχεια για πρόσβαση σε βάσεις δεδομένων της εταιρείας για την κλοπή προσωπικών στοιχείων των πελατών.

Τέτοιες επιθέσεις είναι πιο συνηθισμένες εν μέρει χάρη στη μαζική στροφή προς την απομακρυσμένη εργασία κατά τη διάρκεια της πανδημίας, προειδοποίησε το FBI. Στην πραγματικότητα, το FBI αναγκάστηκε να εκδώσει μια ακόμα προειδοποίηση τον Ιανουάριο του 2021 για μια επιχείρηση στην οποία παρόμοιες τεχνικές χρησιμοποιήθηκαν ώστε οι κυβερνοεγκληματίες να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο.

Μια γνωστή επίθεση κατά της εταιρείας Twitter, στην οποία εργαζόμενοι εξαπατήθηκαν από vishers για να αποκαλύψουν τα στοιχεία σύνδεσής τους, δείχνει ότι ακόμη και οι εταιρείες τεχνολογίας μπορούν να πέσουν θύματα μιας επίθεσης. Σε αυτήν την περίπτωση, η πρόσβαση χρησιμοποιήθηκε για την παραβίαση λογαριασμών διάσημων χρηστών του Twitter για τη διανομή μιας απάτης με κρυπτονομίσματα.

Ακολουθούν μερικές τυπικές απάτες

Απάτες με τεχνική υποστήριξη: Στην απάτη τεχνικής υποστήριξης, τα θύματα συχνά προσεγγίζονται από κάποιον που προσποιείται ότι καλεί από τον τηλεπικοινωνιακό πάροχο ή από έναν γνωστό προμηθευτή λογισμικού ή υλικού. Οι απατεώνες θα ισχυριστούν ότι βρήκαν ένα πρόβλημα στον υπολογιστή σας και, στη συνέχεια, θα ζητήσουν αμοιβή (και τα στοιχεία της κάρτας σας) για να το επιδιορθώσουν. Μερικές φορές, η διαδικασία περιλαμβάνει και λήψη κακόβουλου λογισμικού εν αγνοία του θύματος.

Αποστολή μηνυμάτων σε μεγάλο αριθμό τηλεφωνικών αριθμών – Wardialing: Αυτή είναι η πρακτική της αποστολής αυτοματοποιημένων φωνητικών μηνυμάτων σε μεγάλο αριθμό θυμάτων, και συνήθως προσπαθεί να τους τρομάξει ώστε να καλέσουν πίσω – για παράδειγμα ισχυριζόμενοι ότι τα θύματα έχουν απλήρωτους λογαριασμούς στην εφορία ή άλλα πρόστιμα.

Telemarketing: Μια άλλη δημοφιλής τακτική είναι το τηλεφώνημα στο οποίο ο απατεώνας ισχυρίζεται ότι έχετε κερδίσει ένα έπαθλο. Το μόνο πρόβλημα είναι ότι απαιτείται χρηματική προκαταβολή προτού το θύμα μπορεί να λάβει το βραβείο.

hishing/smishing: Όπως αναφέρθηκε, οι απάτες μπορούν να ξεκινήσουν με ένα ψεύτικο email ή ένα ψεύτικο SMS, ενθαρρύνοντας τον χρήστη να καλέσει έναν αριθμό. Μια δημοφιλής απάτη είναι κάποιο email από την εταιρεία «Amazon» που ισχυρίζεται ότι κάτι δεν πάει καλά με μια πρόσφατη παραγγελία. Καλώντας τον αριθμό, το θύμα θα συνδεθεί τελικά με τον απατεώνα.

Συμβουλές για την αποφυγή εξαπάτησης

Με αφορμή περιστατικά εξαπάτησης πολιτών, σε διάφορες περιοχές της χώρας, από επιτήδειους που προσεγγίζουν κυρίως άτομα τρίτης ηλικίας και με διάφορα προσχήματα και τεχνάσματα τους αποσπούν χρηματικά ποσά, η Ελληνική Αστυνομία συνιστά:

  • Να μην πείθεστε εύκολα από άτομα, τα οποία σας “πλησιάζουν” ως γνωστοί συγγενικών – φιλικών προσώπων.
  • Να είστε ιδιαίτερα επιφυλακτικοί σε άγνωστα άτομα που επιχειρούν με διάφορα προσχήματα και τεχνάσματα να εισέλθουν στην οικία σας.
  • Στην περίπτωση αυτή, να προσέχετε τα προσωπικά σας αντικείμενα, προκειμένου να αποφευχθεί το ενδεχόμενο αφαίρεσής τους με τη μέθοδο της απασχόλησης.
  • Να είστε ιδιαίτερα επιφυλακτικοί όταν άγνωστοι προσπαθήσουν να σας πείσουν για την καταβολή χρηματικού ποσού, με το πρόσχημα επείγουσας ανάγκης συγγενικού – φιλικού προσώπου (π.χ. νοσηλεία σε νοσοκομείο). Το ίδιο μπορεί να προσπαθήσουν και τηλεφωνικά. Για τους ίδιους λόγους να μην ενδίδετε σε προτροπές για συνάντηση (ραντεβού κ.λπ.).
  • Σε περιπτώσεις που άγνωστοι επικαλούνται έκτακτη ανάγκη γνωστού – συγγενικού σας προσώπου, να επιδιώκετε πάντα οι ίδιοι να επικοινωνείτε τηλεφωνικά με το γνωστό – συγγενικό σας πρόσωπο, προς επιβεβαίωση των όσων επικαλούνται. Η επικοινωνία να γίνεται με δικό σας τηλέφωνο και κατόπιν δικής σας πρωτοβουλίας και να μην δέχεστε να μιλάτε με άτομο, το οποίο κάλεσαν οι άγνωστοι.
  • Σε κάθε περίπτωση, να δηλώνετε ότι δεν πρόκειται να παραδώσετε χρήματα, εάν δεν εμφανιστούν οι γνωστοί – συγγενείς σας.
  • Να μην δέχεστε σε καμία περίπτωση άγνωστα άτομα να σας οδηγήσουν σε Πιστωτικό Κατάστημα ή ΑΤΜ για ανάληψη χρηματικού ποσού.
  • Να μην πείθεσθε εύκολα σε ευκαιριακές αγορές προϊόντων που σας προτείνουν άγνωστα άτομα, ιδιαίτερα δε δίχως να δείτε πρώτα τα προϊόντα αυτά.
  • Να μην πείθεστε από άγνωστους, οι οποίοι εμφανίζονται ως υπάλληλοι Δημόσιας Υπηρεσίας ή άλλου φορέα για την επιδιόρθωση κάποιου τεχνικού προβλήματος, εάν δεν τους έχετε εσείς προηγουμένως καλέσει.
  • Να μην πείθεστε όταν άγνωστοι σας ζητούν να καταβάλλετε χρήματα για οφειλές γνωστών ή συγγενικών προσώπων σε δημόσιες υπηρεσίες ή σε καταστήματα-εταιρείες για αγορά αγαθών-προσφορά υπηρεσιών.
  • Επισημαίνεται ότι νοσοκομεία ή δημόσιες υπηρεσίες δεν χρησιμοποιούν την πρακτική που θέλει υπάλληλοί τους να μεταβαίνουν σε οικίες ή σε δημόσιους χώρους και να ζητούν από πολίτες την καταβολή χρημάτων για υπηρεσίες που παρέχουν.
  • Να έχετε πάντα διαθέσιμους τους τηλεφωνικούς αριθμούς, με τους οποίους πρέπει να επικοινωνήσετε σε περίπτωση ανάγκης (Αστυνομία, Πυροσβεστική, Νοσοκομεία, στενοί συγγενείς κ.ά.).
  • Προσπαθήστε να συγκρατήσετε τα χαρακτηριστικά των δραστών, καθώς και τα οχήματα με τα οποία κινούνται (αριθμό κυκλοφορίας, μάρκα οχήματος, χρώμα κ.λπ.), για να βοηθήσετε το έργο των διωκτικών αρχών.
  • Να ενημερώνετε πάντα τις αστυνομικές Αρχές, ακόμη και σε περίπτωση απόπειρας απάτης σε βάρος σας.

{gallery}10333{/gallery}

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Ιούλιος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Ιουλίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
Έλεγχος πρόσβασης με Akuvox
Η PartnerNET με περισσότερα από 25 χρόνια εμπειρίας στον ICT κλάδο, είναι ο επίσημος διανομέας της Akuvox Company και παρουσιάζει τις έξυπνες λύσεις πρόσβασης και ενδοεπικοινωνίας σε σπίτια, κτίρι...
Η αποθήκευση δεδομένων παρακολούθησης «γίνεται» έξυπνη!
Η τεχνητή νοημοσύνη φέρνει επανάσταση στον τρόπο αποθήκευσης και διαχείρισης των όλο αυξανόμενων δεδομένων παρακολούθησης. Οι μέρες της απλής εγγραφής και αναθεώρησης των πλάνων βίντεο που παράγου...
Κάμερες αντιεκρηκτικού τύπου
Πυρηνικά και πετροχημικά εργοστάσια, τηλεπικοινωνιακοί σταθμοί και αποθήκες εκρηκτικών είναι μόνο μερικοί από τους βιομηχανικούς χώρους και τις κρίσιμες υποδομές που ενέχουν πολλές προκλήσεις, ακό...
Red Dot για την Ajax Systems
Για πρώτη φορά στην ιστορία της, η Ajax Systems κατακτά τα πρώτα βραβεία Red Dot σε Ασφάλεια και Οικιακό Αυτοματισμό! Φέτος, τα προϊόντα συναγερμού και έξυπνου αυτοματισμού της εταιρείας έλαβαν...
Οι μεγαλύτερες τάσεις CCTV για το 2024
Στον κόσμο της βιντεοεπιτήρησης παρατηρείται ραγδαία εξέλιξη την τελευταία δεκαετία, με τις καινοτομίες στην τεχνολογία να έχουν διαδραματίσει σπουδαίο ρόλο στην εν λόγω ανάπτυξη. Ταυτόχρονα, ο το...
Μέτρα προστασίας για τα Data Centers
Τα κέντρα δεδομένων ή αλλιώς Data Centers, όπου φιλοξενείται εξοπλισμός υψηλής αξίας, όπως υπολογιστές, servers, αποθηκευτικά μέσα και άλλες δικτυακές συσκευές, πλέον θεωρούνται κινητήριος μοχλός ...
Hikvision 2-wire HD Apartment
Η λύση 2-wire HD Apartment αποτελεί μια εξαιρετική επιλογή για όσους αναζητούν ένα υψηλής ποιότητας και αξιόπιστο σύστημα θυροτηλεφώνου για αντικατάσταση ενός παλαιού συστήματος με χρήση των υπαρχ...
Πρωτοποριακή υπεροχή στα συστήματα επικοινωνίας Rakson A.E.
Έχοντας ιδρυθεί πριν από 70 χρόνια, η Golmar είναι πρωτοπόρα στην παγκόσμια αγορά, αφήνοντας ένα ανεξίτηλο σημάδι στο τοπίο των συστημάτων ενδοεπικοινωνίας. O αποκλειστικός συνεργάτης στην Ελλάδα ...
TP-Link Omada EAP215-Bridge
Το TP-Link Omada EAP215-Bridge kit αποτελεί την ιδανική λύση για την εγκατάσταση συστημάτων βιντεοεπιτήρησης σε απομακρυσμένες περιοχές, παρέχοντας αξιόπιστη ασύρματη σύνδεση με μεγάλη εμβέλεια πο...