DIABASTE DWREAN SEC CYP 06
DIGITAL TV 173
2 Ιουλίου 2021 10:46

Vishing: Τι είναι και πως μπορείτε να προστατευτείτε

admin ajax.php?action=kernel&p=image&src=file%3Dwp content%252Fuploads%252F2022%252F05%252F3b605fc7e6558a36e5ab67d807089bb6 XL

Όλοι έχουμε ακούσει για το “ηλεκτρονικό ψάρεμα” (phishing), τη γνωστή απάτη μέσω ηλεκτρονικού ταχυδρομείου στην οποία ο απατεώνας παρουσιάζεται ως αξιόπιστη πηγή για να εξαπατήσει τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να κατεβάσουν κακόβουλο λογισμικό.

Όλοι έχουμε ακούσει για το “ηλεκτρονικό ψάρεμα” (phishing), τη γνωστή απάτη μέσω ηλεκτρονικού ταχυδρομείου στην οποία ο απατεώνας παρουσιάζεται ως αξιόπιστη πηγή για να εξαπατήσει τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες ή να κατεβάσουν κακόβουλο λογισμικό.

Το vishing είναι μια αντίστοιχη απάτη “φωνητικού ψαρέματος”. Είναι ένα κόλπο με πολλές παραλλαγές που μπορεί να ξεγελάσει άτομα και μεγάλους οργανισμούς – με πιθανές καταστροφικές συνέπειες.

Μπορεί να σας φαίνεται απίθανο να πέσετε εσείς θύμα τέτοιας απάτης, όμως το 2020, το phishing, το smishing, το pharming και το vishing κόστισαν σε περισσότερα από 241.000 θύματα πάνω από 54 εκατομμύρια δολάρια. Και αυτές είναι μόνο οι περιπτώσεις που καταγγέλθηκαν στο FBI, καθώς πολλές περιπτώσεις απάτης δε δηλώνονται στις Αρχές.

Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET μπορούμε να πάρουμε τα μέτρα μας για να μην πέσουμε θύματα του φωνητικού ψαρέματος.

Όμως, ας δούμε πρώτα πώς λειτουργούν αυτές οι απάτες, πώς επηρεάζουν τις επιχειρήσεις και τα άτομα και στη συνέχεια το πώς μπορούμε να προστατευτούμε από αυτές.

  1. Το πρόβλημα με την… κοινωνική μηχανική

Το “φωνητικό ψάρεμα”  λειτουργεί με επιτυχία τόσο στους καταναλωτές όσο και τις επιχειρήσεις για έναν πολύ απλό λόγο: την ανθρώπινη φύση.

Οι απατεώνες χρησιμοποιούν την κοινωνική μηχανική (Social Engineering) για να χειραγωγήσουν τα θύματά τους. Οι απατεώνες παρουσιάζονται ως ένας φορέας που εμπιστεύεστε – πχ η τράπεζά σας, η εταιρεία τεχνολογίας με την οποία συνεργάζεστε, κάποια υπηρεσία του Δημοσίου, κάποιος εργαζόμενος στο τμήμα τεχνικής υποστήριξης –  και σας δημιουργούν την αίσθηση ότι πρόκειται για κάποιο επείγον ή ανησυχητικό συμβάν. Αυτή η αίσθηση του επείγοντος ή του φόβου που δημιουργούν υπερισχύει κάθε φυσικής προσοχής ή υποψίας που μπορεί να έχει το θύμα.

Αυτές οι τεχνικές χρησιμοποιούνται σε ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phishing) και ψεύτικα μηνύματα κειμένου (γνωστά ως smishing από το SMS Phishing). Αλλά ίσως είναι πιο αποτελεσματικά όταν χρησιμοποιούνται “ζωντανά” μέσω τηλεφώνου. Οι Vishers – δηλαδή οι απατεώνες που χρησιμοποιούν τεχνικές φωνητικού ψαρέματος – έχουν πολλά επιπλέον εργαλεία και τακτικές για να κάνουν τις απάτες τους πιο επιτυχημένες, όπως:

Εργαλεία πλαστογράφησης αναγνώρισης κλήσης, τα οποία μπορούν να χρησιμοποιηθούν για την απόκρυψη της πραγματικής τοποθεσίας του απατεώνα και ακόμη και την αλλαγή των αριθμών τηλεφώνου ώστε να φαίνεται ότι το τηλεφώνημα προέρχεται από κάποιο αξιόπιστο οργανισμό. Πέρυσι, για παράδειγμα, είχαν κλαπεί τα προσωπικά στοιχεία πελατών του ξενοδοχείου Ritz London κατά τη διάρκεια μιας παραβίασης στο πολυτελές ξενοδοχείο. Οι απατεώνες χρησιμοποίησαν τα δεδομένα για να πραγματοποιήσουν επιθέσεις κοινωνικής μηχανικής εναντίον των θυμάτων, πλαστογραφώντας τον επίσημο αριθμό του ξενοδοχείου στη διαδικασία.

  – Απάτες με συνδυαστική χρήση διαφορετικών τακτικών που ενδέχεται να ξεκινούν με ένα ψεύτικο μήνυμα SMS (smishing), ένα email ηλεκτρονικού “ψαρέματος” (phishing) ή ένα φωνητικό μήνυμα και να ενθαρρύνουν τον χρήστη να καλέσει έναν αριθμό. Αν το θύμα καλέσει θα μιλήσει απευθείας με έναν απατεώνα.

  – Οι απατεώνες μπορούν να κάνουν έρευνα και να βρουν στα κοινωνικά μέσα και στις ανοικτές πηγές πληροφόρησης πληθώρα πληροφοριών για τα θύματά του. Οι απατεώνες μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να στοχεύσουν συγκεκριμένα άτομα (ας πούμε, υπαλλήλους εταιρειών με πρόσβαση σε προνομιακούς λογαριασμούς) και για να κάνουν πιο νομιμοφανή την επικοινωνία – δηλαδή, ο απατεώνας μπορεί να παραθέσει ορισμένα προσωπικά στοιχεία στο θύμα, ώστε να μπορέσει να αποσπάσει περισσότερες πληροφορίες.

  1. Ο αντίκτυπος του vishing στο χώρο εργασίας

Στο εταιρικό περιβάλλον το Vishing είναι πιθανόν να χρησιμοποιηθεί για την κλοπή διαπιστευτηρίων. Το FBI έχει προειδοποιήσει πολλές φορές για τέτοιες επιθέσεις. Τον Αύγουστο του 2020, περιέγραψε μια εξελιγμένη επιχείρηση στην οποία οι κυβερνοεγκληματίες μελέτησαν με λεπτομέρεια τους στόχους τους και στη συνέχεια τους κάλεσαν  το τηλέφωνο προσποιούμενοι ότι τηλεφωνούν από το τμήμα IT. Τα θύματα ενθαρρύνθηκαν να συμπληρώσουν τα στοιχεία σύνδεσης τους σε ένα website ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί ώστε να μοιάζει με τη σελίδα σύνδεσης στο VPN της εταιρείας. Αυτά τα διαπιστευτήρια χρησιμοποιήθηκαν στη συνέχεια για πρόσβαση σε βάσεις δεδομένων της εταιρείας για την κλοπή προσωπικών στοιχείων των πελατών.

Τέτοιες επιθέσεις είναι πιο συνηθισμένες εν μέρει χάρη στη μαζική στροφή προς την απομακρυσμένη εργασία κατά τη διάρκεια της πανδημίας, προειδοποίησε το FBI. Στην πραγματικότητα, το FBI αναγκάστηκε να εκδώσει μια ακόμα προειδοποίηση τον Ιανουάριο του 2021 για μια επιχείρηση στην οποία παρόμοιες τεχνικές χρησιμοποιήθηκαν ώστε οι κυβερνοεγκληματίες να αποκτήσουν πρόσβαση στο εταιρικό δίκτυο.

Μια γνωστή επίθεση κατά της εταιρείας Twitter, στην οποία εργαζόμενοι εξαπατήθηκαν από vishers για να αποκαλύψουν τα στοιχεία σύνδεσής τους, δείχνει ότι ακόμη και οι εταιρείες τεχνολογίας μπορούν να πέσουν θύματα μιας επίθεσης. Σε αυτήν την περίπτωση, η πρόσβαση χρησιμοποιήθηκε για την παραβίαση λογαριασμών διάσημων χρηστών του Twitter για τη διανομή μιας απάτης με κρυπτονομίσματα.

  1. Πώς το φωνητικό ψάρεμα μπορεί βάλει στο στόχαστρο την οικογένειά σας

Δυστυχώς, οι απατεώνες χρησιμοποιούν το vishing για να επιτεθούν στους καταναλωτές. Σε αυτές τις επιθέσεις, ο απώτερος στόχος είναι να κερδίσουν χρήματα από εσάς: είτε κλέβοντας απευθείας τραπεζικούς λογαριασμούς ή στοιχεία κάρτας, είτε εξαπατώντας σας για να παραχωρήσετε προσωπικά στοιχεία και διαπιστευτήρια που μπορούν να χρησιμοποιήσουν για πρόσβαση σε αυτούς τους λογαριασμούς.

Ακολουθούν μερικές τυπικές απάτες:

  • Απάτες με τεχνική υποστήριξη

Στην απάτη τεχνικής υποστήριξης, τα θύματα συχνά προσεγγίζονται από κάποιον που προσποιείται ότι καλεί από τον τηλεπικοινωνιακό πάροχο ή από έναν γνωστό προμηθευτή λογισμικού ή υλικού. Οι απατεώνες θα ισχυριστούν ότι βρήκαν ένα πρόβλημα στον υπολογιστή σας και, στη συνέχεια, θα ζητήσουν αμοιβή (και τα στοιχεία της κάρτας σας) για να το επιδιορθώσουν. Μερικές φορές, η διαδικασία περιλαμβάνει και λήψη κακόβουλου λογισμικού εν αγνοία του θύματος.

  • Αποστολή μηνυμάτων σε μεγάλο αριθμό τηλεφωνικών αριθμών – Wardialing

Αυτή είναι η πρακτική της αποστολής αυτοματοποιημένων φωνητικών μηνυμάτων σε μεγάλο αριθμό θυμάτων, και συνήθως προσπαθεί να τους τρομάξει ώστε να καλέσουν πίσω – για παράδειγμα ισχυριζόμενοι ότι τα θύματα έχουν απλήρωτους λογαριασμούς στην εφορία ή άλλα πρόστιμα.

  • Telemarketing

Μια άλλη δημοφιλής τακτική είναι το τηλεφώνημα στο οποίο ο απατεώνας ισχυρίζεται ότι έχετε κερδίσει ένα έπαθλο. Το μόνο πρόβλημα είναι ότι απαιτείται χρηματική προκαταβολή προτού το θύμα μπορεί να λάβει το βραβείο.

  • Phishing/smishing

Όπως αναφέρθηκε, οι απάτες μπορούν να ξεκινήσουν με ένα ψεύτικο email ή ένα ψεύτικο SMS, ενθαρρύνοντας τον χρήστη να καλέσει έναν αριθμό. Μια δημοφιλής απάτη είναι κάποιο email από την εταιρεία «Amazon» που ισχυρίζεται ότι κάτι δεν πάει καλά με μια πρόσφατη παραγγελία. Καλώντας τον αριθμό, το θύμα θα συνδεθεί τελικά με τον απατεώνα.

  1. Πως να αποτρέψετε το φωνητικό ψάρεμα

Αν αυτούς του είδους οι απάτες γίνονται όλο και πιο εξελιγμένες, υπάρχουν πολλά που μπορείτε να κάνετε για να μετριάσετε τον κίνδυνο. Σύμφωνα με την ESET αυτά είναι μερικά βασικά βήματα:

  1. Αφαιρέστε τον αριθμό του τηλεφώνου σας από τον τηλεφωνικό κατάλογο, ώστε ο αριθμός να μην είναι διαθέσιμος στο κοινό.
  2. Μη συμπληρώνετε τον αριθμό τηλεφώνου σας σε διαδικτυακές φόρμες (δηλαδή, όταν κάνετε αγορές online).
  3. Να είστε επιφυλακτικοί όταν δέχεστε αιτήματα για πληροφορίες που αφορούν την τράπεζά σας, προσωπικά ή άλλα ευαίσθητα στοιχεία μέσω τηλεφώνου.
  4. Να είστε επιφυλακτικοί – μην μπαίνετε σε συζητήσεις με κάποιον που σας καλεί, ειδικά εάν αυτός ο κάποιος σας ζητήσει να επιβεβαιώσετε ευαίσθητες πληροφορίες.
  5. Ποτέ μην καλέσετε πίσω έναν αριθμό που σας γνωστοποιήθηκε μέσω φωνητικού μηνύματος. Πάντα να επικοινωνείτε πρώτα απευθείας με τον οργανισμό τον οποίο υποτίθεται ότι εκπροσωπεί ο συνομιλητής σας.
  6. Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους διαδικτυακούς λογαριασμούς.

Βεβαιωθείτε ότι το λογισμικό ασφαλείας του email / Internet είναι ενημερωμένο και περιλαμβάνει δυνατότητες anti-phishing.

 

 

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή ...
  • <strong>Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης</strong>

    Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης

    Στα μάτια των περισσοτέρων όλοι οι φακοί κάμερας είναι ίδιοι και κάθε φακός κρίνεται ικανοποιητικός αρκεί να παρέχει εικόνες υψηλής ευκρίνειας. Στον κόσμο των ειδικών όμως, τα πράγματα είναι αρκετ...
  • <strong>Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης</strong>

    Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης

    Ένα καλώδιο Ethernet είναι ένας κοινός τύπος καλωδίου δικτύου που χρησιμοποιείται ευρέως σήμερα για την ενσύρματη σύνδεση πολλών συσκευών, όπως οι υπολογιστές, τα switches, οι κάμερες ασφαλείας, τ...
  • <strong>Internet of Things</strong>

    Internet of Things

    Το Διαδίκτυο των πραγμάτων (IoT) αποτελείται από έξυπνες συσκευές που επικοινωνούν μεταξύ τους. Δίνει τη δυνατότητα σε αυτές τις συσκευές να συλλέγουν και να ανταλλάσσουν δεδομένα. Εκτός αυτού, το...
  • Κάμερες εξωτερικού χώρου

    Κάμερες εξωτερικού χώρου

    Η επιλογή της κατάλληλης κάμερας για τον κατάλληλο χώρο είναι μια δύσκολη απόφαση που αντιμετωπίζουν τόσο οι εγκαταστάτες, όσο και οι τελικοί πελάτες, μιας και η αγορά σήμερα διαθέτει αμέτρητες συ...
  • Ajax Special Event

    Ajax Special Event

    Το 4ο κατά σειρά εικονικό event της Ajax Systems πραγματοποιήθηκε με επιτυχία στις 11 Οκτωβρίου του 2022 και η εταιρία παρουσίασε στο κοινό των integrators νέα προϊόντα, λογισμικά και πολλές ακόμα...
  • Συναγερμοί οικίας vs επιχείρησης

    Συναγερμοί οικίας vs επιχείρησης

    Οι τεχνικές παραβίασης των δραστών διαρκώς εξελίσσονται. Για αυτό άλλωστε η ζήτηση για συστήματα ασφαλείας τόσο σε οικίες όσο και σε επαγγελματικούς χώρους  αυξάνεται ή (τουλάχιστον) σταθεροπ...
  • Συνέντευξη με τον Αλέξανδρο Φείδα

    Συνέντευξη με τον Αλέξανδρο Φείδα

    Η φετινή χρονιά, είναι χρονιά γιορτής για την Sigma Security, καθώς συμπληρώνει 45 χρόνια επιτυχούς δραστηριότητας στο κλάδο της ηλεκτρονικής ασφάλειας! Η Sigma Security δημιουργήθηκε το 1977 και ...
  • VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    Επιχειρηματική ευφυΐα, βελτιωμένη διαχείριση συμβάντων, πλούσια αναλυτικά στοιχεία και υψηλή ασφάλεια, αυτές είναι μόνο μερικές από τις σύγχρονες δυνατότητες των νέων συστημάτων διαχείρισης βίντεο...
ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design