Vishing jak jej možná neznáte
Vishing, voice phishing nebo prostě phishing přes telefon je technika používaná v rámci sociálního inženýrství, kdy se útočník snaží druhou osobu přimět k poskytnutí informace anebo provedení určité akce.
Dle posledního výzkumu skutečné úrovně kybernetické bezpečnosti v organizacích v ČR se s vishingem během roku setkala témě třetina organizací a pětina se s ním setkala dokonce i opakovaně.
Donedávna představovala čeština pro útočníka určitou jazykovou bariéru, ale jak se do organizovaného zločinu zapojují i čeští občané, a dochází ke globalizaci trhu, tak i tato bariéra padla, takže se stále častěji můžeme setkat i s vishingem vedeným v českém jazyce.
Nárůstu vishingu napomohl i rozvoj telekomunikačního trhu, především jeho digitalizace, snížení ceny za volání, a možnost volání přes internet, tzv. voice over IP, což umožňuje podvrhnutí telefonního čísla, ze které útočník volá, tzv. caller ID spoofing. V mnoha případech se ale útočník o nějaké podvrhnutí telefonního čísla ani nepokouší, protože oběť stejně neví, z jakého telefonního čísla by měl hovor přicházet.
V některých případech útočníci tuto techniku kombinují i se SMShigem nebo phishingem, kdy oběti nejprve pošlou zprávu, ve které uvedou, že je za okamžik bude kontaktovat zaměstnanec dané instituce. Tuto zprávu mohou i obohatit o tajný kód, který bude muset daný zaměstnanec volané osobě sdělit a tím potvrdí svoji příslušnost k dané organizaci. Případně může být ve zprávě uvedeno i telefonní číslo, kde si příjemce může danou skutečnost ověřit.
Pokročilí útočníci pak oběti podle toho odkud volají a za koho se vydávají, na pozadí přehrávají i příslušné zvuky, např. ruch callcentra, aby zvýšili svoji důvěryhodnost. Tu se pak snaží umocnit i tím, že oběti sdělují informace, o kterých se neznalá osoba může domnívat, že je nemůže znát nikdo jiný než jen ona sama a pak zaměstnanec dané instituce.
Za účelem vzbuzení důvěry zakládají fiktivní anebo i reálné organizace, vytvářejí webové stránky a na ty odkazují. Následně komunikují s vybraným zaměstnancem, a žádají jej o videohovor přes jakousi jejich aplikaci, kterou si musí zaměstnanec z jejich stránek stáhnout, zasílají mu odkaz na soubor, který nelze otevřít a následně mu nabízí vzdálenou pomoc s jeho spuštěním.
Organizace by měly kromě školení a testování zaměstnanců v oblasti rozpoznávání phishingu věnovat odpovídající pozornost i vishingu, který je momentálně na vzestupu. Zaměstnanci by měli instruováni, aby si vždy ověřili, s kým mluví a zda je volající oprávněn se s danou informací seznamovat. Měli by třeba požádat volajícího o zaslání dotazu e-mailem, a nabídnout mu, že mu zavolají zpět.
Pokud vás toto téma zaujalo, tak potom doporučuji vaší pozornosti i články na téma dumpster diving, piggybacking a baiting, které doplňují základní vektory útoku.
Štítky: vishing
K článku “Vishing jak jej možná neznáte” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
