Vishing jak jej možná neznáte

vishingVishing, voice phishing nebo prostě phishing přes telefon je technika používaná v rámci sociálního inženýrství, kdy se útočník snaží druhou osobu přimět k poskytnutí informace anebo provedení určité akce.

Dle posledního výzkumu skutečné úrovně kybernetické bezpečnosti v organizacích v ČR se s vishingem během roku setkala témě třetina organizací a pětina se s ním setkala dokonce i opakovaně.

Donedávna představovala čeština pro útočníka určitou jazykovou bariéru, ale jak se do organizovaného zločinu zapojují i čeští občané, a dochází ke globalizaci trhu, tak i tato bariéra padla, takže se stále častěji můžeme setkat i s vishingem vedeným v českém jazyce.

Nárůstu vishingu napomohl i rozvoj telekomunikačního trhu, především jeho digitalizace, snížení ceny za volání, a možnost volání přes internet, tzv. voice over IP, což umožňuje podvrhnutí telefonního čísla, ze které útočník volá, tzv. caller ID spoofing. V mnoha případech se ale útočník o nějaké podvrhnutí telefonního čísla ani nepokouší, protože oběť stejně neví, z jakého telefonního čísla by měl hovor přicházet.

V některých případech útočníci tuto techniku kombinují i se SMShigem nebo phishingem, kdy oběti nejprve pošlou zprávu, ve které uvedou, že je za okamžik bude kontaktovat zaměstnanec dané instituce. Tuto zprávu mohou i obohatit o tajný kód, který bude muset daný zaměstnanec volané osobě sdělit a tím potvrdí svoji příslušnost k dané organizaci. Případně může být ve zprávě uvedeno i telefonní číslo, kde si příjemce může danou skutečnost ověřit.

Pokročilí útočníci pak oběti podle toho odkud volají a za koho se vydávají, na pozadí přehrávají i příslušné zvuky, např. ruch callcentra, aby zvýšili svoji důvěryhodnost. Tu se pak snaží umocnit i tím, že oběti sdělují informace, o kterých se neznalá osoba může domnívat, že je nemůže znát nikdo jiný než jen ona sama a pak zaměstnanec dané instituce.

Za účelem vzbuzení důvěry zakládají fiktivní anebo i reálné organizace, vytvářejí webové stránky a na ty odkazují. Následně komunikují s vybraným zaměstnancem, a žádají jej o videohovor přes jakousi jejich aplikaci, kterou si musí zaměstnanec z jejich stránek stáhnout, zasílají mu odkaz na soubor, který nelze otevřít a následně mu nabízí vzdálenou pomoc s jeho spuštěním.

Organizace by měly kromě školení a testování zaměstnanců v oblasti rozpoznávání phishingu věnovat odpovídající pozornost i vishingu, který je momentálně na vzestupu. Zaměstnanci by měli instruováni, aby si vždy ověřili, s kým mluví a zda je volající oprávněn se s danou informací seznamovat. Měli by třeba požádat volajícího o zaslání dotazu e-mailem, a nabídnout mu, že mu zavolají zpět.

Pokud vás toto téma zaujalo, tak potom doporučuji vaší pozornosti i články na téma dumpster diving, piggybacking a baiting, které doplňují základní vektory útoku.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Vishing jak jej možná neznáte” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: