November 2, 2020

Как происходят атаки при помощи голосового фишинга

Vishing (voice phishing, голосовой фишинг) — это вид атаки, при котором жертву пытаются убедить раскрыть ценную личную информацию по телефону. Хотя по описанию это похоже на старый добрый скам, вишинг-атаки имеют элементы хай-тека: например, в них применяется технология автоматизированной симуляции голоса, или для упрощения задачи скаммер может использовать персональную информацию о жертве, собранную во время предыдущих кибератак.

Какие бы технологии не использовались, схема атаки следует знакомому нам сценарию социального инжиниринга: нападающий создаёт ситуацию, позволяющую эксплуатировать человеческие чувства, и убеждает жертву раскрыть ценную информацию, например, номера кредитных карт или пароли. В этом смысле техники вишинга повторяют фишинг-атаки, которые используются ещё с 1990-х. Но вишинг-звонки используют тот факт, что мы с большей вероятностью доверимся человеческому голосу, и могут быть нацелены на пожилых или боящихся технологий людей, ведь они наивны и не сталкивались с подобными видами мошенничества.

Статистика по вишингу

Эти внушительные числа помогают нам получить представление о масштабах вишинга и о том, почему он может быть выгодным бизнесом для нападающих.

  • На протяжении последних нескольких лет масштабы вишинг-атак растут. В 2018 году мошеннические звонки составляли примерно 30% от всех входящих мобильных вызовов.
  • Поэтому нас не должно удивлять, что этот странный термин получает всё большую известность. В отчёте 2020 State of the Phish компании Proofpoint говорится, что 25% работников по всему миру смогли дать правильное определение термину.
  • 75% жертв мошенничества сообщают, что вишеры уже имели какую-то личную информацию о них, которую они применили для планирования атаки на конкретного человека и получения дополнительной информации.
  • Из тех людей, которые сообщили в FTC о вишинг-мошенниках, выдававших себя за государственных служащих, всего 6% потеряли деньги, но при этом они теряли значительные суммы — медианные потери составили 960 долларов.

Вишинг, фишинг, смишинг: в чём разница?

Фишинг — это общий предок всех схем, но, по сути, он заключается в отправке таргетированных сообщений электронной почты с целью обмана получателей. Слово «phish» произносится точно так же, как и пишется, и похоже на слово «fish» — аналогия в том, что удильщик забрасывает крючок с наживкой (фишинговое электронное письмо), надеясь, что жертва клюнет. Это понятие появилось в середине 1990-х в среде хакеров, пытавшихся обманом узнать у пользователей AOL их информацию для входа в систему. «Ph» в начале слова — это часть традиции эксцентричной хакерской орфографии; вероятно, на него повлиял термин «phreaking», ставший сокращением от «phone phreaking» — одного из первых видов хакерства, при котором в телефонную трубку проигрывались звуковые тоны для получения возможности бесплатных телефонных звонков.

Вишинг, по сути, является фишингом через телефонные звонки. Аналогично тому, как фишинг считается разновидностью спама, вишинг стал развитием идеи VoIP-спама, так же известного как спам по телефонии (spam over telephony), или SPIT. Сам термин «вишинг» появился в конце 2000-х.

«Смишинг» (smishing) — это похожий тип атак, при котором вместо электронной почты или голосовых звонков используются текстовые сообщения; термин возник как гибрид «SMS» и «phishing.» Подробнее о смишинге можно узнать в этой статье.

Техники вишинга

Почти все вишинг-атаки имеют одинаковые особенности. Телефонные звонки обычно производятся через сервисы voice over IP (VoIP), что упрощает автоматизацию некоторых или всех частей процесса и усложняет их отслеживание жертвами или органами правопорядка. А конечная цель нападающих — получить от атаки какую-нибудь выгоду, узнав или информацию о банковском счёте, или личные данные, которые можно использовать для доступа к банковским счетам, или любую другую персональную информацию, которой можно воспользоваться или для получения доступа к банковскому счёту, или же убедить жертву заплатить мошенникам напрямую.

Однако во вселенной вишинг-мошенничества существует множество методик и стратегий. Их диапазон простирается от сильно автоматизированных «дробовиковых» (shotgun) атак, нацеленных на много потенциальных жертв в надежде на хотя бы частичный успех, до точечного мошенничества, направленного на конкретную ценную мишень.

Наверно, самый широко распространённый вид вишинга начался с так называемого "wardialing", то есть сотен тысяч автоматизированных звонков на сотни тысяч номеров. Потенциальная жертва (или её голосовая почта) получает аудиозапись, задача которой — напугать жертву или хитростью заставить её совершить телефонный звонок скаммерам. Часто вишеры выдают себя за сотрудников IRS (налогового управления США) или какого-то иного государственного органа, банка или кредитной организации. Wardialing может целенаправленно выбирать телефонный код определённого региона и использовать название местной организации в надежде найти его клиентов.

Одна из разновидностей этой методики использует всплывающие окна на компьютере, часто внедряемые вредоносным кодом для имитации предупреждений ОС о какой-то технической проблеме. Жертве сообщают, что ей необходимо позвонить в «отдел технической поддержки Microsoft» или что-то подобное, указывая телефонный номер. При звонке жертву соединяют с вишером, который во время разговора может использовать сочетание реальных и автоматизированных голосовых ответов. Цель этого, опять-таки, заключается в получении максимальной отдачи малыми усилиями.

Spear vishing

При подобных массовых shotgun-атаках вишеры практически ничего не знают о жертвах, и им приходится блефовать, чтобы убедить в том, что они те, кем представляются; из-за этого их достаточно просто выявить. Однако гораздо более опасными являются вишеры, целью которых являетесь именно вы. Эта методика называется «spear vishing»; как и при spear phishing, для неё требуется, чтобы нападающие уже имели какие-то данные о своей цели. Например, spear-вишер может уже знать ваш домашний адрес и название банка, благодаря чему он проще сможет убедить вас сказать ему свой PIN.

Но откуда они так много о вас знают? «Основная часть таких данных берётся из dark web, куда они часто попадают после утечек данных», — рассказывает CEO Отдела услуг глобальной идентификации и киберзащиты Generali Global Assistance (GGA) Пейдж Шаффер. Поэтому когда вы читаете о крупных утечках данных, то знайте, что они могут сильно упростить вишинг. Может показаться странным, что нападающий, уже знающий вашу личную информацию, стремится узнать больше, однако, как говорит Пейдж, «чем больше информации есть у мошенника, тем больший урон он может нанести. Зачем ему успокаиваться, узнав последние четыре цифры SSN (номера социального страхования, в США часто используемого для идентификации личности вместо паспорта), если потенциально он может убедить вас сообщить остальные пять? Полный SSN позволяет им открывать фальсифицированные кредитные карты, получать займы и выполнять многие другие действия».

Может показаться, что это гораздо более трудоёмко, чем позвонить кому-нибудь через wardialing и представиться сотрудником IRS, и это действительно так. Но большинство людей, особенно жертвы, обладающие высокой ценностью, которые часто являются более образованными и технически подкованными, такие простые попытки мошенничества видят насквозь. Если вознаграждение достаточно велико, то может оказаться так, что трата времени на создание убедительного образа для вытягивания из жертвы информации оправдает себя. «Хакер может терпеливо работать над длительным получением информации от жертвы через фишинговые электронные письма или перехватывая её через вредоносное ПО», — поясняет Шаффер. «Когда spear-вишеры охотятся на крупную „рыбу“, например, генеральных директоров, то мы называем это whaling (охотой на китов)». А с улучшением методик симуляции голоса «китобои» получают всё больше инструментов, имея возможность имитировать конкретных людей, пытаясь обмануть своих жертв.

Примеры вишинга

Пока я не вдавался в подробности конкретных манипуляций, которые вишеры могут применять для получения ваших денег или личной информации. Блог HashedOut разбил их на четыре общие категории:

Телемаркетинговое мошенничество. На самом деле, подобный тип мошенничества появился раньше эпохи вишинга, но теперь заимствует многие его методики. Вишер может совершить вам холодный звонок, ничего не зная вас, и сделать предложение, которое слишком хорошо, чтобы быть правдой: вы выиграли в какой-то лотерее, в которой никогда не участвовали, вам предлагают бесплатный отдых в отеле Marriott, снижение процента по кредитной карте и т.п. Обычно для получения ваших «бесплатных» денег нужно внести авансовый платёж, после чего, разумеется, вы не получаете обещанную приманку.

Выдача себя за сотрудника государственного органа. Распространённый вид мошенничества заключается в заявлении о том, что возникла проблема с компенсациями, которые должна получать жертва, допустим, с выплатами по Medicare или социальному страхованию; предложение «устранить» проблему даёт возможность убедить жертву передать мошеннику личную информацию, например, номер социального страхования и номера банковских счетов. Более агрессивная версия подобной методики заключается в том, что фальшивые «расследователи» IRS заявляют жертвам, что те задолжали налоги и угрожают им штрафами или тюремным заключением. В этом видео показано, как офицер полиции общается с одним из таких мошенников.

Часто подобные виды мошенников требуют от жертвы оплаты подарочными картами Amazon, а затем просят прочитать числа с обратной стороны карты, потому что покупки по картам невозможно отследить. Это верный признак того, что вы имеете дело не с госслужащими!

Мошенничество с техподдержкой. Выше мы немного рассказывали об этом — мошенники могут воспользоваться технической наивностью жертвы и её страхами быть взломанной. Они используют всплывающую рекламу или вредоносное ПО, притворяющиеся предупреждениями операционной системы, чтобы убедить жертв позвонить вишерам. Лаборатория Касперского предупреждает о разновидности такого мошенничества, которое, по сути, является видом ransomware: вредоносное ПО блокирует компьютер, но демонстрирует номер «технической поддержки», по которому добрый «специалист», на самом деле являющийся членом той же группы, установившей malware, починит компьютер за деньги, из-за его жертва считает, что ей действительно помогли.

Вишинг-атаки на банковские счета. Разумеется, святым Граалем для вишера является получение доступа к вашей банковской информации. А если нападающий уже имеет доступ к части ваших личных данных из описанных выше источников, то он может имитировать звонки, которые жертва может ожидать от своего финансового учреждения, и это способно обмануть даже самых проницательных людей. Основатель Panic Inc. Калеб Сассер рассказал Krebs on Security пугающую историю почти успешной вишинговой атаки. Нападающему удалось выполнить спуфинг своего телефонного номера, заменив его на номер банка Сассера Wells Fargo, после чего он заявил, что исследует потенциально мошеннические действия. Так как «банк» предложил прислать новую пластиковую карту, Сассер едва не ввёл в телефон новый PIN, однако в последнюю минуту одумался — если бы он так поступил, то вишеры смогли бы клонировать его карту и свободно её использовать.

Подобные типы мошенников чаще всего охотятся на «китов», отыскивая очень ценные мишени, чтобы быстро обогатиться. Один из вариантов подобного называют "аферой после полудня пятницы" — вишеры звонят инвестиционной компании или другой богатой жертве в самом конце рабочей недели, рассчитывая на то, что отвечающий на звонок человек устал и рассеян, а его бдительность ослаблена.

Как предотвратить вишинг

Если вы хотите распознавать вишинг и избегать его, то мы надеемся, что наша статья поможет вам понять, на что следует обращать внимание. FTC собрала хороший список ключевых пунктов, которые должны знать все:

  • С подозрением относитесь к звонкам из государственных органов, когда звонящий просит деньги или информацию. Государственные органы никогда не звонят просто так, требуя или предлагая деньги. В случае сомнений завершите вызов, самостоятельно найдите настоящий номер организации и позвоните в неё, чтобы узнать, связывалась ли она с вами.
  • Никогда не оплачивайте ничего подарочной картой или безналичным переводом. Это серьёзный признак мошенничества.
  • Не доверяйте caller ID. Его очень легко подделать.

У Kapersky есть ещё одно хорошее эмпирическое правило: общее для всех вишинг-атак заключается в том, что нападающий пытается внушить ложное чувство срочности, чтобы заставить вас думать, что у вас проблемы или вы скоро упустите возможность, поэтому нужно действовать прямо сейчас. Никогда не повредит на минуту приостановиться, записать информацию о звонящем, не предоставляя собственной, а затем перезвонить ему, изучив данные.

Если вы хотите сделать проактивные шаги для защиты своей организации, то можно включить в вишинг в программу инструктажа по мерам безопасности. Различные компании предлагают услуги симулируемых платформ вишинга, помогающие обнаружить уязвимые места в поведении сотрудников и продемонстрировать свойства угрозы персоналу.