Кіберзлочинці та хакери використовують різні методи, щоб отримати доступ до конфіденційної інформації приватних осіб та організацій і викрасти її. Одним з найбільш популярних підходів є вішинг, або голосовий фішинг. У цьому випадку зловмисник обманом змушує когось поділитися обліковими даними або іншою інформацією за допомогою простого телефонного дзвінка. Згідно з останніми даними компанії CrowdStrike, кількість таких атак стрімко зростає.
Що таке вішинг?
Вішинг (від англ. “vishing” — скорочення від “voice phishing”) — це вид шахрайства, який поєднує в собі техніки фішингу (обману для отримання особистої інформації) з використанням голосового зв’язку, зазвичай через телефонні дзвінки. Шахраї представляються співробітниками банків, державних установ, технічної підтримки чи інших організацій, яким люди схильні довіряти, і намагаються виманити конфіденційну інформацію, таку як номери банківських карток, паролі, PIN-коди чи особисті дані.
Наприклад, вам можуть зателефонувати і повідомити, що ваш банківський рахунок “зламали”, і для “виправлення ситуації” попросять надати код із SMS або інші дані. Це класичний приклад вішингу.
Шахрайство з технічною підтримкою
У своєму 11-му щорічному звіті про глобальні загрози за 2025 рік CrowdStrike Global Threat Report компанія показала, що у другій половині 2024 року кількість вішингових атак зросла на 442% порівняно з першою половиною. Протягом року CrowdStrike Intelligence відстежила щонайменше шість схожих, але різних кампаній, в яких зловмисники під виглядом ІТ-спеціалістів телефонували співробітникам різних організацій.
У цих кампаніях шахраї намагалися переконати своїх жертв створити сеанси віддаленої підтримки, зазвичай за допомогою вбудованого в Windows інструменту Microsoft Quick Assist. У багатьох з них зловмисники використовували Microsoft Teams для здійснення телефонних дзвінків. Щонайменше в чотирьох кампаніях, зафіксованих CrowdStrike, використовувалося спам-бомбардування, коли цільовим користувачам надсилалися тисячі небажаних електронних листів як привід для нібито дзвінка в службу підтримки.
Читайте також: Як виявити шахрайство з технічною підтримкою та уникнути його? Поради
Тип вішингу, який використовується в цих атаках, часто називають соціальною інженерією служби підтримки. Тут кіберзлочинець видає себе за працівника служби підтримки або ІТ-спеціаліста і підкреслює терміновість дзвінка як відповідь на якусь вигадану загрозу. У деяких випадках зловмисник запитує пароль або інші облікові дані. В інших випадках, наприклад, задокументованих у звіті, шахрай намагається отримати віддалений доступ до комп’ютера жертви.
Фішинг із зворотним дзвінком
Ще одна тактика, з якою стикається CrowdStrike, – це фішинг із зворотним дзвінком. Тут злочинець надсилає електронного листа людині з приводу якоїсь термінової, але фальшивої справи. Це може бути вимога сплатити прострочений рахунок, повідомлення про підписку на якусь послугу або сповіщення про те, що обліковий запис скомпрометовано. В електронному листі міститься номер телефону, за яким одержувач може зателефонувати. Але, звісно, цей номер веде безпосередньо до шахрая, який намагається виманити у жертви дані її кредитної картки, облікові дані або іншу інформацію.
Оскільки ці атаки зазвичай спрямовані на організації, ще одним ключовим компонентом є програми-вимагачі. Отримавши доступ до мережевих ресурсів, облікових записів користувачів або клієнтів та інших конфіденційних даних, зловмисники можуть утримувати викрадену інформацію з метою отримання викупу.
Читайте також: Топ-10 брендів, які використовуються у фішингових атаках
У своєму звіті CrowdStrike виділила кілька різних кіберзлочинних груп, які використовують вішинг і фішинг із зворотним дзвінком у своїх атаках. Зокрема, група російського походження, відома під назвою Chatty Spider, діє з 2022 року (від початку повномасштабного російського вторгенння в Україну) та зосереджується переважно на юридичній та страховій галузях. Інша група під назвою Plump Spider протягом 2024 року націлилася на бразильські компанії і використовувала вішинг-дзвінки, щоб перенаправляти співробітників на віддалені сайти та інструменти підтримки.
«Подібно до інших методів соціальної інженерії, вішинг ефективний, оскільки націлений на людську слабкість або помилку, а не на вади програмного забезпечення або операційної системи (ОС), – йдеться у звіті CrowdStrike. «Шкідлива активність може бути виявлена лише на більш пізніх етапах вторгнення, наприклад, під час виконання шкідливого двійкового коду або роботи з клавіатурою вручну, що може затримати ефективну реакцію. Це дає зловмиснику перевагу і покладає на користувачів обов’язок розпізнавати потенційно зловмисну поведінку».
Інші фірми, що займаються безпекою, також спостерігають різке зростання кількості вішингових атак.
У жовтні минулого року дослідницька група Zimperium’s zLabs виявила шкідливе програмне забезпечення, відоме як FakeCall, відоме своїм просунутим використанням вішингу. Тут шахраї використовують телефонні дзвінки, щоб обманом змусити потенційних жертв поділитися конфіденційною інформацією, такою як номери кредитних карток та банківські реквізити. Сам FakeCall працює шляхом перехоплення функцій дзвінків на телефонах Android для встановлення шкідливого програмного забезпечення.
Поради щодо захисту від вішингових атак
Щоб захистити себе, своїх співробітників та організацію від вішинг-атак та подібних загроз, CrowdStrike пропонує наступні поради:
- Вимагайте відеоаутентифікацію та державне посвідчення для працівників, які телефонують до служби підтримки з проханням скинути пароль.
- Навчіть працівників служби підтримки бути обережними, відповідаючи на телефонні дзвінки з проханням скинути пароль або MFA (багатофакторну автентифікацію). Вони повинні бути особливо обережними, якщо такі дзвінки надходять у неробочий час або якщо за короткий проміжок часу надходить велика кількість таких запитів.
- Використовуйте більш просунуті методи автентифікації, такі як FIDO2, щоб захиститися від компрометації облікового запису.
- Відстежуйте спроби, коли кілька людей намагаються зареєструвати один і той самий пристрій або номер телефону в MFA.
- Проводьте регулярні тренінги з безпеки для співробітників. Навчіть їх розпізнавати спроби фішингу та атаки соціальної інженерії.
- Регулярно встановлюйте патчі безпеки та інші виправлення для усунення критичних вразливостей.
Кілька експертів з безпеки також поділилися з ZDNET своїми рекомендаціями.
«Виведення систем в офлайн, як тільки виявлено загрозу, є життєво важливим першим кроком у стримуванні, але сам по собі він недостатній», – сказав Патрік Тіке, віце-президент з безпеки та архітектури в Keeper Security.
«Щоб протидіяти вторинним тактикам, таким як вішинг, команди безпеки повинні швидко інформувати клієнтів і партнерів про порушення через офіційні канали, надаючи чіткі інструкції про те, як захиститися від цих загроз», – додав Тіке. «Тренінги для співробітників і зацікавлених сторін щодо розпізнавання цих спроб і перевірки будь-яких небажаних повідомлень перед тим, як ділитися конфіденційною інформацією, мають вирішальне значення».
Читайте також: Телефонне шахрайство: як розпізнати обман та викрити зловмисника?
Окремі користувачі та споживачі також повинні з обережністю ставитися до несподіваних телефонних дзвінків, які звучать легітимно.
«Коли я розмовляю з колегами, друзями та родиною, я нагадую їм, що якщо дзвінок несподіваний і запитують особисту або фінансову інформацію, настав час поставити все під сумнів», – сказав Акхіл Міттал, старший менеджер компанії Black Duck, що надає послуги з безпеки.
«Я також наголошую на важливості сповільнення, перевірки того, хто дзвонить, і ніколи не вагатися покласти слухавку. Використовуйте офіційний номер з веб-сайту банку або виписки, щоб передзвонити і підтвердити», – додав Міттал. «Нарешті, те, що абонент знає вашу адресу або частину номера вашого рахунку, не робить його законним; злочинці часто мають цю інформацію заздалегідь. Якщо абонент тисне на вас, щоб ви діяли швидко, це знак, що ви повинні зупинитися і перевірити».
