מה זה וישינג ואיך לא ליפול בפח?
מאת:
מערכת Telecom News, 24.6.21, 12:38
כיצד עובדת התרמית? כיצד היא משפיעה על הקורבנות? כיצד להתגונן ולאבטח את המידע האישי?
כולנו שמענו על פישינג - הונאת המייל המוכרת, שבה שולח ההודעה מתחזה לגורם לגיטימי כלשהו כדי לגרום לנמענים למסור מידע רגיש או להוריד נוזקות.
וישינג (
Vishing) היא המקבילה הטלפונית
הסלולרית והקווית של סוג המתקפה הזה. לשיטת ההונאה הזו קיימות גרסאות רבות ושונות, שיכולות להיות להן השלכות חמורות
.
בשנת 2020, פישינג, סמישינג, ווישינג הביאו לנזקים בגובה כולל של 54 מיליון דולרים ליותר מ-241,000 קורבנות ואלה רק המקרים, שדווחו ל-
FBI, כשכמובן ישנם עוד מקרים רבים, שלא דווחו כלל
.
אז איך פועלות מתקפות וישינג? כיצד הן משפיעות? איך ניתן להתגונן מפניהן?
חברת אבטחת המידע
ESET עושה סדר:
בעיית ההנדסה החברתית
יש סיבה עיקרית אחת לכך, שמתקפות וישינג מצליחות: הגורם האנושי. הנדסה חברתית היא אחד מהכלים העיקריים של החבר'ה הרעים. הנדסה חברתית היא, למעשה, אמנות השכנוע. הנדסה חברתית היא התחזות לגורם אמין ובעל סמכות, למשל הבנק, ספק שירותי טכנולוגיה, הממשלה, ויצירת תחושה של דחיפות או פחד, שיגברו על הזהירות והחשדנות הטבעיים של הקורבן
.
תוקפים משתמשים בטכניקות האלו בהודעות דוא"ל של פישינג ובהודעות
SMS מזויפות (סוג מתקפה זה נקרא גם סמישינג). עם זאת, נראה שהדרך היעילה ביותר לבצע מתקפה כזו היא באופן "חי" באמצעות שיחת טלפון.
לתוקפים במתקפות וישינג ישנם מספר כלים וטקטיקות נוספים, שהופכים את התרמיות שלהם למוצלחות, ביניהם
:
כלים לזיוף המספר של המחייג בהם ניתן להשתמש כדי להסוות את מיקומו האמיתי של הרמאי ואף להתחזות למספרי הטלפון האמיתיים של ארגונים אמינים. בשנה האחרונה, למשל, פרטיהם האישיים של לקוחות מלון
Ritz London נגנבו במהלך פריצה למלון היוקרה, ואחריה הרמאים השתמשו במידע הגנוב כדי לתקוף באמצעות הנדסה חברתית משכנעת כלפי הקורבנות, תוך כדי ששינו את מספר הטלפון שלהם למספר הטלפון האמיתי של המלון
.
מתקפות בערוצים מרובים, שמתחילות בהודעת סמישינג, הודעת פישינג בדוא"ל או בהודעה בתא הקולי ומעודדת את המשתמש להתקשר למספר מסוים. המשתמש, שיתקשר למספר כזה, יגיע לרמאי באופן ישיר
.
איסוף מידע מהרשתות החברתיות, שיכול לספק לרמאים כמויות אדירות של מידע על הקורבנות הפוטנציאליים. ניתן להשתמש במידע כזה כדי לתקוף אנשים ספציפיים (למשל, עובדים בחברה מסוימת המחזיקים בהרשאות לביצוע פעולות) ולהוסיף מימד של לגיטימיות למתקפה. למשל, התוקף יכול לחזור על פרטיו האישיים של המותקף. כך, שיגלו פרטים נוספים
.
כיצד מתקפת וישינג יכולה לפגוע?
המטרה העיקרית של המתקפות האלו היא להרוויח כסף על חשבון הנתקף: לעיתים באופן ישיר באמצעות גניבה של חשבון בנק או מידע על כרטיס האשראי ולעיתים הם יגרמו לקורבנות למסור להם מידע אישי ופרטי כניסה. כך, שיוכלו לגשת לחשבונות האלה
.
הנה כמה מהסוגים הנפוצים של תרמיות כאלו מול אנשים פרטיים:
תרמיות תמיכה טכנית
בתרמית תמיכה טכנית, התוקפים מתקשרים לקורבן ללא תיאום מראש ומתחזים לנציג של ספק האינטרנט, או של יצרן תוכנה או חומרה ידוע. הם יטענו, שאיתרו בעיה במחשב, שכלל אינה קיימת, ויבקשו תשלום (ואת פרטי כרטיס האשראי) עבור פתירתה, כשבחלק מהמקרים הם אף מורידים נוזקות למחשב במהלך התהליך. התרמיות האלו עלולות להתחיל בחלון קופץ (פופ-אפ), שמוצג למשתמש ומעודד אותו להתקשר למספר של מוקד התמיכה הטכנית
.
מתקפת מספרים גדולים (Wardialing)
במתקפה זו התוקפים שולחים הודעות תא קולי למספר גדול של קורבנות באופן אוטומטי ומנסים לגרום להם להתקשר בחזרה באמצעים של הפחדה. למשל, הם עלולים לטעון, שלקורבן יש חוב לרשויות המיסים או קנס שלא שילם
.
טלמרקטינג
בטקטיקה הנפוצה הזו התוקף מתקשר לקורבן וטוען, שהוא זכה בפרס יקר-ערך, אך הוא יהיה מוכרח לשלם מקדמה מסוימת לפני שיוכל לקבל את הפרס
.
פישינג/סמישינג
כפי שצוין לפני כן, התרמיות יכולות להתחיל בהודעת דוא"ל או בהודעת
SMS מזויפת, שתעודד את המשתמש להתקשר למספר טלפון מסוים. אחת התרמיות המפורסמות היא ההודעה מ"אמזון", לכאורה, בה נטען, שיש בעיה עם הזמנה, שנעשתה לא מזמן. מי שיתקשר למספר המופיע בהודעה זו יגיע ישירות למבצע התרמית
.
כיצד למנוע מתקפת וישינג?
למרות שחלק מהתרמיות האלו הופכות למתוחכמות יותר ויותר, ישנם מגוון דברים, שניתן לעשות, כדי לצמצם את הסיכון לנפילה בתרמית כזאת. חלק מהצעדים הבסיסיים הם
:
- הסירו את עצמכם מספרי הטלפונים. כך, שהמספר שלכם לא יהיה חשוף לכולם.
- אל תזינו את מספר הטלפון שלכם בטפסים מקוונים (למשל, בזמן רכישה ברשת).
- היו ערניים לבקשות המגיעות מהבנק, בקשת פרטים אישיים או מידע רגיש אחר באמצעות הטלפון.
- נקטו במשנה זהירות - אל תמשיכו בשיחה עם מתקשרים לא מזוהים, במיוחד אם הם מבקשים לוודא פרטים רגישים.
- לעולם אל תתקשרו למספר, שהשאירו לכם בהודעה בתא הקולי, וצרו קשר תמיד עם הארגון באופן ישיר.
- השתמשו באימות רב-שלבי (MFA) בכל החשבונות ברשת.
- וודאו, שפתרון האבטחה לאינטרנט ו/או לדוא"ל מעודכן ושהוא כולל יכולות למניעת מתקפות פישינג.