Что такое Вишинг / Vishing


Вишинг (Vishing) - разновидность фишинга, заключающаяся в использовании war diallers (автонабирателей) и возможностей интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, номера банковских и идентификационных карт и т. д.

Схема обмана проста. Клиенты какой-либо платежной системы получают по электронной почте сообщения якобы от ее администрации или службы безопасности с просьбой указать свои счета, пароли и т. п. В сообщении также предлагается набрать определенный городской номер, позвонив по которому, Вы услышите сообщение с просьбой выдать свои конфиденциальные данные. Отыскать владельцев такого номера непросто. Поскольку с развитием интернет-телефонии звонок по городскому телефону может быть автоматически перенаправлен в любую точку земного шара на виртуальный номер.

Вишинг может не использовать электронную почту вообще. Тогда злоумышленники программируют компьютер таким образом, чтобы он набирал телефонные номера из длинного списка и проигрывал записанное сообщение любому, кто ответит. этом сообщении человека предупреждают, что якобы информация о его кредитной карте попала к мошенникам, и просят ввести с клавиатуры телефона номер.

Применение протокола VoIP помогает снизить расходы на телефонную связь, однако делает сети компаний более уязвимыми для атак. Банки и другие организации, использующие для голосовой связи IP-телефонию, рискуют подвергнуть себя вишинг-атакам, для профилактики которых пока нет средств.

Согласно информации от Secure Computing, злоумышленники конфигурируют war dialler, который набирает номера в определенном регионе, и в момент ответа на звонок происходит следующее:

  • автоответчик предупреждает потребителя, о мошеннических действиях с его картой, и предлагает немедленно перезвонить по определенному номеру. Это может быть 0800, часто с выдуманным именем звонившего от лица финансовой организации;
  • перезвонив по этому номеру, можно услышать типичный ответ компьютерным голосом, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
  • как только номер введен, вишер становится обладателем всей информации (номер телефона, полное имя, адрес), необходимой для злоумышленных целей;
  • затем, используя этот звонок, можно собрать и дополнительную информацию, такую как PIN-код, срок действия карты, дата рождения, номер банковского счета и т. п.


Методы защиты

  • банк или кредитная компания по телефону и по электронной почте обычно обращается к клиенту по имени и фамилии. Если это не так, то, скорее всего, вы столкнулись с мошенничеством (но не обязательно);
  • нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному вам номеру телефона. Для звонков в экстренных случаях на обратной стороне платежных карт указан специальный телефонный номер. Если звонок легитимный, то в банке сохраняется его запись;
  • если же вам звонит некто, представляющийся вашим провайдером, и задает вопросы, касающиеся ваших конфиденциальных данных, можете сразу послать его на... и повесить трубку.

Пока серьезных инцидентов такого рода не отмечено. Но только пока... Скорее всего, злоумышленники пока находятся на стадии экспериментирования. Но одновременно с этим происходит и реальное мошенничество.