By | 31 خرداد 1400
ویشینگ (Vishing)

ویشینگ چیست؟

ویشینگ(Vishing) یکی از جرایم اینترنتی است که از تلفن برای سرقت اطلاعات محرمانه شخص قربانی استفاده می شود. این حمله که اغلب تحت عنوان فیشینگ صوتی شناخته می شود، از روش های مهندسی اجتماعی زیرکانه ای برای متقاعد کردن قربانیان برای اقدام به انجام کاری و یا ارائه اطلاعات خصوصی و یا حتی دسترسی به حساب های بانکی استفاده می کنند. حمله ویشینگ بسیار شبیه به فیشینگ یا smishing است.

روش حمله ویشینگ

روش کار در حمله ویشینگ متقاعد کردن قربانیان در مورد انجام کارهای صحیح با پاسخ دادن به تماس گیرنده است. اغلب تماس گیرنده وانمود می کند از طرف دولت، اداره مالیات، پلیس یا بانک قربانی تماس می گیرد. با استفاده از تهدیدها و متقاعد کردن قربانیان، آن ها احساس می کنند گویی گزینه دیگری به جز ارائه اطلاعاتی که از آنها خواسته شده ندارند. برخی از مهاجمان از زبانی تند و زور استفاده می كنند و برخی دیگر اظهار می دارند كه برای جلوگیری از اتهامات جنایی به قربانی كمك می كنند. تاکتیک دوم و رایج این است که پیام های صوتی تهدیدآمیز ارسال می شود به اینصورت که به گیرنده می گوید فوراً تماس بگیرد یا خطر دستگیری شما وجود دارد و یا حتی بدتر از آن تهدیداتی در مورد حساب های بانکی فرد انجام می شود.

موارد استفاده ویشینگ

ویشینگ برای حمله به افراد و سازمانها استفاده می شود. یک مهاجم ممکن است در مورد سازمانی تحقیق کند و اطلاعات تماس یک کارمند را به صورت آنلاین پیدا کند و سپس از طرف مدیر عامل شرکت با قربانی تماس بگیرد و از قربانی بخواهد برای پرداخت فاکتور معوقه انتقال وجه انجام دهد و یا پرونده های پرسنلی را ارسال نماید.

مهندسی اجتماعی چیست؟

یکی از تکنیک های دستکاری است که توسط مهاجمان برای فریب مردم در کنار گذاشتن اطلاعات محرمانه استفاده می شود. مهندسی اجتماعی برای سرقت اطلاعات شخصی و شرکتی که می تواند برای ارتکاب جرایم اینترنتی بیشتر مورد استفاده قرار گیرد استفاده می شود.

ویشینگ(Vishing) چگونه اتفاق می افتد؟

یک حمله موفقیت آمیز تنها به تماس تلفنی با شماره تلفن های تصادفی نیاز ندارد بلکه مهاجمان از یک رویکرد استراتژیک برای سرقت از قربانیان استفاده می کنند:

  1. مهاجمان با تحقیق درباره قربانیان خود شروع می کند. ممکن است شامل ارسال ایمیل های فیشینگ نیز باشد، به امید اینکه شخصی پاسخ دهد و شماره تلفن خود را ارائه دهد و یا مهاجمان با استفاده از یک شماره تلفنی که دارای کد مشابه منطقه قربانی است و بوسیله یک نرم افزار خاص برای تماس با قربانی استفاده می کنند.
  2. اگر قربانی قبلاً توسط یک ایمیل فیشینگ فریب خورده باشد، بعید است که به تماس گیرنده هم مشکوک باشد. بسته به سطح پیشرفته بودن حملات فیشینگ / ویشینگ ، قربانی در انتظار تماس تلفنی است و مهاجمان نیز این را به خوبی می دانند که افراد بیشتر به تماس هایی پاسخ می دهند که از طریق شماره هایی که دارای کد محلی هستند استفاده شود.
  3. اقدام بعدی وی توسل به غرایز انسانی قربانی است. از طریق چهار ملاک مهم؛ اعتماد، ترس، طمع و تمایل به کمک. بسته به طرح vishing ، مهاجم ممکن است از همه یا فقط یکی از این تکنیک های مهندسی اجتماعی استفاده کند تا قربانی را متقاعد کند که کار مورد نظر را انجام دهد. مهاجم ممکن است اطلاعات حساب بانکی، جزئیات کارت اعتباری و آدرس پستی را بخواهد یا از قربانی بخواهد با انتقال وجوه و یا از طریق ارسال ایمیل اسناد محرمانه مربوط به کار یا ارائه جزئیات درباره کارفرما را بفرستد.
  4. جرایم اینترنتی در اینجا متوقف نمی شود. اکنون که مهاجم این اطلاعات را دارد می توانند بوسیله آن ها مرتکب جرایم بعدی شود. به عنوان مثال، مهاجم ممکن است حساب بانکی قربانی را تخلیه کند، مرتکب سرقت هویت شود و از جزئیات کارت اعتباری قربانی برای خریدهای غیر مجاز استفاده کند و یا از همکاران قربانی اخاذی کند.

راه های جلوگیری از حمله ویشینگ

  1. هرگز اطلاعات شخصی خود را از طریق تلفن ارائه یا تأیید نکنید. به یاد داشته باشید که بانک، بیمارستان، اداره پلیس یا هر بخش دولتی دیگری هرگز با شما تماس نمی گیرند و اطلاعات شخصی خود را درخواست نمی کنند.
  2. با دقت به تماس گیرنده گوش دهید. به زبانی که صحبت می کند توجه کنید و قبل از پاسخ دادن فکر کنید. هرگز اطلاعات شخصی خود را ارائه نکنید. آدرس خود را تأیید نکنید. مراقب تهدیدها و درخواست های فوری باشید.
  3. به شماره تلفنی که تماس گیرنده برای تأیید هویت خود به شما می دهد دقت کنید. خودتان شماره تلفن را جستجو کنید و با استفاده از تلفن دیگری با این شماره تماس بگیرید. مهاجمان می توانند شماره تلفن ها را مسیریابی کرده و شماره های جعلی ایجاد کنند.
  4. به تماس های تلفنی از شماره های ناشناخته پاسخ ندهید. بگذارید تماس به پست صوتی شما برود و سپس با دقت بسیار به پیام گوش دهید.
  5. به سوالات مربوط به اطلاعات شخصی، محل کار یا آدرس منزل خود پاسخ ندهید.
  6. سوال کنید. اگر تماس گیرنده می خواهد به شما جایزه رایگان بدهد یا چیزی به شما بفروشد، از او مدرکی بخواهید که می توانید برای تأیید اینکه چه کسی هستید و محل کارش کجاست استفاده کنید. اگر تماس گیرنده از ارائه این اطلاعات امتناع کند، تلفن را قطع کنید. قبل از ارائه اطلاعات، حتماً اطلاعاتی را که تماس گیرنده به شما می دهد را تأیید کنید.
  7. شماره تلفن خود را در Do Not Call Registry ثبت نکنید. اکثر شرکت های قانونی به این لیست احترام می گذارند، بنابراین اگر از طرف یک شرکت بازاریابی تلفنی تماسی دریافت می کنید، این نشان دهنده این است که تماس یک حمله پوچ است.
  8. اطلاعاتی را که در مورد مهندسی اجتماعی آموخته اید به خاطر بسپارید.
  9. به یاد داشته باشید که مدیر یا همکار منابع انسانی شما هرگز در خانه با شما تماس نمی گیرد و از شما نمی خواهد وجهی را منتقل کنید، اطلاعات محرمانه یا اسناد ایمیل خود را از حساب شخصی خود ارائه دهید.
  10. به ایمیل ها یا پیام های رسانه های اجتماعی که شماره تلفن شما را می خواهند پاسخ ندهید. این اولین قدم در یک حمله هدفمند فیشینگ / ویشینگ است.

منبع: terranovasecurity.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *