וישינג: איך ההונאה עובדת וכיצד לא ניפול בפח

24.06.21

ESET24.06.21

כולנו שמענו על פישינג הונאת המייל המוכרת שבה שולח ההודעה מתחזה לגורם לגיטימי כלשהו כדי לגרום לנמענים למסור מידע רגיש או להוריד נוזקות. וישינג (Vishing) היא המקבילה הטלפונית של סוג המתקפה הזה. לשיטת ההונאה הזו קיימות גרסאות רבות ושונות אשר יכולות להיות להן השלכות חמורות.

בשנת 2020, פישינג, סמישינג, ו-וישינג הביאו לנזקים בגובה כולל של 54 מיליון דולר ליותר מ-241,000 קורבנות ואלו רק המקרים שדווחו ל-FBI כשכמובן ישנם עוד מקרים רבים שלא דווחו כלל.

רוצים לראות כמה אתם יודעים? השתתפו בחידון ההונאות שלנו ובידקו איזה ציון תקבלו>

אז איך פועלות מתקפות וישינג, כיצד הן משפיעות על כולנו ואיך נוכל להתגונן מפניהן:

בעיית ההנדסה החברתית

יש סיבה עיקרית אחת לכך שמתקפות וישינג מצליחות: הגורם האנושי. הנדסה חברתית היא אחד מהכלים העיקריים של החבר'ה הרעים. הנדסה חברתית היא למעשה אמנות השכנוע. הנדסה חברתית היא התחזות לגורם אמין ובעל סמכות – למשל הבנק שלכם, ספק שירותי טכנולוגיה, הממשלה ויצירת תחושה של דחיפות או פחד שיתעלו על הזהירות והחשדנות הטבעיים של הקורבן.

תוקפים משתמשים בטכניקות האלה בהודעות דוא"ל של פישינג ובהודעות SMS מזויפות (סוג מתקפה זה נקרא גם סמישינג). עם זאת, נראה שהדרך היעילה ביותר לבצע מתקפה כזו היא באופן "חי" באמצעות שיחת טלפון.

לתוקפים במתקפות וישינג ישנם מספר כלים וטקטיקות נוספים שהופכים את התרמיות שלהם למוצלחות, ביניהם:

• כלים לזיוף המספר המחייג, בהם ניתן להשתמש כדי להסוות את מיקומו האמיתי של הרמאי ואף להתחזות למספרי הטלפון
האמיתיים של ארגונים אמינים. בשנה האחרונה, למשל, פרטיהם האישיים של לקוחות מלון Ritz London נגנבו במהלך פריצה
  למלון היוקרה, ואחריה הרמאים השתמשו במידע הגנוב כדי לתקוף באמצעות הנדסה חברתית משכנעת כלפי הקורבנות, תוך
  כדי ששינו את מספר הטלפון שלהם למספר הטלפון האמיתי של המלון.
• מתקפות בערוצים מרובים שמתחילות בהודעת סמישינג, הודעת פישינג בדוא"ל או בהודעה בתא הקולי ומעודדת את המשתמש
  להתקשר למספר מסוים. המשתמש שיתקשר למספר כזה יגיע לרמאי באופן ישיר.
• איסוף מידע מהרשתות החברתיות שיכול לספק לרמאים כמויות אדירות של מידע על הקורבנות הפוטנציאליים. ניתן להשתמש
  במידע כזה כדי לתקוף אנשים ספציפיים (למשל, עובדים בחברה מסוימת שמחזיקים בהרשאות לביצוע פעולות) ולהוסיף מימד
  של לגיטימיות למתקפה. למשל, התוקף יכול לחזור על פרטיו האישיים של המותקף כך שיגלו פרטים נוספים.

כיצד מתקפת וישינג יכולה לפגוע בנו:

המטרה העיקרית של המתקפות האלה היא להרוויח כסף על חשבונכם: לעיתים באופן ישיר באמצעות גניבה של חשבון בנק או מידע על כרטיס האשראי ולעיתים הם יגרמו לכם למסור להם מידע אישי ופרטי כניסה כך שיוכלו לגשת לחשבונות האלה.

הנה כמה מהסוגים הנפוצים של תרמיות כאל מול אנשים פרטיים:

• תרמיות תמיכה טכנית

בתרמית תמיכה טכנית, התוקפים מתקשרים לקורבן ללא תיאום מראש ומתחזים לנציג של ספק האינטרנט, או של יצרן תוכנה או חומרה ידוע. הם יטענו שאיתרו בעיה במחשב שלכם שכלל אינה קיימת ויבקשו תשלום (ואת פרטי כרטיס האשראי שלכם) עבור פתירתה, כשבחלק מהמקרים הם אף מורידים נוזקות למחשב במהלך התהליך. התרמיות האלה עשויות להתחיל בחלון קופץ (פופ-אפ) שמוצג למשתמש ומעודד אותו להתקשר למספר של מוקד התמיכה הטכנית.

• מתקפת מספרים גדולים (Wardialing)

במתקפה זו התוקפים שולחים הודעות תא קולי למספר גדול של קורבנות באופן אוטומטי ומנסים לגרום להם להתקשר בחזרה באמצעים של הפחדה. למשל, הם עשויים לטעון שלקורבן יש חוב לרשויות המיסים או קנס שלא שילם.

• טלמרקטינג

בטקטיקה הנפוצה הזו התוקף מתקשר לקורבן וטוען שהוא זכה בפרס יקר-ערך, אך הוא יהיה מוכרח לשלם מקדמה מסוימת לפני שיוכל לקבל את הפרס.

• פישינג / סמישינג

כפי שצוין לפני כן, התרמיות יכולות להתחיל בהודעת דוא"ל או בהודעת SMS מזויפת, שתעודד את המשתמש להתקשר למספר טלפון מסוים. אחת התרמיות המפורסמות היא ההודעה מ"אמזון" לכאורה, בה נטען שיש בעיה עם הזמנה שנעשתה לא מזמן. מי שיתקשר למספר המופיע בהודעה זו יגיע ישירות למבצע התרמית.

כיצד למנוע מתקפת וישינג

למרות שחלק מהתרמיות האלה הופכות למתוחכמות יותר ויותר, ישנם מגוון דברים שתוכלו לעשות כדי לצמצם את הסיכון לנפילה בתרמית כזאת. חלק מהצעדים הבסיסיים הם:

• הסירו את עצמכם מספרי הטלפונים, כך שהמספר שלכם לא יהיה חשוף לכולם.
• אל תזינו את מספר הטלפון שלכם בטפסים מקוונים (למשל, בזמן רכישה ברשת)
• היו עירניים לבקשות שמגיעות מהבנק, בקשת פרטים אישיים או מידע רגיש אחר באמצעות הטלפון.
• נקטו במשנה זהירות – אל תמשיכו בשיחה עם מתקשרים לא מזוהים, במיוחד אם הם מבקשים לוודא פרטים רגישים.
• לעולם אל תתקשרו למספר שהשאירו לכם בהודעה בתא הקולי וצרו קשר תמיד עם הארגון באופן ישיר.
• השתמשו באימות רב-שלבי (MFA) בכל החשבונות שלכם ברשת.
• וודאו שפתרון האבטחה לאינטרנט ו/או לדוא"ל מעודכן ושהוא כולל יכולות למניעת מתקפות פישינג.