What is vishing and how does it work?

Vishing (voice phishing) uses phone calls to manipulate targets into revealing sensitive information or authorizing transactions. Attackers spoof caller IDs to appear as banks, IT support, or executives. They use urgency, authority, and fear to prevent victims from verifying the request. The FBI's Internet Crime Complaint Center reported over $10 billion in losses from phone-based fraud in 2022.

How can you verify if a phone call is legitimate?

Never trust caller ID alone, as it can be spoofed. Tell the caller you will call back through the official number listed on the company's website or your internal directory. Legitimate callers will not object to this. Never provide passwords, one-time codes, or financial details over an inbound call, regardless of who the caller claims to be. If they pressure you to stay on the line, that itself is a red flag.

Vising

Handle a realistic voice phishing call.

Wat is Vising?

Vishing, of voice phishing, gebruikt telefoongesprekken om medewerkers te manipuleren tot het onthullen van gevoelige informatie, het overboeken van gelden of het verlenen van systeemtoegang. Het Internet Crime Complaint Center van de FBI meldde meer dan 10 miljard dollar aan verliezen door social engineering in 2022, waarbij telefonische aanvallen een groeiend aandeel innemen. In tegenstelling tot e-mailphishing maakt vishing gebruik van realtime gespreksdynamiek waarbij doelwitten minder tijd hebben om kritisch na te denken en sociale druk voelen om behulpzaam te zijn. In deze simulatie gaat uw telefoon over. Het nummerherkenning toont een nummer dat lijkt te behoren tot de IT-afdeling of een vertrouwde leverancier van uw bedrijf. De persoon aan de andere kant is kalm, professioneel en gebruikt branchespecifieke terminologie die legitiem klinkt. Ze leggen een beveiligingsincident of systeemupdate uit die uw onmiddellijke medewerking vereist, waaronder het bevestigen van uw inloggegevens, het autoriseren van externe toegang of het voorlezen van een multi-factor authenticatiecode. U oefent het pauzeren van het gesprek, het stellen van verificatievragen en het gebruiken van terugbelprocedures via officiële telefoonnummers in plaats van nummers die de beller opgeeft. De oefening behandelt de specifieke vocale signalen en gesprekspatronen die social engineers onderscheiden van legitieme bellers: de subtiele omleidingen wanneer u indringende vragen stelt, de escalerende urgentie wanneer u voorstelt terug te bellen en het strategische gebruik van technisch jargon om een vals gevoel van gedeelde expertise te creëren.

Wat je leert in Vising

Herken caller ID-spoofing en begrijp waarom weergegeven telefoonnummers niet vertrouwd kunnen worden als identiteitsverificatie
Pas terugbelverificatie toe via officiële bedrijfsgidsen in plaats van telefoonnummers die door de beller worden verstrekt
Identificeer de gespreksdruktactieken die vishers gebruiken, waaronder escalerende urgentie, autoriteitsclaims en technisch jargon
Weiger inloggegevens, MFA-codes te delen of externe toegang te autoriseren tijdens inkomende gesprekken, ongeacht de opgegeven reden
Onderscheid assertieve identiteitsverificatie van confronterend gedrag om professionaliteit te bewaren tijdens verdachte telefoontjes

Vising — Trainingsstappen

Introductie

Deze training simuleert een echte vishing-aanval waarbij een aanvaller een door AI gegenereerd stemfilter gebruikt om zich voor te doen als een vertrouwde collega. Het is een drukke dinsdagmiddag als de telefoon van Alice gaat. De beller-ID toont 'Mike Stevens - Ext. 4247'. Alice kent Mike; hij is een heel vriendelijke kerel van het Infrastructuurteam. Ze herkent dit als het gebruikelijke nummer van Mike en beantwoordt de oproep onmiddellijk.
De onverwachte oproep

Zonder dat Alice het wist, heeft Bob al weken onderzoek gedaan naar Nexlify Solutions en hun klant SecureTech. Hij verzamelde informatie over de bedrijfsstructuur, namen van werknemers en interne systemen via sociale mediaprofielen, LinkedIn en de bedrijfswebsite. Bob heeft ook opnames van Mike's stem verkregen van openbaar beschikbare conferentiepresentaties en bedrijfswebinars. Met behulp van geavanceerde AI-software voor het klonen van stemmen heeft hij een overtuigende replica van Mike's stem gemaakt en de nummerherkenning vervalst om Mike's interne toestelnummer weer te geven.
De overtuigende introductie

De stem aan de telefoon klinkt precies als Mike: dezelfde toon, spraakpatronen en zelfs zijn karakteristieke lichte Boston-accent. Allemaal dankzij GenAI-technologieën en een grote dataset van Mike's openbare lezingen.
Urgentie creëren

Bob legt urgentie en autoriteit vast door het melden van een zieke collega en een belangrijke klantbijeenkomst.
Het informatieverzoek

Alice begint de druk van de urgente situatie te voelen en wil een collega in nood helpen.
De bestanden openen

Alice opent het bedrijfsportaal en probeert toegang te krijgen tot gevoelige gegevens.
Gevoelige informatie delen

Alice begint de gevoelige informatie via de telefoon te lezen. Dit is ten strengste verboden volgens de bedrijfsregels, maar het verzoek lijkt dringend en Mike heeft vanwege een VPN-probleem geen toegang tot bedrijfsmiddelen.
Een grote fout

Alice heeft nu zeer vertrouwelijke, door een NDA beschermde informatie gedeeld, waaronder bedrijfseigen encryptiegegevens, locaties voor noodherstel en interne beveiligingsprotocollen.
De verdachte e-mail

Bob ziet dat zijn aanval succesvol is en probeert te escaleren door Alice een phishing-e-mail te sturen.
Schaduwrijke e-mail arriveert

Alice ontvangt een e-mail die afkomstig lijkt te zijn van Mike Stevens.

Wat is Vising?

Wat je leert in Vising

Vising — Trainingsstappen

Introductie

De onverwachte oproep

De overtuigende introductie

Urgentie creëren

Het informatieverzoek

De bestanden openen

Gevoelige informatie delen

Een grote fout

De verdachte e-mail

Schaduwrijke e-mail arriveert