Вішинг-атаки: як голосовий фішинг працює та чому перемагає

Телефон дзвонить. IT-підтримка каже, що на вашому обліковому записі інцидент безпеки. Їм потрібен ваш пароль для скидання та захисту ваших даних. Абонент звучить професійно, може трохи стурбовано. На вашому визначнику відображається реальний номер вашої компанії.

Ви даєте їм свій пароль.

Я бачив, як це трапляється з розумними, обізнаними з безпеки людьми. Вони знали краще. У цей момент це не мало значення. Саме це робить вішинг настільки ефективним.

Вішинг (голосовий фішинг) — це атака соціальної інженерії, що проводиться по телефону, де зловмисник видає себе за довірену організацію для маніпулювання жертвами з метою розкриття конфіденційної інформації, переказу коштів або надання доступу до систем. На відміну від email-фішингу, де отримувачі можуть зупинитись та перевірити посилання, вішинг експлуатує тиск живої розмови в реальному часі та притаманну довіру, яку люди відчувають до голосової комунікації. Зловмисники зазвичай видають себе за IT-підтримку, представників банку, державні органи або керівників компанії та часто підроблюють ідентифікатор абонента для відображення легітимних номерів. За даними центру скарг на інтернет-злочини ФБР, вішинг та пов’язані голосові шахрайства становили понад $1,2 мільярда зареєстрованих збитків у 2024 році. Атака особливо ефективна проти організацій, оскільки працівники привчені бути корисними та реагувати по телефону, що робить їх вразливими до термінових, авторитетно звучних запитів, які обходять стандартне навчання з кібербезпеки, зосереджене на email-загрозах.

Вішинг працює інакше, ніж email-фішинг. З email у вас є час подумати, навести на посилання, переслати підозрілі повідомлення в IT. Телефонний дзвінок забирає все це.

Ви не можете поставити розмову на паузу. Соціальний тиск відповісти негайно є нездоланним. Тиша відчувається незручно. Прохання передзвонити здається грубим.

Повісити трубку відчувається неправильним. Ми привчені бути ввічливими. Раптове завершення дзвінка спричиняє соціальну тривогу, навіть коли ми підозрюємо.

Голос створює довіру. Впевнений, професійний тон встановлює довіру способами, яких текст ніколи не зможе. Ми запрограмовані довіряти голосам.

Ідентифікатор абонента бреше. Той номер, що показує реальний номер вашого банку? Підроблений приблизно за 30 секунд з безкоштовним ПЗ. Технологія підробки ідентифікатора абонента тривіально доступна.

“Привіт, це Михайло з IT-підтримки. Ми бачимо підозрілу активність на вашому обліковому записі. Мені потрібно верифікувати вашу особу та скинути облікові дані.”

Зловмисники використовують:

• Внутній жаргон та процедури, які вони дослідили
• Терміновість навколо “інцидентів безпеки”
• Запит облікових даних для “допомоги” вам

“Це ПриватБанк, дзвонимо щодо підозрілої активності на вашому рахунку. Для верифікації вашої особи надайте номер рахунку та останні чотири цифри ідентифікаційного коду.”

Зловмисники створюють страх фінансових втрат для подолання обережності.

“Це податкова служба. У вас є несплачені податки, і ордер на ваш арешт буде видано, якщо ви не оплатите негайно.”

Використовує страх перед державним авторитетом та юридичними наслідками.

“Це підтримка Microsoft. Ми виявили вірус на вашому комп’ютері. Дозвольте провести вас через кроки видалення.”

Призводить до встановлення віддаленого доступу та крадіжки облікових даних. Наша вправа з шахрайства техпідтримки проходить через саме цей сценарій та навчає працівників верифікувати перед наданням доступу.

“Привіт, це Олена з приймальні CEO. Йому потрібно терміново обробити банківський переказ для угоди. Ви можете це зробити тихо?”

Поєднує тиск авторитету з конфіденційністю для запобігання верифікації. Це поширена точка входу для атак компрометації ділової пошти, де телефонний дзвінок будує довіру перед шахрайським листом.

Непроханий контакт. Ви не ініціювали дзвінок, але стверджують, що мають інформацію про вас.

Терміновість. Потрібна “негайна” дія, інакше будуть наслідки.

Запит конфіденційної інформації. Паролі, номери рахунків, ідентифікаційні коди, коди верифікації.

Невідповідність ідентифікатора абонента. Навіть якщо показує легітимний номер, ідентифікатор абонента легко підробити.

Спротив верифікації. Відмова, коли ви пропонуєте передзвонити за офіційними каналами.

Інформація, якої не повинно бути. Часткові деталі рахунку, що використовуються для встановлення хибної довіри.

Вішинг експлуатує кілька психологічних принципів:

Коли хтось стверджує, що представляє авторитет (IT, банк, уряд), ми привчені підкорятися. Зловмисники видають себе за авторитетних осіб або організації для експлуатації цього.

Абонент здається, що допомагає вам, попереджаючи про проблему. Це створює тиск відповісти взаємністю, виконавши їхні прохання.

Загрози компрометації облікового запису, юридичних дій або фінансових втрат активують реакцію страху, що обходить раціональну оцінку.

“Це потрібно зробити зараз” запобігає ретельному обмірковуванню та верифікації.

Малі початкові запити (підтвердження імені) призводять до більших (надання пароля). Щойно ви почали співпрацювати, зупинка відчувається непослідовною.

Верифікуйте незалежно. Ніколи не довіряйте номерам для зворотного дзвінка, наданим абонентом. Знайдіть офіційну контактну інформацію окремо.

Не поспішайте. Легітимні організації не вимагають миттєвих рішень. “Я передзвоню” завжди доречно.

Ніколи не повідомляйте облікові дані. Жодна легітимна організація не запитує паролі по телефону. Ніколи.

Будьте підозрілі щодо підроблених номерів. Ідентифікатор абонента не є автентифікацією.

Якщо сумніваєтесь, повісьте трубку. Завершення підозрілого дзвінка завжди правильний вибір.

Задокументуйте чіткі політики щодо того, яку інформацію можна і не можна повідомляти по телефону.

Вимагайте верифікації зворотним дзвінком через відомі номери, а не номери, надані абонентами.

Спростіть повідомлення про підозрілі дзвінки команді безпеки.

Включіть вішинг-сценарії в навчання з кібербезпеки. Занадто багато програм зосереджуються виключно на email-загрозах.

Встановіть методи верифікації абонентів для внутрішніх дзвінків (зворотний дзвінок, відомі внутрішні номери, кодові слова).

Записані приклади. Дайте працівникам послухати, як вішинг-дзвінки фактично звучать.

Практичні сценарії. Симульовані вішинг-дзвінки, що тестують реакцію без реальних наслідків. Це де навчання фішинговим симуляціям виходить за межі email і охоплює голосові канали.

Практика верифікації. Тренування пошуку та використання офіційних процедур зворотного дзвінка.

Психологічна обізнаність. Розуміння, чому атаки соціальної інженерії працюють, допомагає їм протистояти.

• Нормалізуйте запитування абонентів
• Відзначайте працівників, які верифікують перед дією
• Усуньте стигму від повішення трубки на підозрілі дзвінки
• Забезпечте моделювання поведінки верифікації менеджерами

Розвиток такого інстинкту є частиною створення людського файрвола, де кожен працівник діє як активна лінія оборони.

1. Задокументуйте дзвінок (час, заяви, запитувана інформація)
2. Повідомте IT-безпеці
3. Поділіться з колегами, які можуть отримати подібні дзвінки

1. Негайно змініть паролі
2. Увімкніть 2FA, якщо ще не активна
3. Повідомте IT-безпеці
4. Моніторте уражені облікові записи на несанкціоновану активність

1. Негайно зверніться до банку
2. Встановіть попередження про шахрайство на кредитних звітах
3. Задокументуйте все для потенційного звернення до правоохоронних органів
4. Моніторте всі рахунки на несанкціоновані транзакції

• Аналізуйте шаблони атак на організаційне таргетування
• Ідентифікуйте інформацію, яку мали зловмисники (може вказувати на попередню компрометацію)
• Визначте вектор атаки (цільовий або масова кампанія)

• Попередьте працівників про поточні вішинг-кампанії
• Надайте конкретні деталі про приводи атак
• Посильте процедури верифікації

• Оновіть навчання з кібербезпеки новими шаблонами
• Розгляньте симульовані вішинг-вправи
• Переглядіть та посильте процедури верифікації

Зловмисники дзвонили працівникам Twitter, стверджуючи, що вони з IT-підтримки. Використовуючи інформацію, зібрану з попередніх досліджень, вони переконали працівників надати VPN-облікові дані.

Результат: компрометація гучних облікових записів, включаючи Барака Обаму, Джо Байдена, Ілона Маска та Apple, які були використані для просування криптовалютного шахрайства.

Що не спрацювало: працівники надали облікові дані по телефону, незважаючи на те, що це суперечило політиці.

Що б допомогло: встановлені процедури зворотного дзвінка, сильніша культура запитування абонентів, навчання саме цьому сценарію.

Досягнення в AI-синтезі голосу роблять вішинг все небезпечнішим:

• Клонування голосу може відтворювати конкретні голоси зі зразків
• Системи адаптації в реальному часі можуть природно відповідати на запитання
• AI усуває мовні бар’єри для глобальних атак

Це означає, що традиційні методи виявлення (акцент, незграбне формулювання) стають менш надійними. Процедури верифікації стають ще критичнішими. Наш посібник з дипфейк-соціальної інженерії розглядає, як зловмисники клонують голоси із секунд аудіо, генерують відео в реальному часі на живих дзвінках та які стратегії верифікації фактично працюють, коли ви більше не можете довіряти тому, що бачите та чуєте.

Ось у чому справа з захистом від вішингу: ви не можете покладатися на виявлення атаки. Хороші вішери звучать абсолютно легітимно. Ознаки, які ви шукали б в email, не існують у добре виконаному телефонному дзвінку.

Тому перестаньте намагатися виявити. Замість цього верифікуйте все.

“Дозвольте мені передзвонити за нашим основним номером.” Кажіть це щоразу, коли хтось просить конфіденційну інформацію по телефону. IT-підтримка, ваш банк, асистент CEO. Кожен.

Так, це відчувається незручно. Так, легітимні абоненти можуть бути роздратовані. Але ця миттєва незручність — ніщо порівняно з поясненнями, як ви дали свій пароль зловмиснику, який звучав точно як ваш IT-відділ.

Злом Twitter у 2020 році? Почався з вішинг-дзвінків працівникам. Зловмисники були достатньо хорошими, щоб обманути людей, які мали б знати краще. Працівники, які це зупинили, були не тими, хто виявив щось підозрілле. Вони були тими, хто верифікував у будь-якому разі.

Вішинг — лише частина багатоканальної картини загроз. Зловмисники комбінують голосові дзвінки зі смішингом та email для створення атак, що підсилюють одна одну через канали. Навчання вашої команди вправам з кібербезпеки, що охоплюють всі ці вектори, — єдиний спосіб встигати.

Навчіть вашу команду верифікувати перед тим, як ділитися. Спробуйте нашу безкоштовну вправу з вішингу з реалістичним сценарієм голосового фішингу або потренуйтесь виявляти callback-фішинг, де атака починається у скриньці та закінчується по телефону. Перегляньте наш повний каталог навчання з кібербезпеки.