What is vishing and how does it work?

Vishing (voice phishing) uses phone calls to manipulate targets into revealing sensitive information or authorizing transactions. Attackers spoof caller IDs to appear as banks, IT support, or executives. They use urgency, authority, and fear to prevent victims from verifying the request. The FBI's Internet Crime Complaint Center reported over $10 billion in losses from phone-based fraud in 2022.

How can you verify if a phone call is legitimate?

Never trust caller ID alone, as it can be spoofed. Tell the caller you will call back through the official number listed on the company's website or your internal directory. Legitimate callers will not object to this. Never provide passwords, one-time codes, or financial details over an inbound call, regardless of who the caller claims to be. If they pressure you to stay on the line, that itself is a red flag.

Вішинг

Handle a realistic voice phishing call.

Що таке Вішинг?

Vishing, або голосовий phishing, використовує телефонні дзвінки для маніпулювання працівниками з метою розкриття конфіденційної інформації, переказу коштів або надання доступу до систем. Центр скарг на інтернет-злочини FBI повідомив про збитки понад $10 мільярдів від схем соціальної інженерії у 2022 році, причому телефонні атаки становлять дедалі більшу частку. На відміну від email phishing, vishing використовує динаміку розмови в реальному часі, де цілі мають менше часу для критичного аналізу та відчувають соціальний тиск бути корисними. У цій симуляції Ваш телефон дзвонить. На ідентифікаторі дзвінка відображається номер, який, здається, належить ІТ-відділу Вашої компанії або довіреному постачальнику. Людина на іншому кінці спокійна, професійна та використовує галузеву термінологію, яка звучить легітимно. Вона пояснює інцидент безпеки або оновлення системи, що вимагає Вашої негайної участі, включаючи підтвердження Ваших облікових даних, авторизацію віддаленого доступу або зачитування коду багатофакторної автентифікації. Ви практикуватимете зупинку розмови, постановку верифікаційних питань та використання процедур зворотного дзвінка за офіційними номерами, а не за тими, які надає абонент. Вправа охоплює конкретні голосові ознаки та розмовні шаблони, що відрізняють соціальних інженерів від легітимних абонентів: тонке ухилення, коли Ви ставите дошкульні питання, наростаючу терміновість, коли Ви пропонуєте передзвонити, та стратегічне використання технічного жаргону для створення хибного відчуття спільної експертизи.

Що ви дізнаєтесь у Вішинг

Розпізнавати підміну ідентифікатора дзвінка та розуміти, чому відображений номер телефону не може використовуватися як підтвердження особи
Застосовувати верифікацію зворотним дзвінком, використовуючи офіційні довідники компанії, а не номери, надані абонентом
Визначати тактики розмовного тиску, які використовують vishing-зловмисники, включаючи ескалацію терміновості, посилання на авторитет та технічний жаргон
Відмовлятися від передачі облікових даних, MFA-кодів або авторизації віддаленого доступу під час вхідних дзвінків, незалежно від заявленого обґрунтування
Відрізняти наполегливу верифікацію особи від конфронтаційної поведінки для збереження професіоналізму під час підозрілих дзвінків

Вішинг — Кроки навчання

вступ

Цей тренінг імітує реальну атаку вішингу, коли зловмисник використовує створений ШІ голосовий фільтр, щоб видати себе за довіреного колегу. У вівторок у напружений день дзвонить телефон Аліси. Ідентифікатор абонента показує «Майк Стівенс - Доб. 4247'. Аліса знає Майка; він дуже дружній хлопець із команди інфраструктури. Вона дізнається, що це звичайний номер Майка, і негайно відповідає на дзвінок.
Несподіваний дзвінок

Без відома Аліси Боб тижнями досліджував Nexlify Solutions та їх клієнт SecureTech. Він збирав інформацію про структуру компанії, імена співробітників і внутрішні системи через профілі в соціальних мережах, LinkedIn і веб-сайт компанії. Боб також отримав записи голосу Майка з публічно доступних презентацій на конференціях і вебінарів компанії. Використовуючи вдосконалене програмне забезпечення для клонування голосу штучного інтелекту, він створив переконливу копію голосу Майка та підмінив ідентифікатор абонента, щоб відобразити внутрішній номер Майка.
Переконливий вступ

Голос у телефоні звучить точно так само, як Майк – той самий тон, мовлення та навіть його характерний легкий бостонський акцент. Все завдяки технологіям GenAI і великому набору даних записів публічних виступів Майка.
Створення терміновості

Згадуючи про хворого колегу та важливу зустріч із клієнтом, Боб демонструє терміновість і авторитет.
Інформаційний запит

Аліса починає відчувати тиск термінової ситуації і хоче допомогти колезі, яка потребує допомоги.
Відкриття файлів

Аліса відкриває портал компанії та намагається отримати доступ до конфіденційних даних.
Обмін конфіденційною інформацією

Аліса починає читати конфіденційну інформацію по телефону. Це суворо заборонено правилами компанії, але запит здається терміновим, а Майк не має доступу до ресурсів компанії через проблему з VPN.
Величезна помилка

Тепер Аліса поділилася суворо конфіденційною інформацією, захищеною NDA, включаючи дані власного шифрування, місця аварійного відновлення та внутрішні протоколи безпеки.
Підозріла електронна пошта

Боб бачить, що його атака успішна, і намагається посилити, надіславши Алісі фішинговий електронний лист.
Надходить сумнівний електронний лист

Аліса отримує електронний лист, начебто від Майка Стівенса.

Що таке Вішинг?

Що ви дізнаєтесь у Вішинг

Вішинг — Кроки навчання

вступ

Несподіваний дзвінок

Переконливий вступ

Створення терміновості

Інформаційний запит

Відкриття файлів

Обмін конфіденційною інформацією

Величезна помилка

Підозріла електронна пошта

Надходить сумнівний електронний лист