Vishing

Vishing^[a] lub voice phishing – forma phishingu, metoda oszustwa polegającego na podszyciu się przestępcy podczas rozmowy telefonicznej pod instytucję albo inną osobę w celu nakłonienia do wykonania określonych czynności, wyłudzenia poufnych informacji – najczęściej danych logowania do bankowości internetowej, danych karty kredytowej lub dokonania przez rozmówcę przelewu na wskazany rachunek bankowy. Jest to rodzaj ataku opartego na inżynierii społecznej. Wykorzystuje fakt wysokiego poziomu zaufania abonentów do telefonicznej weryfikacji i pozornej identyfikacji osoby dzwoniącej. Vishing jest dla przestępców bardzo dochodowym biznesem. Po rozszerzeniu usług telefonii IP zwiększyła się możliwość penetracji rynku i uwiarygodniania fałszywej tożsamości osoby inicjującej połączenie.

Wraz z rozwojem technologii, przestępcy zaczęli korzystać z techniki należącej do podzbioru technologii sztucznej inteligencji (AI) umożliwiającej uczenie maszynowe, które jest używane do tworzenia symulacji głosu danej osoby. Klonowanie głosu pozwala oszustom na zwiększenia realizmu ataku vishingowego poprzez maskowanie głosu i podszywanie się pod osobę, której głos jest znany osobie atakowanej.

Schemat vishingu[edytuj | edytuj kod]

Vishing jest oparty na inżynierii społecznej^[2]. Oszustwo jest inicjowane za pomocą kontaktu telefonicznego i ma na celu skłonienie ofiary do wykonania określonych działań lub podania poufnych danych. Nazwa „vishing” została utworzona przez połączenie słów „voice” (głos) oraz „phishing”^[3]. Połączenie telefoniczne wykorzystywane do takiego oszustwa często sprawia wrażenie pochodzić z oficjalnego, zaufanego źródła^[4]. O ile usługi telefonii stacjonarnej dotyczyły fizycznej lokalizacji abonenta znanej operatorowi telekomunikacyjnemu (a tym samym można je było przypisać do konkretnego płatnika rachunków), o tyle wraz z rozwojem telefonii IP (VoIP) wiele usług telefonicznych można obecnie inicjować i kończyć na komputerze w dowolnym miejscu na świecie^[1]. Przestępcy wykorzystują tzw. „spoofing”^[4], polegający na umieszczaniu w sieci telekomunikacyjnej spreparowanych pakietów danych lub celowo niepoprawne używanie protokołów komunikacyjnych^[5]^[6]^[b]. W ten sposób na ekranie telefonu prezentowany jest inny numer połączenia przychodzącego (np. numer banku) niż ten, z którego faktycznie dzwoni przestępca^[4].

Scenariusze tego typu ataków mogą być różne. Zawsze z mają jednak taki sam cel, którym jest zdobycie poufnych informacji lub nakłonienie ofiary do wykonania określonych działań. Przestępca wykorzystuje techniki inżynierii społecznej i przez wywołanie określonych emocji stara się zdobyć zaufanie osoby odbierającej połączenie i wywołać spodziewaną reakcję. Po zdobyciu zaufania prosi o podanie poufnych informacji (np. numer karty płatniczej, dane logowania do bankowości, dane osobowe, adres e-mail) lub o zainstalowanie aplikacji, która umożliwia zdalne sterowanie systemem urządzenia^[3].

Jedną z metod jest oszustwo na „pomoc techniczną”, w której przestępca podszywa się pod przedstawiciela banku lub innej firmy. Oszust może podawać się za policjanta, a nawet członka rodziny (np. wnuka^[4]) czy znajomego. Fałszywy konsultant może informować ofiarę o zaobserwowaniu rzekomej nietypowej aktywności na jej koncie^[9], rzekomej awarii technicznej, nieautoryzowanej operacji bankowej, ataku hakerskim^[3] lub o zaciągniętej na jej dane pożyczce krótkoterminowej^[4], i – wpływając na emocje odbiorcy informacji – stara się go nakłonić do podjęcia szybkich działań, które rzekomo miałyby zapobiec przejęciu jego oszczędności. Opcjonalnie może zaproponować, że po chwili do danego klienta zatelefonuje pracownik dedykowanej pomocy technicznej^[9] lub departamentu bezpieczeństwa banku^[4], który wesprze go w procesie „bezpiecznego” dostępu do zgromadzonych pieniędzy. „Pracownik wparcia technicznego” stara się nakłonić ofiarę do^[9]:

pobrania i zainstalowania programu (za pomocą którego oszuści mogą uzyskać dostęp do urządzenia tej osoby),
podania loginu oraz hasła, lub/i kodów dostępu do konta bankowego ofiary (może to następować przez wpisanie poświadczeń na stronie www, której adres podał oszust),
zablokowania swojego konta i wykonania przelewu na „udostępnione tymczasowe bezpieczne konto”^[9],
podyktowania kodu BLIK albo wypłatę przez ofiarę pieniędzy w bankomacie, po czym dokonania ich wpłaty we wpłatomacie na podany przez oszusta rachunek^[4].

W efekcie przestępcy przejmują środki swojej ofiary, zaciągają na nią kredyt w bankowości elektronicznej lub skłaniają do zakupu określonych produktów czy usług (np. na giełdzie kryptowalut lub płatność BLIK w internecie), które w rzeczywistości zostają nabyte na rzecz przestępców^[4].

Przestępcy mogą także korzystać z usług SMS i MMS, aby przesłać do potencjalnej ofiary, wiadomość, która ma nakłonić ją do nawiązania kontaktu. Przykładowo, wiadomość może zawierać ostrzeżenie przez zagrożeniem, oferować jakąś korzyść, lub zachęcać do zgłoszenia błędu, jeśli dana informacja wydaje się być nieautoryzowana: „Automatyczny alert kontroli kredytowej! Przygotowano dla Ciebie nową linię kredytową w [znanej instytucji]. Jeśli jest to nieautoryzowana aplikacja, zadzwoń pod numer telefonu [numer telefonu]”^[10]. Inny z wariantów wiadomości oszustów, konstruowanej tak, by wiarygodnie naśladowała komunikat operatora komórkowego, może np. informować o przekroczeniu miesięcznego limitu wiadomości tekstowych i zachęcać do kontaktu (w czasie którego przestępcy staraliby się wyłudzić poufne dane), by skorzystać z promocyjnego pakietu usług^[11]. Przestępcy mogą także nagrywać słowną wiadomość w poczcie głosowej telefonu komórkowego, także zachęcający do kontaktu pod wskazany w wiadomości numer telefonu, który może być tak skonfigurowany, by kierował do usługi generującej opłaty obciążające ofiarę na korzyść oszusta^[12].

Przestępcy korzystają z innych ułatwień wynikających z rozwoju technologicznego. Automatyczne rozpoznawanie naciśnięć klawiszy tonowych ułatwia poznanie poufnych danych, które ofiary vishingu wprowadzają za pomocą klawiatur numerycznych. Dźwięki wydawane po naciśnięciu poszczególnych klawiszy są rozpoznawane przez oprogramowanie i konwertowane na znaki cyfrowe, które w ten sposób zostają ujawnione przestępcom. Oszuści wykorzystują także oprogramowanie umożliwiające automatyczne rozpoznawanie głosu^[13].

Efektywność: vishing a phishing[edytuj | edytuj kod]

Vishing wykazuje znacznie wyższy wskaźnik powodzenia ataku niż inne formy phishingu, bowiem^[14]:

połączenia telefoniczne cieszą się znacznie wyższym zaufaniem klientów niż komunikatory internetowe,
drogą kontaktu telefonicznego łatwiej spersonalizować przekaz socjotechniczny,
poprzez połączenie telefoniczne łatwiej dotrzeć do niektórych grup społecznych, w tym do osób starszych,
rozmowy telefoniczne umożliwiają dotarcie do większego odsetka populacji niż poczta elektroniczna,
weryfikacja telefoniczna cieszy się wysokim poziomem zaufania i akceptacji abonentów,
częste kontakty ze strony call-center sprawiają, że społeczeństwo łatwiej akceptuje nieznajomych rozmawiających o poufnych sprawach, w tym mówiących z obcym akcentem.

Wykorzystanie AI w atakach vishingowych[edytuj | edytuj kod]

Wraz z rozwojem technologii, przestępcy zaczęli korzystać z techniki należącej do podzbioru technologii sztucznej inteligencji (AI) umożliwiającej uczenie maszynowe, które jest używane do tworzenia symulacji głosu danej osoby. Klonowanie głosu pozwala oszustom na zwiększenia realizmu ataku vishingowego poprzez maskowanie głosu i podszywanie się pod osobę, której głos jest znany osobie atakowanej. Może to być skopiowany głos np. kolegi lub przełożonego^[15].

Vishing w raportach antyfraudowych BIK[edytuj | edytuj kod]

Według opublikowanego w styczniu 2024 „Raportu Antyfraudowego” Biura Informacji Kredytowej, czołowe miejsca wśród najpopularniejszych przestępczych działań socjotechnicznych w Polsce w 2023 zajmowały vishing i phishing. Wśród najczęściej stosowanych oszustw w grupie klientów indywidualnych, małych i średnich przedsiębiorstw oraz banków i korporacji dominującą pozycję zajęło podszywanie się przez oszustów pod instytucję publiczną za pomocą rozmowy telefonicznej. Wzrost skali tego typu przestępstw potwierdziły badania, które wykazały, że z co najmniej jedną z socjotechnicznych metod wyłudzeń spotkało się aż 36 % badanych osób, co stanowi wzrost o 4 pkt w stosunku do wyniku badań z 2022^[c]^[16].

Uwagi[edytuj | edytuj kod]

↑ Termin „vishing” powstał w wyniku połączenia słów „głos” (voice) i „phishing”^[1].
↑ W atakach typu „vishing” przestępcy często używają technologii VoIP, popularnie nazywaną „telefonią internetową”, bowiem umożliwia fałszowanie identyfikatora (zamaskowania prawdziwej tożsamości) osoby inicjującej połączenie^[7]^[8].
↑ W 2022 do najczęstszych działań oszustów należało „fałszowanie dokumentacji finansowej przez klientów wnioskujących o kredyt lub pożyczkę”^[16].

Przypisy[edytuj | edytuj kod]

↑ ^a ^b Ollmann 2007 ↓, s. 3.
↑ Ollmann 2007 ↓, s. 2.
↑ ^a ^b ^c Vishing. [w:] Encyklopedia [on-line]. Komisja Nadzoru Finansowego. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).
↑ ^a ^b ^c ^d ^e ^f ^g ^h Schemat oszustwa „voice phishing”. [w:] Encyklopedia Cyberbezpieczeństwa [on-line]. Komisja Nadzoru Finansowego. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).
↑ PawełP. Lubomski PawełP., Kontekstowo zorientowany model bezpieczeństwa systemów internetowych [online], 2015, s. 31 (pol.).
↑ Mateusz Górnisiewicz, Radosław Obczyński, Mariusz Pstruś: Bezpieczeństwo finansowe w bankowości elektronicznej - przestępstwa związane z bankowością elektroniczną. Warszawa: Komisja Nadzoru Finansowego, 2014, s. 8. ISBN 978-83-63380-63-2. [dostęp 2024-01-08].
↑ US Federal CommunicationsU.F.C. Commission US Federal CommunicationsU.F.C., Report and Order and Fifth Further Notice of Proposed Rulemaking [online], 2020, s. 3 (ang.).
↑ Ollmann 2007 ↓, s. 12.
↑ ^a ^b ^c ^d Uważaj na vishing – czyli oszustwo z wykorzystaniem połączeń telefonicznych. Serwis Rzeczypospolitej Polskiej (gov.pl), 2023-10-17. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).
↑ Ollmann 2007 ↓, s. 9.
↑ Ollmann 2007 ↓, s. 10.
↑ Ollmann 2007 ↓, s. 11.
↑ Ollmann 2007 ↓, s. 6.
↑ Ollmann 2007 ↓, s. 3–4.
↑ What is voice phishing (vishing)? - ITSAP.00.102. [w:] Awareness series [on-line]. Canadian Centre for Cyber Security, 2022-07. [dostęp 2024-01-13]. [zarchiwizowane z tego adresu (2024-01-13)]. (ang.).
↑ ^a ^b Biuro InformacjiB.I. Kredytowej Biuro InformacjiB.I., O świadomości cyberzagrożeń i stanie zabezpieczeń osób prywatnych, firm oraz korporacji przed wyłudzeniami. Raport Antyfraudowy BIK 2023 r. [online], bik.pl, 10 stycznia 2024 [dostęp 2024-01-11] [zarchiwizowane z adresu 2024-01-11] (pol.).

Bibliografia[edytuj | edytuj kod]

GunterG. Ollmann GunterG., The vishing guide, IBM Global Technology Services, 2007, s. 16 [zarchiwizowane z adresu 2024-01-12] (ang.).

[uwaga0-2] Termin „vishing” powstał w wyniku połączenia słów „głos” (voice) i „phishing”^[1].

[uwaga1-10] W atakach typu „vishing” przestępcy często używają technologii VoIP, popularnie nazywaną „telefonią internetową”, bowiem umożliwia fałszowanie identyfikatora (zamaskowania prawdziwej tożsamości) osoby inicjującej połączenie^[7]^[8].

[uwaga2-19] W 2022 do najczęstszych działań oszustów należało „fałszowanie dokumentacji finansowej przez klientów wnioskujących o kredyt lub pożyczkę”^[16].

[CITEREFOllmann20073-1] Ollmann 2007 ↓, s. 3.

[CITEREFOllmann20072-3] Ollmann 2007 ↓, s. 2.

[KNF_enc-4] Vishing. [w:] Encyklopedia [on-line]. Komisja Nadzoru Finansowego. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).

[KNF_schemat-5] ↑ ^a ^b ^c ^d ^e ^f ^g ^h Schemat oszustwa „voice phishing”. [w:] Encyklopedia Cyberbezpieczeństwa [on-line]. Komisja Nadzoru Finansowego. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).

[Lubomski-6] PawełP. Lubomski PawełP., Kontekstowo zorientowany model bezpieczeństwa systemów internetowych [online], 2015, s. 31 (pol.).

[Górnisiewicz-7] Mateusz Górnisiewicz, Radosław Obczyński, Mariusz Pstruś: Bezpieczeństwo finansowe w bankowości elektronicznej - przestępstwa związane z bankowością elektroniczną. Warszawa: Komisja Nadzoru Finansowego, 2014, s. 8. ISBN 978-83-63380-63-2. [dostęp 2024-01-08].

[FCC-8] US Federal CommunicationsU.F.C. Commission US Federal CommunicationsU.F.C., Report and Order and Fifth Further Notice of Proposed Rulemaking [online], 2020, s. 3 (ang.).

[CITEREFOllmann200712-9] Ollmann 2007 ↓, s. 12.

[gov.pl-11] Uważaj na vishing – czyli oszustwo z wykorzystaniem połączeń telefonicznych. Serwis Rzeczypospolitej Polskiej (gov.pl), 2023-10-17. [dostęp 2024-01-08]. [zarchiwizowane z tego adresu (2024-01-08)]. (pol.).

[CITEREFOllmann20079-12] Ollmann 2007 ↓, s. 9.

[CITEREFOllmann200710-13] Ollmann 2007 ↓, s. 10.

[CITEREFOllmann200711-14] Ollmann 2007 ↓, s. 11.

[CITEREFOllmann20076-15] Ollmann 2007 ↓, s. 6.

[CITEREFOllmann20073–4-16] Ollmann 2007 ↓, s. 3–4.

[CCCS-17] What is voice phishing (vishing)? - ITSAP.00.102. [w:] Awareness series [on-line]. Canadian Centre for Cyber Security, 2022-07. [dostęp 2024-01-13]. [zarchiwizowane z tego adresu (2024-01-13)]. (ang.).

[BIK-18] Biuro InformacjiB.I. Kredytowej Biuro InformacjiB.I., O świadomości cyberzagrożeń i stanie zabezpieczeń osób prywatnych, firm oraz korporacji przed wyłudzeniami. Raport Antyfraudowy BIK 2023 r. [online], bik.pl, 10 stycznia 2024 [dostęp 2024-01-11] [zarchiwizowane z adresu 2024-01-11] (pol.).

[a]

[2]

[3]

[4]

[1]

[5]

[6]

[b]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[c]

[16]

[7]

[8]