0%

Digipedia

A hanghívások veszélyei – a vishing támadás

Netes veszélyek

Az adathalász (phishing) támadásokkal foglalkozó cikkünkben a hangalapú adathalászattal, vagyis vishing támadásokkal ismerkedünk meg.

Drasztikusan emelkedik a vishing támadások száma

A vishing (voice phishing) az internetes csalások azon fajtája, amikor az áldozatot telefonon felhívva (amibe a "hagyományos" telefonvonalakon kívül beletartoznak az internetes, hanghívást is lehetővé tevő alkalmazások is) szóbeli manipulációval próbálnak megszerezni érzékeny, személyes információkat, vagy rávenni az áldozatot arra, hogy utaljon pénzt.

 A vishing támadás vagyis a hangalapú adathalászat tehát valójában a phishing támadások egyik fajtája és a Covid-19 járvány óta egyre felkapottabb támadási módszer a kiberbűnözők körében. Az elmúlt két évben több mint 600%-kal nőtt a vishing támadások száma. 

Legyünk gyanakvók az ismeretlen hívásokkal szemben!

A vishing támadások formái, a támadások során alkalmazott módszerek

  • Banki adatok kicsalása: A támadók banki alkalmazottnak kiadva magukat hívják fel az áldozatokat valamilyen sürgős intézkedést igénylő álüggyel (például nagy összegű tranzakciót indítottak a bankkártyájukról és ellenőrizni szeretnék, hogy biztosan az ügyfél volt-e a kezdeményező) és így próbálják kicsalni a bankszámla adataikat és/vagy jelszavukat.
  • Identitáslopás, személyes adatok megszerzése: A támadók olyan hivatalosnak tűnő üggyel keresik meg az ügyfelet (a potenciális áldozatot), aminek az a lényege, hogy az ügyintézéshez szükség van a személyes adatokra, például személyi igazolvány, jogosítvány azonosítója, TAJ kártya száma.
  • Vállalati csalások: Egy adott cég alkalmazottjának vagy partnerének adják ki magukat a csalók és így próbálnak vállalati információkhoz jutni.
  • Malware és phishing: A telefonhívás célja, hogy a hívott fél letöltsön a mobiljára vagy a számítógépére malware-t (rosszindulatú szoftver, alkalmazás) vagy kattintson phishing linkekre, aminek a megnyitása szintén további, különféle támadásokoz vezethet. Például valamilyen internetes szolgáltatás ügyintézőjének adják ki magukat a csalók, azt állítva, hogy hibát, esetleg támadást észleltek a szolgáltatással kapcsolatban, amit az ügyfél úgy tud javítani, ha letölti a megadott helyről programot (ami történetesen egy malware lesz) és telepíti az eszközére.
  • Ransomware: A kiberbűnözők gyakran megfélemlítéssel próbálják rávenni az áldozataikat, hogy fizessenek váltságdíjat azért, hogy feloldják a megfertőzött számítógépüket, vagy azért, hogy ne hozzák nyilvánosságra a már megszerzett érzékeny információkat.

 Vigyázat, a telefonáló ki szeretné csalni tőlünk a banki adatainkat!

Védekezési módszerek

  • Ne osszunk meg személyes adatainkat (legalábbis olyannak ne, aki azonnal kéri és/vagy nem tudjuk egyértelműen azonosítani): A kiberbűnözők gyakran alkalmaznak olyan pszichológiai módszereket, amivel a potenciális áldozatokat érzékeny adataik megosztására ösztönzik (például sürgős problémamegoldás, hivatalos adatbekérés). A pénzintézetek vagy akár például a bűnüldöző szervek soha nem kérnek be telefonon jelszavakat, pénzügyi adatokat vagy más szenzitív személyes adatokat telefonon (sem email-ben vagy sms-ben).
  • Ne bízzunk a hívóazonosítóban: A vishing támadások gyakran hívóazonosító hamisítást használnak, hogy hiteles szervezetnek tűnjenek, például banknak vagy más hivatalos intézménynek, mivel tudják, hogy sokan a hívóazonosító hitelességében bízva, nem gondolnak arra, hogy a kijelzett szám mégsem a hozzárendelt intézményhez, esetleg személyhez tartozik. A legbiztosabb, ha mi hívjuk vissza és a korábban ismeretlen szám esetén pedig a hivatkozott intézmény hivatalosan közzétett elérhetőségét keressük fel először, ott érdeklődve az adott telefonszám hitelessége felől.
kapcsolódó írás:
Online pénzügyek

A hívószám-hamisítás (spoofing)
  • Legyünk gyanakvók az ismeretlen hívásokkal szemben: Mindig ellenőrizzük a hívás forrását, mielőtt bármilyen telefonon keresztüli tranzakcióba vagy információ megosztásba bocsátkoznánk. Például kérjünk a hívó féltől referenciát, amivel azonosítani tudja magát, amit ellenőrizzünk is le és kérjünk visszahívást későbbi időpontban, de legjobb, ha mi hívjuk vissza (elkerülve így a hívószámazonosító hamisítást).
  • Ne adjunk távoli hozzáférést az eszközeinken: A csalók gyakran alkalmazott módszere, hogy videóhívást is lehetővé tevő beszélgetések során arra kérik a kiszemelt áldozatot, hogy engedélyezze az ún. "távoli hozzáférés" szolgáltatást az eszközén, ezáltal lehetővé téve, hogy a támadó is láthassa a képernyőt és hozzáférhessen az áldozat eszközéhez, hogy "segíthessen az adott probléma, feladat megoldásában" - amit persze arra használ, hogy malware-t telepítsen, érzékeny információkhoz férjen hozzá.
  • Ne telepítsünk a hívó kérésére olyan alkalmazást, amit nem ismerünk, illetve amit ismerünk, azt is csak olyan helyről töltsük le, aminek a hitelességét előtte ellenőriztük.

Kapcsolódó tartalmaink

kapcsolódó írás:

A QR kódok veszélyei – a quishing támadás

Ez is érdekelheti

Netes veszélyek

Cookie-k, az internet sütijei
Netes veszélyek

A QR kódok veszélyei – a quishing támadás
Netes veszélyek

Hogyan védekezhetsz a számítógépedet fenyegető távoli hozzáféréses támadások ellen?