Duomenų vagystės: Kas yra “vishingas” ir “smishingas”?

Kibernetinių grėsmių daugėja, todėl visuomet verta žinoti kokie yra populiariausi sukčiavimo būdai ir naudinga žinoti populiariausius terminus. Šį kartą – trumpai apie „vishingą“ ir „smishingą“.

“Vishingas” yra duomenų žvejojimas balso skambučiu (angl. Voice phishing). Nors duomenų viliojimas skambučiu nėra naujiena, tačiau šiais metais toks būdas tapo ypač populiarus. Norėdami įgyti daugiau pasitikėjimo, skambintojai dažnai naudoja tam tikrą asmeninę informaciją, kad priverstų klausytoją išduoti asmeninę informaciją. Skambintojai yra pasiruošę skirtingas kalbėjimo schemas, lengvai prisitaiko prie situacijos, naudoja automatizuotas balso keitimo technologijas.

„Vishingo“ skambučio metu yra naudojamos socialinio inžineringo schemos. Skambintojui yra svarbu pajusti klausytojo jautrias vietas, yra apeliuojama į asmeninius jausmus ir žmogiškas silpnybes. Išskirtinis bruožas yra tas, kad skambučio metu yra labai svarbus skambintojo balsas, nes būtent balso tembras ir kalbėjimo maniera leidžia manipuliuoti klausytoju. Norėdami pasiekti tikslą, skambintojai naudoja specialias programas keičiančias balsą.

“Vishingo” skambučius  pagal žinutės turinį galima suskirstyti į 4 kategorijas:

  • Netikri telemarketingo pranešimai, t.y. kai skambučio metu yra imituojami skambučių centrų skambučiai. Taisyklė – labai paprasta. “Šalto” skambučio metu yra bandoma išsiaiškinti bet kokią asmeninę informaciją siūlant nuolaidas, akcijas, kviečiant sudalyvauti loterijoje, atsiimti laimėjimą ir panašiai. Sukčiai manipuliuoja klausytojo smalsumu ir dažnai spaudžia skubiai imtis veiksmų;
  • Apsimetinėjimas tarnautojais. Sukčiai skambindami apsimeta policijos ar mokesčių inspekcijos darbuotojais. Apsimetėliai “policininkai” dažniausiai pasakoja istoriją apie į bėdą papuolusius giminaičius ir prašo pervesti arba kam nors perduoti grynaisiais tam tikrą pinigų sumą. Sukčiai, apsimetantys mokesčių inspekcijos darbuotojais, klausia asmeninių duomenų (adreso, banko sąskaitos, soc.draudimo numerio ir pan. informacijos);
  • Netikri techninio palaikymo skambučiai. Skambintojai skambina apsimesdami interneto tiekėjo darbuotojais arba įrangos gamintojo (pvz. HP, DELL, APPLE) atstovais. Dažniausiai prašoma leisti prisijungti prie kompiuterio nuotoliniu būdu, kad būtų galima atlikti “tvarkymo/remonto darbus”, pvz. suinstaliuoti programą, kad kompiuteris butų geriau apsaugotas arba “išvalyti nuo virusų”. Prisijungus, kompiuteris yra užkrečiamas kenkėjiška programine įranga. Dažnu atveju, siekiant nesukelti įtarimo, vartotojo prašoma susimokėti už remonto darbus.
  • Netikri skambučiai iš „banko“. Šis sukčiavimo būdas prasidėjo iškart, kai tik atsirado internetinė bankininkystė. Apsimetėliai “banko tarnautojai” pasakoja istoriją apie “neaiškias operacijas” sąskaitoje, galimai pavogtus prisijungimus prie e-bankininkystės, pavogtą kortelę ir pan. Jie tikslingai klausia prisijungimo ID, slaptažodžio, Pin kodo, sąskaitos numerio, kortelės numerio, galiojimo termino ir saugos kodo. Išgavus kortelės duomenis yra daromi apsipirkimai internetu. Kita informacija, jei nėra labai naudinga iškart, ji bus panaudota sukčiavimui vėliau.

“Vishingo” sukčiai gali skambinti ir naudodami aplikacijas, pvz. Viber ar Skype. Dažniausiai skambinama iš numerių prasidedančių +1(xxx).

Jei duomenų viliojimas (angl. phishing) vykdomas tekstine SMS žinute, jis – vadinamas “smishingu”. Galioja panašūs sukčiavimo principai kaip ir „vishinge“, tačiau tekstinė žinutė gali būti ir dar pavojingesnė, nes gali turėti nuorodas į kenkėjiškus puslapius. SMS sukčiai, norėdami įgyti pasitikėjimą, dažnai prisidengia žymių ženklų vardais. 9 iš 10 vartotojų paspaudžia nuorodą, jei žinutėje yra sudaromas įspūdis, jog ją siunčia Microsoft ar Apple darbuotojai. Būkite atidūs ir nespauskite tokių nuorodų.

Kaip apsisaugoti?

Neteikite jokios asmeninės informacijos telefonu. Nesijauskite nepatogiai ir padėkite ragelį. Nepasitikėkite skambintoju, nes jis gali prisistatyti  ne tuo kas yra. Būkite budrūs ir vadovaukitės logika: neįmanoma laimėti loterijos, jei joje nedalyvavai. Nepasiduokite „paskutinės minutės“, „specialiai jums“,  „super gero“ pasiūlymo spaudimui, tai tik taktika, kad neturėtumėte laiko pagalvoti.

Tiek kibernetinio saugumo įrangos gamintojai, tiek kibernetinio saugumo specialistai, tiek nuo kibernetinių atakų nukentėję asmenys labai aktyviai dalinasi informacija internete, todėl kilus abejonei dėl žinutės patikimumo, visuomet verta paieškoti ar nėra buvę panašių incidentų. Pravartu sekti policijos, Nacionalinio kibernetinio saugumo centro ir Duomenų apsaugos inspekcijos socialinių tinklų paskyras.