Vishing là gì?
Vishing là từ viết tắt của Voice Phishing được sử dụng để chỉ hành vi lừa đảo qua điện thoại. Cụ thể, đó là một dạng tấn công người dùng trong đó tin tặc sẽ liên lạc với nạn nhân thông qua cuộc gọi điện thoại độc hại. Mục đích của chúng là nhằm dụ dỗ các nạn nhân cung cấp các thông tin cá nhân, sau đó chúng sẽ tiến hành thu thập dữ liệu quan trọng khác.
Thông thường, Vishing sẽ được thực hiện bằng các cuộc gọi thoại khẩn cấp hoặc đáng ngờ. Chẳng hạn như tin tặc sẽ gọi cho nạn nhân để thông báo rằng tài khoản của họ đã bị tấn công. Người dùng cần cung cấp mật khẩu và mã PIN để xác thực lại danh tính hoặc mở tài khoản. Hoặc chúng có thể giả mạo các cơ quan chính phủ như IRS hay cơ quan an sinh xã hội để thông báo rằng người dùng đã vi phạm pháp luật cần đóng tiền phạt.
Một cuộc tấn công Vishing thành công khi tin tặc sử dụng tốt các kỹ năng thuyết phục người dùng để họ có thể cung cấp thông tin được yêu cầu. Các kỹ năng này có thể là lời thuyết phục tích cực hoặc thậm chí là những lời đe dọa tống tiền.
Vishing hoạt động như thế nào?
Để thực hiện một cuộc tấn công Vishing, kẻ lừa đảo sẽ sử dụng một ID giả mạo của doanh nghiệp lớn hoặc tổ chức đáng tin cậy để gọi điện thoại đến người dùng nạn nhân. Trong đó, chúng sẽ tự xưng là những người có chức trách trong công ty như giám đốc điều hành, quản lý nhân sự hoặc đại lý IRS. Sau đó, kẻ lừa đảo sẽ cung cấp các thông tin cấp bách để dụ dỗ người dùng đưa ra các thông tin theo yêu cầu của chúng.
Hiện nay có nhiều loại tấn công dựa vào những công nghệ kỹ thuật số hiện đại. Nhưng Vishing vẫn dựa vào cách gọi điện thoại với mục đích dụ dỗ và thuyết phục nạn nhân trong thời gian ngắn. Điều này khiến cho người dùng bị mất cảnh giác và chủ động cung cấp các thông tin mà chúng yêu cầu.
Kỹ thuật Vishing phổ biến
Bằng cách giả mạo một số điện thoại hợp pháp, những kẻ lừa đảo khiến mọi người tin rằng cuộc gọi là hợp pháp. Tuy nhiên, ngay cả khi bạn không trả lời điện thoại, họ vẫn để lại tin nhắn thoại để kích thích phản hồi – bạn sẽ trả lại cuộc gọi của họ và lộ thông tin của bạn.
Ví dụ Vishing:
Vishing có thể có nhiều hình thức. Một hình thức nhắm mục tiêu tài khoản ngân hàng hoặc tài khoản thẻ tín dụng của bạn. Ví dụ: bạn có thể nhận được một cuộc gọi từ một tin nhắn như:
Tài khoản của bạn đã bị xâm phạm. Vui lòng gọi số này để đặt lại mật khẩu của bạn.
Visher hy vọng bạn sẽ thấy tin nhắn và bối rối. Và theo kịch bạn nếu bạn gọi lại vào số trên thì sẽ có một bản ghi tự động yêu cầu thông tin như số tài khoản ngân hàng và / hoặc thông tin nhạy cảm khác.
Một ví dụ khác là một cuộc gọi điện thoại về một đề nghị miễn phí hoặc nói với bạn rằng bạn đã giành được giải thưởng. Nhưng để đổi lấy phần mềm miễn phí, trước tiên bạn phải trả tiền vận chuyển và xử lý. Một ví dụ thứ ba là một cuộc gọi nói rằng bạn đã giành được một giải thưởng như du thuyền hoặc kỳ nghỉ Disney. Để nhận giải thưởng của bạn, trước tiên bạn được yêu cầu trả phí đổi quà. Thông thường, họ yêu cầu bạn cung cấp số thẻ tín dụng của bạn qua điện thoại. Hoặc hiện nay phổ biến đó là mạo danh các cơ quan chức năng để yêu cầu người dùng cung cấp thông tin.
Một số tấn công Vishing khác có thể thấy:
- Ưu đãi tín dụng và các khoản vay
- Cơ hội đầu tư có lợi nhuận rất cao
- Kêu gọi từ thiện
- …
Các loại Vishing phổ biến hiện nay
Một số loại tấn công Vishing phổ biến hiện nay mà kẻ lừa đảo thường sử dụng để đánh lừa người dùng nạn nhân như sau:
Wardialing
Wardialing sử dụng một số công nghệ hiện đại để có khả năng tự động quay số điện thoại. Điều này nhằm tìm kiếm các lỗ hổng bảo mật trong cơ sở hạ tầng CNTT. Một số công cụ bảo mật mà kẻ tấn công thường sử dụng để tìm các số được kết nối với modem không an toàn hay còn gọi là Wardialers và Demon Dialer.
Wardialing là phương pháp tấn công được sử dụng nhiều nhất với tỷ lệ thành công cao. Trong đó, các thông tin PII do kỹ thuật này khai thác sẽ được tin tặc sử dụng cho nhiều mục đích khác nhau.
VoIP-based Attack
VoIP – Voice over Internet Protocol là giao thức gọi thoại dựa trên Internet. Trong đó, kẻ tấn công sẽ thực hiện phương thức lừa đảo này bằng cách gọi thoại bằng VoIP giả mạo thông qua các thiết bị công nghệ như điện thoại di động, máy tính, điện thoại VoIP hay các WebRTC.
Bởi vì các cuộc gọi VoIP do kẻ tấn công thực hiện đều giả mạo các tổ chức và doanh nghiệp lớn nên chúng đều bắt nguồn từ 1 mạng. Ngoài ra, VoIP còn yêu cầu người dùng nạn nhân thực hiện các bước xác thực đa yếu tố nhằm thu thập các thông tin của họ.
Caller ID Spoofing
Spoofing là hình thức lừa đảo ẩn danh được kẻ tấn công thực hiện bằng cách giả mạo thông tin được gửi đến màn hình hiển thị cuộc gọi của người dùng. Cụ thể, tin tặc sẽ sử dụng kỹ thuật Neighbor Spoofing để mạo danh một địa chỉ ID đáng tin cậy. Khi cuộc gọi được thực hiện, chúng sẽ cố gắng đánh cắp tiền hoặc dữ liệu quan trọng của người dùng để nhằm mục đích chuộc lợi.
Dumpster Diving
Dumpster Diving là phương pháp mà kẻ tấn công thường xuyên sử dụng để thu thập thông tin liên hệ của người dùng nạn nhân. Cụ thể, chúng sẽ tìm kiếm các thông tin từ các tài liệu bị xóa bỏ, thiết bị lưu trữ hỏng, lịch cũ hoặc các bản sao để thực hiện các hành vi trái phép đối với nạn nhân như tống tiền hoặc rút tiền từ thẻ ngân hàng.
Microsoft Support
Đây là phương thức lừa đảo mà kẻ tấn công sử dụng nhằm dụ dỗ người dùng nạn nhân gọi cho Microsoft Support để giải quyết một số vấn đề về kỹ thuật. Nếu như người dùng thực sự gọi theo đường link cung cấp này thì họ đã trở thành nạn nhân của kẻ lừa đảo. Chúng sẽ tiếp nhận cuộc gọi này bằng các phản hồi giọng nói tự động để dụ con mồi vào cuộc tấn công Vishing.
Phương pháp tấn công Vishing phổ biến
Bây giờ chúng ta đã thảo luận về các kiểu Vishing chính, chúng ta hãy xem xét một số phương pháp phổ biến được sử dụng bởi những kẻ tấn công như vậy.
Mạo danh ngân hàng
Kẻ tấn công giả mạo mà ngân hàng, nhà cung cấp bảo hiểm hoặc một tổ chức bất kỳ có độ tin cậy cao để dụ dỗ người dùng nạn nhân gửi tiền cho chúng. Tỷ lệ thành công của hình thức lừa đảo này rất cao, bởi vì hầu hết người dùng đều tin tưởng vào các nhà cung cấp dịch vụ ngân hàng của họ. Điều này khiến cho có thể cung cấp ngay các thông tin cá nhân như mã Pin hay mật khẩu khi được yêu cầu.
Đây cũng là lý do các ngân hàng lớn thường khuyến nghị khách hàng của mình không thực hiện các giao dịch qua đường link trên điện thoại. Thay vào đó là sử dụng các ứng dụng và trang web riêng có độ an toàn cao.
Mạo danh hỗ trợ kỹ thuật
Kẻ tấn công giả mạo là các đơn vị cung cấp những giải pháp và dịch vụ kỹ thuật đáng tin cậy. Chúng sẽ gửi thông báo cảnh báo về thiết bị của người dùng nạn nhân và yêu cầu họ liên hệ lại để được hỗ trợ khắc phục kịp thời.
Một số vấn đề về thiết bị mà kẻ lừa đảo thường gửi về thiết bị người dùng như hệ thống nhiễm virus hay thiết bị đã cài đặt tệp đính kèm độc hại. Sau đó, chúng sẽ dụ dỗ người dùng chi tiền để được giải quyết các vấn đề đó. Một số kẻ tấn công tinh vi bắt chước bộ phận CNTT của công ty để đánh cắp quyền truy cập vào hệ thống công ty.
Mạo danh đơn vị hỗ trợ tài chính
Kẻ tấn công giả mạo là các nhà đầu tư đáng tin cậy để gọi điện thoại cho người dùng nạn nhân nhằm mục đích đưa ra các thông tin hấp dẫn về tiền bạc. Chẳng hạn như chính sách gửi tiền ngân hàng nhiều lão hoặc các kế hoạch làm giàu nhanh chóng. Sau khi quảng cáo những lời mời chào hấp dẫn, chúng sẽ chuyển sang bước yêu cầu người dùng nạn nhân trả phí cho giao dịch này.
Để tăng tỷ lệ lừa đảo thành công, những tin tặc này sẽ hướng đến vấn đề tài chính mà người dùng đang gặp phải để dụ dỗ giao dịch. Hoặc là chúng sẽ sử dụng phương pháp Dumpster Diving để tìm kiếm các thông tin liên quan hỗ trợ cho cuộc tấn công trở nên đáng tin cậy hơn. Chẳng hạn như chúng sẽ thu thập các biên lai tại ATM để tìm hiểu về vấn đề tài chính hiện tại của người dùng nạn nhân.
Mạo danh SSA và Medicare
Kẻ tấn công giả mạo là các quan chức của Medicare hoặc SSA có độ uy tín cao cung cấp các dịch vụ được sử dụng phổ biến trong cuộc sống. Thay vì giả mạo các doanh nghiệp nhỏ chỉ nhắm được số lượng nhỏ mục tiêu tấn công. Những kẻ lừa đảo này nhắm đến Medicare và SSA với số lượng người dùng lớn.
Cụ thể, những kẻ tấn công này sẽ mạo danh là nhân viên của tổ chức tiến hành gọi điện thoại đến người dùng và cho biết rằng họ đang gặp rắc rối về các dịch vụ này. Hãy cung cấp các thông tin cá nhân để được xác minh lại.
Mạo danh tiếp thị qua điện thoại
Các cuộc tấn công tiếp thị qua điện thoại là những tác nhân đe dọa mà tin tặc giả mạo các tổ chức, doanh nghiệp hoặc nhân viên bán hàng của nhà tiếp thị. Chúng sẽ quảng bá đến nạn nhân các sản phẩm có giá cả hấp dẫn, những cuộc thi lớn và những chương trình ưu đãi lớn có thời hạn.
Nếu như người dùng nạn nhân đồng ý tham gia mua sản phẩm, đăng ký dự thi hoặc nhận ưu đãi thì cần chuyển tiền trước thông qua số tài khoản mà chúng cung cấp. Sau khi nhận được tiền, kẻ lừa đảo sẽ chặn người dùng và không có bất kỳ sản phẩm nào được gửi về cho họ.
Mạo danh đại diện chính phủ
Kẻ tấn công giả mạo là quan chức chính phủ lớn như Inland Revenue Department hay Fictional FBI ảo. Mục đích để gọi điện thoại đến người dùng nạn nhân yêu cầu họ cung cấp các thông tin cá nhân hoặc quyên góp tiền. Để dụ dỗ nạn nhân, chúng sẽ đưa ra các lời cam kết ảo như người dùng sẽ nhận được các khoản phí bổ sung khi trả trước tiền thuế. Hoặc đe dọa người dùng thanh toán hóa đơn nếu không sẽ phải chịu các hình phạt pháp lý.
Sự khác biệt giữa phishing và Vishing là gì?
Phishing có thể có nhiều hình thức, chẳng hạn như gọi điện thoại, email hoặc trang web giả mạo. Để so sánh, Vishing sử dụng dịch vụ điện thoại internet (VoIP) để hoàn thành trò lừa đảo. Thông thường, điều này bao gồm ‘giả mạo’ số điện thoại của một doanh nghiệp hoặc công ty thực sự.
Khi những kẻ lừa đảo Vishing mạo danh một doanh nghiệp hợp pháp và khiến khách hàng bị ảnh hưởng, công ty phải chịu đựng. Mặc dù việc kinh doanh thực tế không liên quan gì đến trò lừa đảo, nhưng danh tiếng, thương hiệu và hình ảnh của công ty có thể bị ảnh hưởng tiêu cực.
Làm thế nào để ngăn chặn Vishing?
Phòng bệnh hơn chữa bệnh do vậy mà bạn nên biết cách phòng tránh rơi vào các vụ tấn công Vishing. Dưới đây là một số bước cụ thể để ngăn chặn Vishing cơ bản:
- Hãy nhận biết – Biết cách những tên trộm này hoạt động có thể giúp bạn khỏi bị lừa đảo. Luôn nhớ rằng không một doanh nghiệp hợp pháp nào yêu cầu bạn cung cấp các thông tin cá nhân liên quan đến các tài khoản tín dụng. Bất cứ ai làm điều này qua điện thoại có thể đang cố gắng lừa đảo bạn.
- Đừng đầu hàng trước các yêu cầu – Nếu ai đó cố ép bạn cung cấp cho họ thông tin nhạy cảm, hãy gác máy.
- Cảnh giác với các số điện thoại lạ – Các số điện thoại lạ đôi khi có thể là người thân nhưng cũng có thể là từ những kẻ tấn công. Hãy cảnh giác.
- Giữ bình tĩnh và đừng hoảng sợ – Vì những tên tội phạm này thường xuyên chơi đùa với cảm xúc của bạn, hãy giữ một cái đầu lạnh và cúp điện thoại. Nếu bạn vẫn cảm thấy sợ, hãy đợi 10 phút và sau đó gọi cho ngân hàng, công ty thẻ tín dụng hoặc bất cứ ai mà người gọi tự nhận là. Sau đó xác minh xem có vấn đề thực sự.
- Luôn luôn hoài nghi – Ngay cả khi ID người gọi của bạn cung cấp tên của ngân hàng, tổ chức từ thiện hoặc một số công ty hoặc tổ chức khác, đó có thể là một mẹo.
Nếu bạn là một doanh nghiệp, hãy cảnh giác. Vishers luôn có kế hoạch lừa đảo tiếp theo của họ. Hãy cảnh giác và thực hiện các biện pháp phòng ngừa để ngăn chặn doanh nghiệp của bạn trở thành nạn nhân tiếp theo.
********************
Đăng bởi: Trường THPT Ngô Thì Nhậm
Chuyên mục: Tổng hợp
