«Лаборатория Касперского» предупреждает, что сейчас набирает обороты одна из разновидностей вишинга*, или голосового фишинга
В рамках этой схемы человек получает письмо, в котором нет вредоносных ссылок и вложений, но есть сообщение, например о том, что с его счёта пытаются снять крупную сумму. Чтобы отменить транзакцию, якобы нужно позвонить по указанному номеру телефона. Только с марта по июнь 2022 года эксперты компании зафиксировали около 350 тысяч таких писем по всему миру, причём их число растёт, на июнь пришлось почти 100 тысяч**.
Вишинг может быть нацелен как на частных пользователей, так и на сотрудников организаций. Рассылка спама — это первый этап. Если жертва попадается на крючок и перезванивает по указанному номеру, то её начинают «обрабатывать». Цель злоумышленников — выманить конфиденциальные данные либо убедить перевести деньги на указанные реквизиты или установить на устройство ПО для удалённого управления. В последнем случае мошенники затем выводят деньги со счёта без прямого участия пользователя.
Чаще всего письма вишеров стилизованы под уведомление от какого-либо сервиса, например крупного интернет-магазина, платёжной системы или сайта ПО, доступ к которому предоставляется по подписке. Задача сообщения — заставить пользователя действовать быстро и необдуманно. Обычно текст составлен так, чтобы сложилось впечатление, что он создан автоматически. Скорее всего, это нужно, чтобы жертве не пришло в голову ответить на письмо, а сразу навести её на мысль позвонить по указанному номеру. Как правило, злоумышленники звучат весьма убедительно, они могут торопить или запугивать абонента, чтобы у него не было времени подумать.
«К сожалению, даже продвинутые пользователи, сталкиваясь с вишингом, могут растеряться, попасться в ловушку и выполнить инструкции злоумышленников. Мы напоминаем о необходимости сохранять бдительность и ни в коем случае не делать срочно то, что от вас требуют незнакомцы, даже если они представляются сотрудниками крупных известных организаций», — комментирует Роман Деденок, эксперт по кибербезопасности «Лаборатории Касперского».
Для защиты от вишинга компания рекомендует:
- проверять адрес отправителя. Мошеннические письма могут приходить с очень странных адресов;
- помнить, что компании не отправляют письма с запросом на личные данные, такие как информация с банковской карты;
- соблюдать особую осторожность при получении писем, в которых требуется сделать что-либо очень-очень срочно: мошенники часто используют такие способы психологического давления;
- проверять, насколько грамотно составлено письмо. Опечатки, ошибки, необычный синтаксис — это красные флаги. С помощью таких опечаток злоумышленники пытаются обойти антиспам-технологии;
- установить на все используемые устройства надёжное защитное решение, такое как Kaspersky Internet Security;
- важно также повышать цифровую грамотность сотрудников, например с помощью платформы Kaspersky Automated Security Awareness Platform.
* Сокращённо от английского voice phishing .
** Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского».