Вишинг

Защитите себя от вишинга!

Ви́шинг (англ. vishing — от слияния двух слов voice — «голос» + phishing/ fishing — "выуживание, «рыбная ловля») — разновидность фишинга, голосовое или телефонное мошенничество. Вишинг осуществляется через звонки на стационарные и мобильные телефоны, или могут поступать с использованием мессенджеров^[1].

Вишинг, также известный как голосовой фишинг, представляет собой киберпреступление, при котором злоумышленники используют телефон для кражи личной информации в своих целях. При вишинг-атаке киберпреступники используют тактику социальной инженерии, чтобы убедить жертв предоставить личную информацию, как правило, с целью доступа к финансовым счетам^[2].

Вишинг является распространённым методом мошенничества в современном мире. Его целью является получение конфиденциальных данных лица, путём введения в заблуждения в ходе телефонного звонка. Чаще всего мошенники стремятся получить данные банковской карты, для последующего использования средств с чужого счёта.

История

Появление телефонного мошенничества (вишинга) стало закономерным явлением в связи с развитием технологий. Первые случаи вишинга были зафиксированы еще в 1990-х годах, когда для большинства людей стала доступна телефонная связь^[1]. В 2000-х появление IVR-cиcтeм (интерактивный голосовой ответ) позволило мошенникам наносить массовые атаки. В широкое употребление слово «вишинг» вошло в 2006 году, когда впервые были зафиксированы массовые случаи подделки звонков от банков с просьбой о предоставлении данных карты (CVV-код, PIN-код)^[2].

Пик развития вишинга пришёлся на появление IP-тeлeфoнии (VoIP) в 2010-x. Данная технология подарила мошенникам возможность пользоваться подменой номера входящего звонка, что позволило имитировать звонки из полиции, банков, Федеральной Службы Судебных Приставов, а также ряда других организаций взаимодействующих со счетами и данными людей. В 2020-х годах благодаря сильному развитию структуры социальных сетей и обширному доступу к персональным данным, мошенникам стало проще персонализировать схему давления и угроз потенциальным жертвам^[3].

Алгоритмы обмана

Для получения данных мошенники используют алгоритмы, при которых номер входящего звонка определяется иначе, например, человек думает, что ему звонит официальный представитель банка. Затем в телефонном разговоре мошенники представляются сотрудниками органов исполнительной власти, банков, полиции, а также других организаций. Цель мошенника заставить жертву поверить, что данные находятся в опасности, решением же является предоставление данных мошеннику, якобы с целью предотвращения воровства со счёта. Как правило, мошенники пользуются эффектом сиюминутности, то есть не дают жертве времени на раздумье, мотивируя это тем, что медлить нельзя, иначе воровства не избежать. Сразу же после получения желаемых данных разговор прекращается, а жертва остаётся без денег на счету^[4].

Мошенники придумывают и используют различные схемы. Примерами наиболее распространённых являются^[1]^[3]:

Звонки от «служб безопасности» банка или иные варианты схемы «ваши деньги в опасности». Звонок содержит информацию о якобы совершённой подозрительной операции или сбое в программном обеспечении, который привел к потере средств. Жертву просят назвать реквизиты или иную информацию связанную со счётом или картой, в том числе CVV-кoд.
Звонки от «сотрудников» правоохранительных органов и государственных служб. Могут быть озвучены различные подразделения правоохранительных органов, в том числе в рамках расследования случаев телефонного мошенничества. Так же от мошенников, которые представляются работниками Роспотребнадзора или Пенсионного фонда с сообщениями о новых социальных выплатах.
Сообщения о попавшем в беду родственнике и просьбы о помощи. Жертве сообщают о том, что близкий человек попал в беду или нуждается в срочной медицинской помощи. Убеждают никому не сообщать о ситуации. так как это повредит их близкому. Цель — воспользоваться паникой и эмоциональным состоянием и завладеть денежными средствами.
Сообщения о выигрыше в лотерею, получении крупного приза или скидки. Но требуется вложить денежные средства для решения технических вопросов, оформления или отправки документов и прочее.
Сообщения о желании купить товар по объявлению жертвы. Мошенник предлагает осуществить оплату через пополнение карты жертвы и якобы для этого нужны её данные и код из СМС сообщения.
Сообщения от «лже-работодателя» с предложением работы. Мошенник под видом работодателя озвучивает заманчивое предложение и для начала работы просит установить некие приложения, возможно даже с использованием известных ресурсов. Однако среди ссылок прячут программу с вирусом, который даёт доступ к мобильному банку.

Как и при традиционном фишинге (на основе сообщений электронной почты) или смишинге (на основе текстовых сообщений), при вишинге злоумышленник должен убедить жертву в том, что он поступает правильно, сотрудничая с киберпреступником. Киберпреступники используют убедительный язык и угрозы, чтобы заставить жертву поверить, что у нее нет другого выбора, кроме как передать запрошенные данные. Некоторые киберпреступники используют агрессивные выражения, другие предлагают свою помощь, а третьи притворяются ИТ-специалистами, занимающимися обслуживанием устройства пользователя. Ещё одна тактика, которую используют киберпреступники — оставляют голосовые сообщения, сообщая жертве, что, если она не перезвонит, она рискует получить серьезные последствия^[2].

Способы защиты от вишинга

Самым простым способом защиты от вишинга является внимательность и осведомлённость. Зачастую, жертвами становятся пожилые люди, а они в свою очередь часто являются мало осведомлёнными о новейших способах мошенничества. Основными мерами по защите от вишеров (мошенников) являются следующие действия^[3]:

Если на номер телефона поступает входящий звонок и звонящий представляется сотрудником банка, полиции или службы безопасности, стоит сразу же положить трубку, так как представители данных служб не будут обращаться с каким-либо вопросом по телефону. Вероятнее всего, вам придёт официальное письмо.
Для банковских приложений лучше установить двухфакторную идентификацию, то есть подтверждение входа еще одним способом (СМС на телефон, входящий звонок, письмо на электронную почту). Так мошенникам будет сложнее получить доступ к данным без согласия владельца.
Если же разговор с мошенником все же не завершился с первых секунд, нельзя сообщать данные, благодаря которым можно совершить акт мошенничества: пароли от карт и приложений, CVV-код карты, а также срок её действия, номер СНИЛС, паспортные данные и тому подобное.
Предупредить пожилых и мало осведомлённых о способах мошенничества людей о том, что такое вишинг и как не стать его жертвой.

Уголовная ответственность за мошенничество

Статьей 159 Уголовного кодекса Российской Федерации установлена уголовная ответственность за мошенничество, под которым понимается хищение чужого имущества или приобретение права на чужое имущество путём обмана или злоупотребления доверием. Наказание в этом случае предусмотрено вплоть до лишения свободы на срок до двух лет. За мошенничество, совершённое группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину (свыше десяти тысяч рублей) максимальное наказание может составить до пяти лет лишения свободы^[5].

Примечания

↑ ^{Перейти обратно: 1,0} ^1,1 ^1,2 Пивнева К. Bишинг - чтo этo тaкoe пpocтыми cлoвaми (неопр.). 1М Банк (12 декабря 2024). Дата обращения: 5 февраля 2025.
↑ ^{Перейти обратно: 2,0} ^2,1 ^2,2 Куренная В. О. Фишинг и вишинг в информационной безопасности // Научно-образовательный журнал для студентов и преподавателей "StudNet" : журнал. — 2022. — № 6. — С. 7214—7218.
↑ ^{Перейти обратно: 3,0} ^3,1 ^3,2 Михеев Б., Карайчев А. Мошенничество по телефону: виды, способы защиты, проверка номера, советы эксперта (неопр.). Комсомольская правда. Дата обращения: 6 февраля 2025.
↑ Фёдоров Д. Что вы предпочитаете? Фишинг или вишинг? (неопр.). KP.KZ (21 июня 2023). Дата обращения: 6 февраля 2025.
↑ Прокурор разъясняет (неопр.). Прокуратура Московской области. Дата обращения: 6 февраля 2025.

[:0-1] {Перейти обратно: 1,0} ^1,1 ^1,2 Пивнева К. Bишинг - чтo этo тaкoe пpocтыми cлoвaми (неопр.). 1М Банк (12 декабря 2024). Дата обращения: 5 февраля 2025.

[:1-2] {Перейти обратно: 2,0} ^2,1 ^2,2 Куренная В. О. Фишинг и вишинг в информационной безопасности // Научно-образовательный журнал для студентов и преподавателей "StudNet" : журнал. — 2022. — № 6. — С. 7214—7218.

[:2-3] {Перейти обратно: 3,0} ^3,1 ^3,2 Михеев Б., Карайчев А. Мошенничество по телефону: виды, способы защиты, проверка номера, советы эксперта (неопр.). Комсомольская правда. Дата обращения: 6 февраля 2025.

[4] Фёдоров Д. Что вы предпочитаете? Фишинг или вишинг? (неопр.). KP.KZ (21 июня 2023). Дата обращения: 6 февраля 2025.

[5] Прокурор разъясняет (неопр.). Прокуратура Московской области. Дата обращения: 6 февраля 2025.

[1]

[2]

[3]

[4]

[5]