Многие наверняка сталкивались с вишингом (англ. vishing – voice+phishing) - вид мошенничеством, при котором злоумышленники посредством телефонной связи вынуждают человека сообщить им свои конфиденциальные банковские или персональные данные либо стимулируют к совершению определенных действий со своим банковским счетом или банковской картой. Мошенники при этом искусно играют определенную роль (как правило, сотрудника банка, технического специалиста и т.д.) и используют приемы, методы и технологии социальной инженерии.
Фактически, если у вас давно один и тот телефонный номер, вы вполне можете получать мошеннических звонков больше (возможно, даже намного больше), чем настоящих, так что вы уже понимаете с чем сталкиваетесь.
К сожалению, номер, который отображается в истории вызовов не показывает вам, где на самом деле находится вызывающий абонент.
Во-первых, идентификатор вызывающего абонента легко подделать, поэтому мошенники могут скрыть свой реальный номер или создать впечатление, будто звонят откуда-то, кому вы доверяете, например, из вашего банка.
Во-вторых, если это не подделка, идентификатор вызывающего абонента не показывает вам, где в конечном итоге закончится ответный вызов, а просто сообщает последний известный номер телефона, который он прошел по пути к вам.
Колл-центр (или киберпреступник) звонит из-за границы, используя услугу передачи голоса по IP (VoIP), при которой звонок дешево передается через Интернет. Вы же будете видеть местный номер в истории звонков, но на самом деле это не будет идентификатор звонящего. Всегда помните, что имя вызывающего абонента вводит в заблуждение, потому что оно вообще не идентифицирует человека, который звонил. Даже идентификация вызывающей линии - это неточное информация, учитывая, что отображаемый номер может быть изменен и, следовательно, также не может надежно идентифицировать вызывающую линию.
Перезвоните нам
Таким образом, идентификатору вызывающего абонента нельзя доверять, и неожиданные телефонные звонки, так же, как и нежелательные электронные письма, в большинстве случаев могут исходить от кого угодно.
Вот почему в наши дни многие сбрасывают все звонки на голосовую почту и отвечают только на наиболее вероятные.
Помня об этом, вы можете задаться вопросом, почему мошенники все еще используют мошеннические схемы с использованием телефона - BazarCaller, особенно когда оно требует взаимодействия с человеком каждый раз, когда кто-то отвечает на звонок, в отличие от мошенничества в Интернете, которое далеко не всегда требует личного контакта.
Ответ, конечно же, заключается в том, что разнообразие придает жизни новые смыслы, и к сожалению, разнообразие - один из секретов мошенничества.
Иногда достаточно просто отличаться от того, чего всех просили остерегаться, чтобы заставить жертв ослабить бдительность.
Еще одно преимущество мошенников в использовании того, что вы могли бы назвать мошенничеством, осуществляемым людьми, а не чистым онлайн-мошенничеством, заключается в том, что мошенники в колл-центре имеют дело только с людьми, которые уже достаточно обеспокоены, чтобы перезвонить по собственному желанию.
Другими словами, мошенничество с обратным вызовом может быть более трудоемким способом взаимодействия с каждой потенциальной жертвой, но:
- Многие люди чувствуют себя комфортно при выполнении рискованных действий на компьютере, таких как установка неизвестного программного обеспечения, если с ними одновременно разговаривает человек из «службы поддержки ИТ».
- Мошенники могут адаптироваться и реагировать в режиме реального времени на возражения или опасения, которые могут возникнуть у потенциальных жертв, таким образом удерживая этих абонентов на крючке намного дольше, чем если бы они были предоставлены самим себе.
Сначала позвоните нам
Как вы, наверное, знаете, существует огромная область гибридного мошенничества, в которой сочетаются обман посредством электронной почты и по телефону.
Мошенническая техподдержка – это самый простой уровень, когда находят на вашем компьютере поддельные вирусы, а затем берут с вас реальные деньги за то, что притворяются и удаляют их, - они делают это годами.
Злоумышленники знают, что потенциальных жертв учили «не переходить по ссылкам» и «остерегаться хитрых всплывающих ссылок», поэтому многие мошенники в наши дни предлагают вам позвонить на местный телефонный номер вместо того, чтобы щелкнуть ссылку или открыть вложение.
Сначала кажется, что это должно быть безопасно, потому что вы не сразу открываете свой браузер или компьютер для сайта или файла, в которых не уверены.
Вы можете подумать, что всегда есть шанс составить собственное мнение о «эксперте службы поддержки» на другом конце провода перед тем, как ввести только что предоставленную ссылку или установить только что рекомендованное программное обеспечение.
Не нажимайте, вместо этого позвоните нам
К сожалению, как упоминали ранее, этот трюк «не нажимайте на опасную ссылку, а звоните по удобному номеру телефона» используют не только мошенники из службы технической поддержки.
В апреле 2021 года было выявлено, что группа злоумышленников использует похожий трюк, чтобы уговорить вас заразить самих себя их вредоносным ПО, известным как BazarLoader, тем самым давая им точку входа на компьютер пользователя для проведения практически любых кибератак, которые они захотят:
Вместо того, чтобы пробовать украсть ваши данные или пытаться установить программу-вымогатель, мошенники, которые разговаривают с вами по телефону, услужливо объясняют, как открыть зараженный файл Office, который они вам прислали.
Обманным путем заставляя обходить проверки безопасности, которые в противном случае могли бы защитить вас, они внедряют на ваш компьютер универсального бота или зомби-программу, которая может:
- Скачать и запустить другие программы, маскируя их под рядовые приложения, такие как Блокнот или Проводник.
- Загрузить и запустить библиотеки DLL, программные модули Windows, которые многие считают более безопасными, чем файлы EXE, потому что они не являются автономными программами, которые вы можете запускать как приложения сами по себе.
- Загрузить и запустить командный файл или сценарий PowerShell. В наши дни PowerShell широко используется системными администраторами, поскольку с его помощью можно легко создавать полноценные программы Windows в виде простых текстовых файлов.
- Стереть себя с диска. Удаляя свои вредоносные инструменты после атаки, злоумышленники усложняют вам понимание того, что произошло, и, таким образом, затрудняют понимание того, на что обращать внимание в будущем.
BazarLoader вернулся
Недавно Microsoft выпустил статью с весьма говорящим заголовком: BazaCall: Фальшивые колл-центры приводят к кражам и ransomware
Как вы понимаете, Microsoft принимает такой вид атаки, по крайней мере, так же лично, как и кто-либо другой, не в последнюю очередь потому, что основным средством проникновения вредоносного ПО, которое используют мошенники BazarLoader / BazarCaller, является уговаривание вас заразить себя через файл Microsoft Office.
По иронии судьбы, мошенники делают вид, что файл «защищен» и, следовательно, с ним нужно обращаться особым образом - что-то, о чем мошенник как «специалист службы поддержки» бойко и радостно расскажет вам и обьяснит, что с этим нужно сделать.
Конечно, «особый способ» обработки «защищенного» файла, показанный выше как РАЗРЕШИТЬ РЕДАКТИРОВАНИЕ и РАЗРЕШИТЬ СОДЕРЖАНИЕ, включает отключение настроек безопасности Microsoft по умолчанию, что позволяет запускать вредоносное ПО, встроенное в файл Office, а не блокировать его.
В последнем акте атаки мошенники BazarCaller по электронной почте призывают позвонить им, если вы хотите «разрешить покупку», которая только что была списана с вашей учетной записи, например:
- Преобразование пробной версии программного обеспечения в платный пакет «премиум» с автоматическим выставлением счетов. (Позвоните, чтобы узнать подробности или отменить, если это ошибка и т. д.)
- Присоединение к фитнес-программе, к которой вы проявили интерес. (Позвоните с указанным личным идентификатором для получения помощи или подробностей и т. д.)
- Авто-продление подписки на услугу, в которой уже участвуете. (Позвоните, если хотите отменить и т. д.)
Мошенники знают, что вы точно не намеревались совершать или санкционировать покупку, о которой они вас предупреждают.
Они также надеются, что вы захотите проверить, как произошла «ошибка», и снять списание с вашей карты.
Не делай этого!
Что делать?
- Никогда не предполагайте, что позвонить по номеру телефона безопаснее, чем щелкнуть веб-ссылку. В любом случае вы можете напрямую столкнуться с киберпреступниками.
- Никогда не полагайтесь на контактную информацию, предоставленную посторонним лицом. Если вы обеспокоены несанкционированными платежами, снятыми с вашей карты, обратитесь за помощью напрямую в свой банк или к провайдеру карты. Всегда используйте номер телефона или веб-сайт, указанный на обратной стороне вашей физической карты, или напечатанный в документации, которая уже находится в вашем распоряжении.
- Никогда не изменяйте настройки безопасности на своем компьютере, потому что это сказал кто-то, кого вы не знаете. Если вам интересно, безопасна ли ссылка для загрузки или файл Office безопасен для открытия, найдите кого-то, кого вы уже знаете и которому доверяете (например, сотрудника вашей собственной ИТ-команды с работы или надежного друга в вашем собственном кругу) и спросите их напрямую.
- Никогда не чувствуйте себя обязанным перезвонить по номеру, даже если вам угрожают или льстят. Если у вас есть уязвимые друзья или родственники, которых, по вашему мнению, можно легко ввести в заблуждение по телефону, убедитесь, что они знают, что вам нужно позвонить в первую очередь.
Помните, что преступники, подобные команде BazarCaller, уговаривают людей зарабатывая себе на жизнь заражением вредоносными программами, в том числе программами-вымогателями.
Киберпреступники такого типа обычно имеют гораздо больше практики в том, чтобы говорить вам то, что вы хотите слышать и так как вы хотите это слышать, чем у вас, когда вы пытаетесь разобраться, что из услышанного является правдой, а что нет.
Никогда не стоит забывать главное правило - ваша безопасность в первую очередь зависит от вас. А если вам или вашей компании нужна помощь в вопросах кибербезопасности, то компания InfoTel может помочь вам разобраться в этой задачей и оставить заботы о защите ваших данных нашей команде профессионалов.
InfoTel – широкопрофильный системный интегратор комплексных телекоммуникационных и информационных решений, опыт внедрения с 2004 г.