Вишинг
У липні 2006 р. з'явилася нова напасть - вишинг (vishing). Це різновид фишинга, що укладається у використанні war diallers (автонабирателей) і можливостей інтернет-телефонії (VoIP) для крадіжки особистих конфіденційних даних, таких як паролі доступу, номера банківських і ідентифікаційних карт і т.д. Схема обману, по суті, та ж: клієнти якої-небудь платіжної системи одержують по електронній пошті повідомлення нібито від її адміністрації або служби безпеки із проханням указати свої рахунки, паролі й т.п. Але якщо при фишинге посилання в повідомленні ведуть на підроблений сайт, де й відбувається крадіжка інформації, то у випадку вишинга в ньому пропонується набрати певний міський номер. Що позвонили зачитується повідомлення, у якому потенційну жертву просять видати свої конфіденційні дані.
Власників такого номера знайти непросто, оскільки з розвитком інтернет-телефонії дзвінок по міському телефоні може бути автоматично переспрямований у будь-яку крапку земної кулі на віртуальний номер. Звонящий же ні про що не догадується.
Компанія Secure Computing зштовхнулася з більше витонченим способом обману, коли електронна пошта взагалі не використовується. Злочинці програмують комп'ютер так, щоб він набирав телефонні номери з довгого списку й програвав записане повідомлення кожному, хто відповість. У цьому повідомленні людини попереджають, що інформація про його кредитну карту потрапила до шахраїв, і просять увести із клавіатури телефону номер.
Застосування протоколу VoIP допомагає знизити видатки на телефонний зв'язок, але разом з тим робить мережі компаній більше уразливими для атак. Банки й інші організації, що використовують для голосового зв'язку IP-Телефонію, ризикують піддати себе вишинг-атакам, для профілактики яких поки немає коштів. Про це заявив експерт в області інформаційної безпеки, що називає себе The Grugq, на конференції Hack In The Box Security Conference (HITB) у Малайзии. "Злочинці одержать можливість проникати в банківські мережі й установлювати контроль над їхніми телефонними каналами", - переконаний The Grugq. На його думку, вишинг-атаки через VoIP будуть зафіксовані вже до кінця поточного року. Зловмисники одержать доступ до персональних даних, у тому числі номерам кредитних карт і обліковий банковской інформації, і лише деякі фахівці в області інформаційної безпеки зможуть їм перешкодити. "Теоретично ви дзвоните у свій банк, а клієнтська телефонна лінія вже захоплена хакерами", - припускає The Grugq. У випадку розвитку подій по такому сценарії шахрай попросить повідомити облікову інформацію перед тим, як зв'язатися із представником служби підтримки клієнтів. "Немає ніякій технології, що дозволяє компаніям упоратися із цією проблемою", - заявив експерт, відзначивши, що існуючі системи для виявлення нападів не здатні визначити факт VoIP-Атаки. Для її організації хакерам зараз досить звичайного ПО для підтримки IP-Телефонії або биллинга телефонних розмов.
Відповідно до інформації від Secure Computing, зловмисники конфігурують war dialler, що набирає номера в певному регіоні, і в момент відповіді дзвінок, відбувається наступне:
• автовідповідач попереджає споживача, що з його картою провадяться шахрайські дії, і пропонує негайно передзвонити по певному номері.Це може бути 0800, часто з вигаданим ім'ям, що дзвонив від особи фінансової організації;
• коли по цьому номері передзвонюють, на іншому кінці проведення відповідає типово "комп'ютерний" голос, що повідомляє, що людина повинен пройти звірення даних і ввести 16-значный номер карти із клавіатури телефону;
• як тільки номер уведений, вишер стає власником всієї інформації (номер телефону, повне ім'я, адреса), необхідної для того, щоб, приміром, обкласти карту штрафом;
• потім, використовуючи цей дзвінок, можна зібрати й додаткову інформацію, таку як PIN-Код, термін дії карти, дата народження, номер банківського рахунку й т.п.
Як захиститися від подібного? Насамперед, потрібно викликати на допомогу здоровий глузд:
• ваш банк (або кредитна компанія) по телефоні й по електронній пошті звичайно звертається до клієнта по ім'ю й прізвищу. Якщо це не так, те, швидше за все, ви зштовхнулися із шахрайством;
• не можна дзвонити з питань безпеки кредитної карти або банківського рахунку по запропонованому вам номеру телефону. Для дзвінків в екстрених випадках на звороті платіжних карт зазначений спеціальний телефонний номер. Якщо дзвінок легітимний, то в банку зберігається його запис;
• якщо ж вам дзвонить хтось, що представляється вашим провайдером, і задає питання, що стосуються ваших конфіденційних даних, то відразу ж повісьте трубку.
Поки серйозних інцидентів такого роду не відзначено. Але тільки поки...
Алан Нунн, старший фахівець із технологій компанії Newport Networks, що продає технології VoIP, визнав, що, імовірно, між фахівцями, що намагаються зупинити поширення нового виду шахрайства, і шукаючих жертв злочинцями розгорнеться "гонка озброєнь": "Зловмисники поки перебувають у стадії експериментування. Але одночасно із цим відбувається й реальне шахрайство". Ясно, що компанії, що спеціалізуються на інтернет-телефонії, поступово повинні будуть почати ряд технічних мір для рішення виниклих проблем. Як відомо, багато інтернет-провайдери мають чорні списки адрес, з яких розсилається спам. Повинні бути складені аналогічні списки абонентів, що займаються вишингом, щоб будь-який вихідний від них дзвінок блокувався до того, як він дійде до адресата.