Ας δούμε τώρα ένα όχι και τόσο σπάνιο σενάριο. Είστε χρήστης μιας πλατφόρμας κοινωνικής δικτύωσης. Κάνετε κλικ σε ένα link και αυτόματα η οθόνη γίνεται μπλε, ενώ εμφανίζεται ένα προειδοποιητικό μήνυμα που σας παροτρύνει να καλέσετε έναν -χωρίς χρέωση- αριθμό για την επιδιόρθωση της σοβαρής βλάβης του υπολογιστή σας. Εσείς το καλείτε και ένας ευγενέστατος τεχνικός απαντά και σας υπόσχεται ότι θα επιδιορθώσει τα πάντα πλήρως, με κάποιο αντίτιμο φυσικά. Στη συνέχεια, δίνετε τα στοιχεία της κάρτας σας για να πληρώσετε για το software που θα σας “σώσει”. Φυσικά το λογισμικό δεν λειτουργεί και ο τεχνικός εξαφανίζεται. Μόλις γίνατε θύμα vishing.
Το vishing είναι μια μορφή επίθεσης, που χρησιμοποιεί λεκτικά μέσα για να πείσει τους χρήστες ότι πρέπει να κάνουν κάτι συγκεκριμένο που θα λύσει ένα πρόβλημα του υπολογιστή. Πολλές φορές το vishing είναι η συνέχεια του phishing.
Το link στο οποίο οι χρήστες κάνουν κλικ, είναι συνήθως μια online διαφήμιση που σχετίζεται με τα προσωπικά του ενδιαφέροντα. Το malware ήταν ήδη εγκατεστημένο στο link και κατά την επιλογή του κλειδώνει το σύστημα και μόνο ο κακόβουλος τεχνικός μπορεί να το αναιρέσει.
Πόσο συνήθεις είναι όμως οι επιθέσεις vishing;
Γενικότερα οι επιθέσεις που είχαν ως στόχο πιστωτικές κάρτες παγκοσμίως το 2015, κόστισαν 16 δισεκατομμύρια δολάρια. Το vishing έφτασε το 1 δισεκατομμύριο. Στην ουσία, τέτοια επίθεση μπορεί να προκύψει οποτεδήποτε ένας hacker αποκτήσει πρόσβαση σε προσωπικές πληροφορίες θυμάτων.
Το vishing καρποφορεί όταν οι cybercriminals δεν γνωρίζουν παρά ελάχιστα στοιχεία για τα ενδιαφέροντα των χρηστών. Στο τέλος δημιουργούν την αίσθηση επείγουσας ανάγκης για την επίλυση ενός προβλήματος και ξεγελούν ότι πρόκειται να το κάνουν.
Ποια είναι τα σημάδια που θα σας αφυπνίσουν για το vishing;
Εάν οι “τεχνικοί” είναι νόμιμοι, δεν θα πρέπει να είναι δύσκολο να πιστοποιήσετε την επαγγελματική τους ταυτότητα με ένα απλό τηλεφώνημα. Εάν δεν μπορούν ή δε δίνουν τις απαραίτητες πληροφορίες για την επαλήθευση της ταυτότητάς τους, δεν είναι άξιοι εμπιστοσύνης. Εάν από την άλλη παρέχουν πληροφορίες επικοινωνίας, εξακολουθεί να είναι σημαντικό να επαληθεύσετε την ταυτότητά τους, χρησιμοποιώντας έναν δημόσιο τηλεφωνικό αριθμό για να καλέσετε τον εν λόγω οργανισμό.
Είναι απόλυτα κατανοητό ότι κατά τη διάρκεια μιας επείγουσας ανάγκης, το μυαλό θολώνει. Αυτός είναι ο λόγος που πρέπει να υπάρχει ψυχραιμία και άμεση καταγραφή των πληροφοριών του τεχνικού, χωρίς να δοθούν του χρήστη.
Είναι πολύ σημαντικό να μην υπάρξει καμία ανταπόκριση στις μετέπειτα ενέργειες του τεχνικού, όπως σε SMS ή emails γιατί πιθανότατα πρόκειται για συνέχεια του vishing.
Δεν πρέπει να ξεχνάμε ότι ένας τεχνικός που όντως επιχειρεί να σώσει έναν υπολογιστή από ένα malware, θα συμβουλεύει έντονα τον χρήστη να αλλάξει κωδικούς πρόσβασης σε λογαριασμούς, να ενημερώσει τις τράπεζες και τις εταιρείες των πιστωτικών καρτών και να παρακολουθεί στενά τις οικονομικές συναλλαγές.
