‘Vishing’ กลายเป็นภัยคุกคามทางไซเบอร์ใหม่: มันคืออะไร?

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของเอฟบีไอและกระทรวงความมั่นคงแห่งมาตุภูมิกำลังจริงจังกับการฟิชชิงด้วยเสียงหรือที่เรียกว่า vishing ซึ่งเป็นภัยคุกคามใหม่ในการรับเงินอย่างผิดกฎหมาย

Vishing คล้ายกับฟิชชิงอีเมลยกเว้นว่าอาชญากรจะได้รับข้อมูลส่วนตัวและข้อมูลทางการเงินที่ละเอียดอ่อนโดยใช้โทรศัพท์ เป้าหมายของหลักสูตรคือเงิน

ในช่วงกลางเดือนกรกฎาคมปี 2020 อาชญากรไซเบอร์เริ่มแคมเปญ vishing ที่หลาย บริษัท เอฟบีไอและ CISA กล่าวว่าในการให้คำปรึกษาที่ผ่านมา

แฮ็กเกอร์ชาวอิหร่านที่ไม่เปิดเผยตัวซึ่งติดอาวุธด้วยค่าไถ่เป็น บริษัท ที่ตั้งเป้าไว้ทั่วโลก

“ โดยปกติแล้วการหลอกลวงประเภทนี้อาชญากรจะนำเหยื่อไปยังเพจหลอกลวงที่จำลองพอร์ทัลการเข้าสู่ระบบที่ถูกต้อง” Daniel Smith หัวหน้าฝ่ายวิจัยด้านความปลอดภัยของ Radware กล่าว

“ คนร้ายมักแอบอ้างเป็น บริษัท หรือบริการจากนั้นขอให้บุคคลทางโทรศัพท์ป้อนข้อมูลการเข้าสู่ระบบและรหัสผ่านบนเว็บไซต์หลอกลวงเพื่อรวบรวมข้อมูลของเหยื่ออย่างมีประสิทธิภาพ” สมิ ธ กล่าวเสริม

FBI และ CISA เสนอเคล็ดลับและวิธีรายงานเหตุการณ์ในหน้าคำแนะนำ

การระบาดใหญ่ของ COVID-19 กำลังขับเคลื่อนสิ่งนี้ “ [การระบาดใหญ่] ส่งผลให้มีการเปลี่ยนไปทำงานจากที่บ้านเป็นจำนวนมากส่งผลให้มีการใช้งานเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรเพิ่มขึ้นและการยกเลิกการยืนยันตัวบุคคล” ที่ปรึกษากล่าว

ALEXA ของ AMAZON มีข้อบกพร่องด้านความเป็นส่วนตัวที่ร้ายแรงนักวิจัยกล่าวว่า

นี่คือวิธีการตั้งค่า vishing ในกรณีที่ FBI และ CISA อธิบาย:

อาชญากรได้ลงทะเบียนเว็บไซต์และสร้างเพจฟิชชิ่งปลอมที่ซ้ำหน้าล็อกอิน Virtual Private Network (VPN) ของ บริษัท
พวกเขาจะได้รับการยืนยันตัวตนด้วยสองปัจจัย (2FA) หรือรหัสผ่านครั้งเดียว (OTP) ที่ได้รับการยืนยันในบางกรณีโดยพนักงานที่ไม่สงสัย
อาชญากรสร้างรูปแบบการตั้งชื่อที่อยู่ทางอินเทอร์เน็ตซึ่งตัวอย่างเช่นที่อยู่ดูเหมือนจะมาจากพนักงานหรือเจ้าหน้าที่ฝ่ายสนับสนุนจาก บริษัท
พวกเขาเก็บเกี่ยวโปรไฟล์สาธารณะของพนักงานเพื่อรวบรวมเอกสารเกี่ยวกับพนักงาน สิ่งนี้ทำได้โดยการ “คัดลอกจำนวนมาก” ของโปรไฟล์สาธารณะบน “แพลตฟอร์มโซเชียลมีเดียนายหน้าและเครื่องมือทางการตลาดบริการตรวจสอบภูมิหลังที่เปิดเผยต่อสาธารณะและการวิจัยแบบโอเพนซอร์ส” ที่ปรึกษากล่าว สิ่งนี้ทำให้อาชญากรสามารถรวบรวมชื่อที่อยู่บ้านหมายเลขโทรศัพท์ส่วนตัวและตำแหน่งของ บริษัท ได้
คนร้ายใช้หมายเลขปลอมของสำนักงานและพนักงานอื่น ๆ ใน บริษัท เหยื่อเพื่อกำหนดเป้าหมายไปที่พนักงานที่ไม่สงสัย
ในรูปแบบหนึ่งอาชญากรสวมรอยเป็นสมาชิกของฝ่ายช่วยเหลือด้านไอทีของ บริษัท เหยื่อที่ปรึกษากล่าวเสริม พวกเขาจะได้รับความไว้วางใจจากพนักงานเป้าหมายโดยใช้ข้อมูลส่วนบุคคลของพนักงานเช่นชื่อตำแหน่งและที่อยู่บ้าน

“ จากนั้นนักแสดงก็โน้มน้าวพนักงานเป้าหมายว่าจะมีการส่งลิงก์ VPN ใหม่และต้องมีการเข้าสู่ระบบรวมถึง 2FA หรือ OTP ด้วย” ที่ปรึกษาอธิบาย“ นักแสดงบันทึกข้อมูลที่พนักงานให้ไว้และใช้แบบเรียลไทม์เพื่อ เข้าถึงเครื่องมือขององค์กรโดยใช้บัญชีของพนักงาน ในบางกรณีพนักงานที่ไม่สงสัยได้อนุมัติพรอมต์ 2FA หรือ OTP ไม่ว่าจะโดยบังเอิญหรือเชื่อว่าเป็นผลมาจากการเข้าถึงก่อนหน้านี้ที่มอบให้กับผู้แอบอ้างที่ให้ความช่วยเหลือ”

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าวว่าการวิชชิ่งมีประสิทธิผลเนื่องจากผู้ไม่ประสงค์ดีมักจะทำการวิจัยพนักงานอย่างละเอียดก่อนที่จะโทร

“ พวกเขาอาจรู้จักชื่อและตำแหน่งของพนักงานจาก LinkedIn และยังมีความเข้าใจว่าองค์กรของคุณมีโครงสร้างอย่างไร (เจ้านายของคุณคือใคร)” Lisa Plaggemier หัวหน้าฝ่ายกลยุทธ์ของ MediaPro ในซีแอตเทิลกล่าวกับ Fox News“ พวกเขาอาจ รู้ว่าคุณใช้เทคโนโลยีและเครื่องมืออะไรจากโพสต์โซเชียลหรือการตลาดของ บริษัท ของคุณเองหรือแม้แต่ประกาศรับสมัครงาน”