ویشینگ (Vishing) چیست و چگونه انجام می شود؟

ویشینگ (Vishing) چیست و چگونه انجام می شود؟

Vishing مخفف “Voice Phishing” هست، روشی برای فریب افراد از طریق تماس تلفنی که در اون مهاجم تلاش میکنه تا اطلاعات حساس قربانی رو به دست بیاره. اگر به آموزش هک و امنیت علاقه دارید در این مقاله با ما همراه باشید.

هدف اصلی این نوع حمله معمولاً دسترسی به اطلاعات مالی، سرقت هویت یا کسب منفعت شخصی از طریق اطلاعات فاش شده هست.

حمله ویشینگ (Vishing) چیست؟

Vishing همون هدفی رو دنبال میکنه که بسیاری از حملات سایبری دارن. در دنیای دیجیتالی امروز، تنها چیزی که بین یک مجرم و پول قربانی فاصله ایجاد میکنه، دسترسی به اطلاعات ورود، شماره کارت های اعتباری یا داده های شخصی هست که بعداً میشه از اون ها برای سرقت هویت یا کلاهبرداری مالی استفاده کرد.

تفاوت بین ویشینگ و فیشینگ (Vishing و Phishing) چیست؟

Vishing، Phishing و Smishing همگی انواع حملات مهندسی اجتماعی هستن که هدف یکسانی دارن، اما از روش های متفاوتی استفاده میکنن:

• Vishing از طریق تماس صوتی انجام میشه. این تماس میتونه از طریق خطوط تلفن ثابت، شبکه موبایل یا سیستم های VoIP (Voice over Internet Protocol) باشه.
• Phishing از طریق ایمیل اجرا میشه و معمولاً شامل لینک های مخرب یا پیوست های آلوده هست.
• Smishing (SMS Phishing) مشابه فیشینگ هست، اما از طریق پیامک انجام میشه.

در انواع حملات فیشینگ و کلاهبرداری های Vishing، مهاجم ممکنه از تکنیکی به نام “Baiting” (طعمه گذاری) استفاده کنه. در این روش، با وعده های دروغین حس کنجکاوی یا طمع قربانی رو تحریک میکنه و بعد او رو متقاعد میکنه که اطلاعات محرمانه خودش رو فاش کنه. بنابراین، هم Vishing و هم Phishing نوعی حمله مهندسی اجتماعی هستن که روی احساسات و واکنش های طبیعی قربانی تمرکز دارن تا اون رو به انجام کاری که معمولاً انجام نمیده، وادار کنن.

چرا حملات ویشینگ (Vishing) انجام می شوند؟

هدف اصلی حملات Vishing، به دست آوردن اطلاعات مالی یا داده های شخصی قربانی هست.

در ارتباطات حضوری، احراز هویت افراد با استفاده از کارت های شناسایی، گواهینامه رانندگی یا کارت های دسترسی امکان پذیر هست. اما از طریق تماس تلفنی، روش های تأیید هویت محدود به چیزیه که فرد میگه.

به همین دلیل، یکی از اصلی ترین دلایل محبوبیت حملات Vishing اینه که اجرای اون ها نسبت به کلاهبرداری های حضوری خیلی آسون تره. مهاجمان بدون نیاز به حضور فیزیکی، فقط با یک تماس و چند ترفند روانشناختی میتونن قربانی رو فریب بدن و اطلاعات مهمش رو به سرقت ببرن.

رایج ترین انواع حملات Vishing

دسترسی به حساب بانکی یا کارت اعتباری

اگر یک مهاجم بتونه اطلاعات حساب بانکی یا کارت اعتباری قربانی رو به دست بیاره، میتونه به دارایی های مالی اون شخص دسترسی پیدا کنه. شماره های مسیریابی بانک ها به راحتی به صورت آنلاین قابل دسترس هستن و در صورتی که مهاجم این اطلاعات رو همراه با شماره حساب قربانی داشته باشه، میتونه اقدام به برداشت یا انتقال وجه به حساب خودش کنه.

به همین شکل، اگر اطلاعات کارت اعتباری شامل شماره کارت، تاریخ انقضا و کد امنیتی در اختیار مهاجم قرار بگیره، میتونه خریدهای تلفنی یا آنلاین انجام بده. حتی در صورتی که این خریدها به عنوان تراکنش های جعلی شناسایی بشن، مهاجم میتونه کالا رو پس بده یا اون رو بفروشه و از این راه سود ببره.

پیشنهادات ناخواسته وام یا سرمایه گذاری

مهاجمان میتونن با ارائه پیشنهادهای مالی جذاب، قربانی ها رو غافلگیر کنن. این پیشنهادها ممکنه شامل فرصت سرمایه گذاری در یک پروژه خاص یا دریافت وام با شرایط ویژه باشه. از اونجایی که انجام این نوع تراکنش های مالی معمولاً نیاز به ارائه اطلاعات مالی شخصی داره، اگه مهاجم بتونه قربانی رو قانع کنه که پیشنهادش واقعی هست، احتمال این که قربانی اطلاعات حساس خودش رو فاش کنه زیاد میشه.

کلاهبرداری از طریق بیمه درمانی یا تأمین اجتماعی

متأسفانه، بسیاری از مهاجمان افراد بیمار یا سالمندان رو هدف قرار میدن. در این نوع حملات، مهاجم از وضعیت جسمانی قربانی سوءاستفاده میکنه تا اون رو متقاعد کنه که باید اطلاعات شخصی خودش رو ارائه بده. مثلاً ممکنه به قربانی وعده بدن که میتونن برای یک طرح رایگان بیمه نام نویسی کنن، پولی رو پس بگیرن، یا چکی دریافت کنن، اما فقط در صورتی که اطلاعات خصوصی خودشون رو ارائه بدن.

کلاهبرداری مالیاتی IRS

در این نوع حمله، مهاجم وانمود میکنه که از طرف اداره مالیات آمریکا تماس گرفته و به قربانی میگه که مشکلی در پرداخت مالیاتش وجود داره. مهاجم از ترس قربانی نسبت به مقامات مالیاتی سوءاستفاده میکنه و به اون پیشنهاد میکنه که برای حل این مشکل یا دریافت بازپرداخت مالیاتی، اطلاعات شخصی خودش رو ارائه بده.

چگونه یک حمله ویشینگ (Vishing) را شناسایی کنیم؟

ایجاد حس اضطرار و فشار روانی

در بیشتر حملات Vishing، مهاجم تلاش میکنه تا حس اضطرار و وحشت رو در قربانی ایجاد کنه. این میتونه شامل پیشنهادهای محدود زمانی باشه یا ارائه یک راه حل فوری برای مشکلی که ممکنه جدی به نظر برسه.

درخواست اطلاعات شخصی از سمت تماس گیرنده

هر زمانی که یک تماس گیرنده از شما اطلاعات شخصی درخواست میکنه، باید مشکوک بشید. هیچ راهی برای تأیید اینکه درخواست اونها واقعی هست یا نه وجود نداره. بهترین کار اینه که اطلاعات خودتون رو ارائه ندید.

ادعای تماس از طرف سازمان های معتبر مثل IRS، Medicare یا تأمین اجتماعی

مهاجمان معمولاً خودشون رو نماینده سازمان هایی معرفی میکنن که مردم به اون ها اعتماد دارن، مثل اداره مالیات، بیمه Medicare یا تأمین اجتماعی. اما یک نماینده واقعی از این سازمان ها، معمولاً اطلاعات کافی درباره شما داره و نیازی به درخواست اطلاعات شخصی از شما نداره. بنابراین، هر تماسی که در اون چنین اطلاعاتی درخواست بشه، به احتمال زیاد یک کلاهبرداری Vishing هست.

چگونه می توان از یک حمله ویشینگ (Vishing) جلوگیری کرد؟

گوشی را جواب ندهید

اگر شماره‌ای مشکوک را مشاهده کردید، اجازه دهید به پیام‌گیر صوتی برود. می‌توانید اهمیت آن را با بررسی پیام‌هایتان تأیید کنید.

به لیست ملی عدم تماس بپیوندید

ثبت‌نام در لیست ملی عدم تماس می‌تواند تعداد تماس‌های تبلیغاتی و همچنین تماس‌های ویشینگ را کاهش دهد. اگر شرکت‌ها با شماره‌های موجود در این لیست تماس بگیرند، ممکن است با جریمه مواجه شوند.

تماس را قطع کنید

اگر شک دارید، تماس را قطع کنید.

دکمه‌ای فشار ندهید یا به درخواست‌ها پاسخ ندهید

تماس‌های ویشینگ خودکار به بازخورد قربانی وابسته‌اند. اگر از فشردن دکمه‌ها یا پاسخ دادن به سوالات خودداری کنید، می‌توانید حمله را متوقف کنید.

هویت تماس‌گیرنده را تأیید کنید

می‌توانید به صورت آنلاین اطلاعاتی درباره تماس‌گیرنده، شرکت او، محل فیزیکی و سایر جزئیات مرتبط جستجو کنید تا اعتبار آن‌ها را بررسی کنید.

چگونه می‌توان از یک حمله ویشینگ (Vishing) بازیابی شد؟

بازیابی از حمله ویشینگ به عوامل زیر بستگی دارد:

ماهیت حمله

اگر اطلاعات مالی خود را ارائه داده‌اید، باید سریعاً بانک یا مؤسسه مالی مربوطه را مطلع کنید.

تیم واکنش به حادثه در سازمان شما

اگر گمان می‌کنید هدف یک حمله قرار گرفته‌اید، باید بلافاصله تیم امنیتی سازمان را در جریان بگذارید.

محافظت در برابر ویروس‌ها در رایانه شخصی

نرم‌افزارهای امنیتی می‌توانند از حملات آینده جلوگیری کنند و مانع از بدافزارهایی شوند که ممکن است برای به اشتراک گذاشتن اطلاعات تماس شما استفاده شوند.

تماس با مؤسسه مالی برای دریافت توصیه‌های حفاظتی

مؤسسه مالی شما می‌تواند بهترین روش‌های محافظت از اطلاعاتی که برای دسترسی به خدماتشان نیاز دارید را ارائه دهد.

در پایان اگر این مطلب براتون مفید و کاربردی بود خوشحال میشیم نظرات و سوالاتتون رو با ما به اشتراک بگذارین.