Вишинг: что это, как работает и как защититься?

Один из самых опасных подводных рифов в океане интернета − вишинг. Это слово, рожденное от английского voice phishing (голосовой фишинг), обозначает одну из самых распространенных форм цифрового обмана. В этой статья мы узнаем, как работает этот вид мошенничества и как от него защититься.

Что такое вишинг в интернете простыми словами

Проще говоря, вишинг − это, когда мошенник звонит вам по телефону и, притворяясь кем-то другим, пытается выманить ваши деньги или секретные данные, а неосознанная передача этих сведений может повлечь за собой серьезную ответственность за дропперство, если скомпрометированный счет будет использован для отмывания преступных доходов. Цель этого звонка − вызвать у вас мгновенную панику. В состоянии стресса человек теряет способность мыслить критически.

Если классический фишинг, что он собой представляет, мы уже обсуждали, это наживка в электронном письме, то вишинг − это голосовая приманка, заброшенная прямо к вам в ухо через динамик смартфона. Представьте, вам на телефон поступает звонок. На экране высвечивается официальный номер вашего банка. Спокойный, уверенный голос на том конце провода представляется сотрудником службы безопасности банка.

«Сотрудник» банка сообщает тревожную новость: с вашего счета якобы пытаются совершить подозрительную операцию, кто-то хочет перевести крупную сумму денег или ваша карта заблокирована из-за хакерской атаки. Мошенник мастерски играет на ваших эмоциях, создавая иллюзию срочности. Пока вы напуганы, он начинает «помогать», чтобы «спасти» ваши деньги. Главный парадокс вишинга заключается в том, что мы привыкли доверять голосу.

Чем вишинг отличается от других атак

Чтобы понять уникальность вишинга, нужно сравнить его с другими «родственниками» − смишингом и претекстингом. Цель вишинга − заставить человека добровольно передать деньги, коды подтверждения, доступ к аккаунтам или конфиденциальную информацию, и для ее достижения мошенники активно используют целый арсенал технических приемов кибермошенничества, таких как подмена номера (спуфинг) и создание фальшивых интерактивных голосовых меню.

Смишинг − это ловушка, доставленная через текстовое сообщение. Сила его  кроется в его предельной простоте и прямоте. Сообщение всегда преследует одну из двух целей: вызвать панику или сыграть на любопытстве. В первом случае вам сообщают о проблеме, требующей немедленного решения. Во втором − мошенники играют на желании получить что-то даром или стать первым. И там, и там, цель смишинга − заставить вас действовать импульсивно, не задумываясь.

Суть претекстинга заключается не в техническом взломе, а в психологической манипуляции. Это заранее подготовленный сценарий, разыгрываемый по ролям, где мошенник создает вымышленный повод, чтобы войти в доверие к жертве и получить от нее конфиденциальную информацию или заставить совершить определенное действие. Это атака, которая бьет в самое сердце человеческого доверия − в нашу склонность помогать, следовать правилам и верить авторитетам.

Как работает вишинг атака

Чтобы понять механику этой атаки, давайте проследим за ее классическим и очень коварным сценарием: предложением оформить срочный займ на выгодных условиях в Москве. Акт первый: создание иллюзии. Мужчина представляется сотрудником «Единого центра финансовой поддержки». Но вместо стандартного предложения следует нечто невероятное. Сотрудник сообщает, что банк-партнер проводит эксклюзивную акцию для проверенных клиентов.

Допустим, вам одобрен заем по ставке 0% годовых. Никаких переплат, комиссий и страховок. Сумма − до 100 тысяч рублей. Это акт второй: крючок с наживкой. Здесь в игру вступают два мощнейших психологических триггера: жадность и дефицит − «Акция действует всего несколько часов», «Осталось последнее место», «Решение нужно принять прямо сейчас». Эта искусственная спешка отключает критическое мышление.

Акт третий: постановочная проверка. Чтобы все выглядело максимально правдоподобно, мошенник имитирует рабочий процесс. Он просит оставаться на линии, пока «система обрабатывает данные». Затем следует ключевая реплика: «Для финального подтверждения вашей личности и зачисления средств мне нужен код из СМС, которое вам сейчас придет». Как только последний символ кода произнесен, спектакль окончен и звонок прерывается. И вы получает настоящее уведомление от своего банка о списании средств.

Виды вишинга

Вишинг − это не единая тактика, а целое семейство мошеннических схем, объединенных лишь одним инструментом: человеческим голосом. Именно поэтому он так опасен для людей в поиске быстрых финансовых решений, например, когда они ищут ответ на вопрос: где взять деньги студенту, и могут стать легкой мишенью для атак под видом выгодных займов. У вишинга есть несколько основных разновидностей, нацеленных на разные страхи и ожидания жертвы.

Классический «банковский» вишинг − это самый распространенный и узнаваемый вид атаки. Его цель − заставить человека поверить, что его сбережения находятся под угрозой. Вишинг от имени государственных органов − этот вид атаки нацелен на запугивание жертвы юридической ответственностью и давлением авторитета государственной структуры. Механика такого вида достаточно жесткая.  Лже-следователь ведет строгий допрос, угрожая уголовным делом.

При техническом вишинге, также известном как «поддержка», мошенники выдают себя за сотрудников службы помощи известных компаний, таких как операторы связи, IT-сервисы или онлайн-магазины. Например, говорят о сбое в сети оператора или несанкционированном входе в ваш аккаунт. Разновидность «инвестиционный вишинг играет» на жадности и желании быстро разбогатеть, предлагая легкий заработок. Жертве предлагают уникальную возможность вложиться в акции или другие активы с гарантированной сверхвысокой доходностью.

Как защититься от вишинга и инструменты защиты

Давайте узнаем, как защититься от вишинга. Самый простой и эффективный инструмент − это кнопка «Сбросить вызов». Если номер не записан в вашей телефонной книге, а на экране высвечивается незнакомая комбинация цифр или код города, к которому вы не имеете отношения, лучший ответ − молчание. Не вступайте в диалог. Любое ваше «алло» может быть расценено как подтверждение активности номера, после чего звонки посыплются с новой силой.

Самые опасные атаки часто бывают персонализированными. Здесь вступает в силу главный защитный механизм − ваш разум. Помните, что настоящие сотрудники банков, полиции или госорганов никогда не будут запрашивать по телефону конфиденциальные данные: полные реквизиты карты (особенно CVV/CVC-код), пароли от онлайн-банка, коды из СМС или просить перевести деньги на «безопасный счет». Любой такой запрос − это стопроцентный признак мошенничества.

Будьте готовы к тому, что сценарий может быть любым. Сегодня это «служба безопасности», завтра − «следователь ФСБ», а послезавтра − «оператор лотереи, сообщающий о выигрыше автомобиля». Чем более фантастической кажется история, тем больше шансов, что это обман. Противостоять изощренным психологическим манипуляциям можно лишь сочетанием технологий, знаний и холодной выдержки, но если вы все же стали жертвой обмана, важно знать, куда обращаться по факту мошенничества, чтобы минимизировать ущерб.