🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do Centrum zasobów

Czym jest vishing? Jak działa phishing głosowy i jak chronić swoją organizację

Większość ludzi została przeszkolona – a przynajmniej ostrzeżona – by podchodzić z rezerwą do e-maili, w których prosi się o podanie haseł, danych bankowych lub podjęcie pilnych działań. Atakujący o tym wiedzą. To właśnie między innymi dlatego vishing staje się coraz bardziej powszechny: wykorzystuje telefon zamiast e-maila do manipulowania ofiarami, czerpiąc korzyści z zaufania i presji wynikającej z rozmowy na żywo. Zrozumienie, czym jest vishing, jak działa i dlaczego jest skuteczny, to pierwszy krok do tego, by Twoi pracownicy potrafili się przed nim bronić.

Znaczenie terminu „vishing”: co to właściwie znaczy?

Termin „vishing” to połączenie słów „voice” (głos) i„phishing”. Oznacza ataki socjotechniczne przeprowadzane przez telefon – czy to w ramach tradycyjnej rozmowy, połączenia VoIP, czy też, coraz częściej, za pomocą komunikatów głosowych generowanych przez sztuczną inteligencję – których celem jest nakłonienie ofiary do ujawnienia poufnych informacji, przelania pieniędzy lub udzielenia dostępu do systemów.

Znaczenie terminu „vishing” jest w zasadzie takie samo jak „phishing”: polega na oszukaniu kogoś, by zrobił coś, czego by nie zrobił, gdyby wiedział, co się naprawdę dzieje. Różnica tkwi w kanale komunikacji. Podczas gdy w phishingu wykorzystuje się e-maile, a w smishingu – SMS-y, vishing opiera się na rozmowie głosowej, a głos budzi większe zaufanie niż zwykły tekst.

Osoba dzwoniąca, która brzmi pewnie, używa właściwego żargonu i przedstawia wiarygodny scenariusz – na przykład rzekomą weryfikację bezpieczeństwa z banku, zgłoszenie do pomocy technicznej IT czy dostawcę potwierdzającego szczegóły płatności – może przekonać pracowników, którzy w e-mailu natychmiast zorientowaliby się, że to oszustwo.

Jak działa atak typu vishing

Ataki typu vishing rzadko są przypadkowe. Atakujący zazwyczaj zbierają informacje o ofierze przed wykonaniem połączenia, korzystając z serwisu LinkedIn, stron internetowych firm, danych z poprzednich wycieków lub informacji zebranych podczas wcześniejszych prób phishingu. Im więcej atakujący wie o ofierze i jej organizacji, tym bardziej przekonująca może być rozmowa.

Typowy scenariusz vishingu przebiega według rozpoznawalnego schematu:

  1. Podszywanie się. Osoba dzwoniąca udaje kogoś, komu ofiara ma powody, by ufać: pracownika banku, technika wsparcia IT, urzędnika skarbowego, przełożonego lub dostawcę.
  2. Pilność albo autorytet. Osoba dzwoniąca wywiera presję, mówi, że jest problem, który trzeba rozwiązać natychmiast, albo powołuje się na autorytet („twój przełożony poprosił mnie, żebym zadzwonił”). To obejście instynktownej potrzeby rozmówcy, by się zatrzymać i zweryfikować sytuację.
  3. Prośba. Osoba dzwoniąca prosi o coś: hasło, kod jednorazowy, potwierdzenie danych bankowych, dostęp do systemu albo zlecenie przelewu.
  4. Koniec. Gdy tylko zdobędą potrzebne informacje lub osiągną swój cel, rozmowa szybko się kończy. Zanim ofiara zorientuje się, że coś jest nie tak, szkoda już jest wyrządzona.

Vishing działa, bo podczas rozmowy telefonicznej na żywo trudno zastosować te same krytyczne filtry, których używałbyś, czytając podejrzany e-mail. Presja społeczna związana z interakcją w czasie rzeczywistym bierze górę nad ostrożnością, a atakujący właśnie na to liczą.

Vishing, phishing i smishing: czym się różnią?

Vishing to jedna z wielu technik inżynierii społecznej opartych na rozmowach telefonicznych i wiadomościach. Zrozumienie, czym się one od siebie różnią, pomaga organizacjom szkolić pracowników w rozpoznawaniu każdej z nich.

Technika Kanał Typowa sytuacja Dlaczego to działa
Phishing Email Fałszywa strona logowania, pilne ostrzeżenie dotyczące konta Objętość i złudzenia optyczne
Vishing Telefon / głos Fałszywy telefon z banku, podszywanie się pod dział pomocy technicznej Ciśnienie w czasie rzeczywistym, autorytet głosowy
Smishing Aplikacja do wysyłania SMS-ów / wiadomości Fałszywe powiadomienie o dostawie, link do płatności Kontekst mobilny, zwięzła forma, linki wkomponowane w tekst
Włócznia phishing E-mail (ukierunkowany) Spersonalizowany e-mail z wykorzystaniem znanych danych Specyficzność – wydaje się wiarygodna, bo cię zna

W praktyce techniki te często się łączy. Atakujący może najpierw wysłać wiadomość phishingową, a potem zadzwonić, podając się za pracownika pomocy technicznej i nawiązując do wiadomości, którą ofiara właśnie dostała. Każdy z tych kanałów wzmacnia wiarygodność drugiego.

Vishing w praktyce: typowe scenariusze

Ataki typu vishing to nie jakieś abstrakcyjne zagrożenia. To sytuacje, z którymi organizacje, w tym holenderskie firmy, spotykają się na co dzień:

  • Telefon do działu pomocy technicznej IT. Osoba dzwoniąca podaje się za pracownika wewnętrznego działu IT, twierdzi, że na koncie pracownika wykryto podejrzaną aktywność, i prosi go o potwierdzenie hasła lub zainstalowanie narzędzia do zdalnego dostępu „w celu rozwiązania problemu”.
  • Telefon dotyczący bezpieczeństwa konta bankowego. Osoba dzwoniąca, podająca się za pracownika działu ds. oszustw, ostrzega, że konto bankowe firmy zostało przejęte, i prosi ofiarę o potwierdzenie danych konta lub autoryzację „przelewu testowego”.
  • Telefon od prezesa lub dyrektora finansowego. Zjawisko to, znane jako oszustwo typu „CEO fraud” lub BEC (Business Email Compromise), polega na tym, że dzwoniący podaje się za członka kierownictwa wyższego szczebla i naciska na pracownika działu finansowego, by ten wykonał pilny przelew, często w piątek po południu.
  • Telefon z rzekomym potwierdzeniem od dostawcy. Osoba dzwoniąca podaje się za przedstawiciela znanego dostawcy i prosi o aktualizację danych konta bankowego na potrzeby przyszłych płatności, co ma na celu przekierowanie środków na konto kontrolowane przez cyberprzestępcę.
  • Telefon z wykorzystaniem technologii deepfake opartej na sztucznej inteligencji. Dzięki technologii klonowania głosu za pomocą sztucznej inteligencji oszuści potrafią teraz z zaskakującą dokładnością podszywać się pod prawdziwych współpracowników lub członków kierownictwa. Pracownicy odbierają telefon, w którym głos brzmi dokładnie jak głos ich przełożonego, a rozmówca prosi o podanie danych logowania lub pilne zatwierdzenie płatności.

Jak szkolenia z zakresu świadomości bezpieczeństwa chronią przed vishingiem

Środki techniczne nie powstrzymują vishingu. Filtry antyspamowe, zapory sieciowe i narzędzia zabezpieczające urządzenia końcowe nie mają znaczenia, gdy atakujący po prostu podnosi słuchawkę. Jedyną skuteczną obroną są pracownicy, którzy potrafią rozpoznać taktyki manipulacyjne i wiedzą, co robić, gdy coś wydaje się podejrzane.

To się osiąga poprzez szkolenia – nie chodzi o jednorazową prezentację, tylko o regularne ćwiczenia, które kształtują nawyki. Skuteczne szkolenie z zakresu świadomości bezpieczeństwa dotyczące vishingu obejmuje kilka kwestii:

  • Rozpoznawanie czynników wyzwalających. Pilność, autorytet, nietypowe prośby, prośby o obejście standardowych procedur. Pracownicy, którzy potrafią zidentyfikować te schematy, wolniej się do nich dostosowują.
  • Prawo do weryfikacji. Pracownicy muszą wiedzieć, że zawsze mogą powiedzieć: „Oddzwonię na numer, który mam w systemie”, nawet jeśli dzwoni dyrektor generalny. Wyrobienie tego nawyku wymaga wyraźnej zgody kierownictwa i utrwalenia tego poprzez szkolenia.
  • Co robić potem. Jeśli pracownik podejrzewa, że padł ofiarą ataku typu „vishing”, albo – co gorsza – dał się na to nabrać, musi mieć jasną ścieżkę eskalacji. Zgłaszanie takich przypadków powinno być czymś normalnym, a nie powodem do wstydu.
  • Nadążanie za zmieniającymi się taktykami. Klonowanie głosu za pomocą sztucznej inteligencji, deepfake’i i coraz bardziej spersonalizowane ataki sprawiają, że sytuacja w zakresie zagrożeń szybko się zmienia. Szkolenia muszą nadążać za tymi zmianami, dlatego krótkie, częste sesje są lepszym rozwiązaniem niż coroczne kursy odświeżające.

Zadbaj o bezpieczeństwo swojego zespołu już dziś

Cyberprzestępcy już dzwonią. Czy twój zespół jest gotowy?

Poproś o demo
Dinela Lokvancic
Dinela Lokvancic Specjalista ds. marketingu Dinela dba o aktualność informacji dotyczących firmy Guardey w Internecie. Tworzy treści, które sprawiają, że złożone tematy związane z cyberbezpieczeństwem stają się przystępne, oraz pomaga organizacjom zrozumieć, dlaczego szkolenia z zakresu świadomości bezpieczeństwa są ważne dla waszych zespołów.
Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację