Вишинг (Vishing)
Вишинг (от англ. voice + phishing) — разновидность телефонного мошенничества, при которой злоумышленники используют голосовую связь и приёмы социальной инженерии для хищения конфиденциальных данных или денежных средств жертвы. Мошенники представляются сотрудниками банков, технической поддержки, правоохранительных органов или других организаций и создают ощущение срочности, чтобы вынудить собеседника сообщить пароли, коды подтверждения, реквизиты карт или совершить перевод.
Способы выхода на жертву
- Прямой звонок — с подменой номера через IP-телефонию, чтобы на экране отобразился номер реальной организации.
- SMS, сообщение в мессенджере или email — с просьбой перезвонить по указанному номеру; сообщение оформляется как автоматическое уведомление.
- Поддельные предупреждения на сайтах — баннер сообщает о «заражении» устройства и предлагает позвонить в «службу поддержки».
- Вредоносное ПО — программа на устройстве жертвы автоматически перенаправляет звонки на мошеннический колл-центр.
Типичные сценарии
| Схема | Как действуют мошенники |
|---|---|
| Финансовое мошенничество | Представляются банком или налоговой; сообщают о подозрительных операциях или задолженности; просят назвать данные карты, пароль от онлайн-банка или одноразовый код |
| Ложная техподдержка | Выдают себя за ИТ-службу; убеждают установить программу удалённого доступа или сообщить учётные данные «для устранения неполадки» |
| «Выигрыш» или выплата | Сообщают о крупном призе или компенсации; для «перевода» запрашивают реквизиты счёта и персональные данные |
| Поддельные продавцы | Предлагают товары или услуги по заниженным ценам; собирают банковские данные под предлогом оформления заказа |
| Запрос о помощи | Звонят от имени благотворительной организации или полиции; просят перевести средства или предоставить личную информацию |
Как защититься
- Не сообщать по телефону пароли, CVV/CVC-коды, одноразовые коды и другие конфиденциальные данные — банки и госорганы их не запрашивают.
- При подозрительном звонке завершить разговор и самостоятельно перезвонить в организацию по номеру с официального сайта или с банковской карты.
- Не перезванивать по номерам из неожиданных SMS и email-уведомлений.
- Использовать многофакторную аутентификацию — даже при утечке пароля доступ без второго фактора невозможен.
- Не устанавливать программы по просьбе незнакомых «специалистов» — легитимная техподдержка не звонит первой с требованием установить ПО.