S.O.S.! Vishing «φωνητικό ψάρεμα»: Νέο κόλπο του κυβερνοεγκλήματος μετά το «ηλεκτρονικό»

 

Καλοκαιράκι και Ιούλης με το θερμόμετρο να έχει πάρει τα «πάνω» του και με τους φίλους του ψαρέματος να ξέρουν –με τα μελτέμια σε πρωταγωνιστικό ρόλο, ότι τα πράγματα ζορίζουν.
Από ψάρια να φαν κι οι κότες … από «ψιλά» σαρδέλες, κολιούς, σκουμπριά, γαύρο, γόπα, μαγιάτικο, μελανούρι, σαφρίδι (με τσαπαρί), μέχρι συναγρίδα σφυρίδες, φαγκριά, στήρες, πελαγίσιος μπακαλιάρος και τσιπούρες (προσοχή μόνο μην ξέφυγαν από ιχθυοτροφεία) όλα σε αφθονία.

Όμως σήμερα ο λόγος γι ένα άλλο «ψάρεμα», που έχει να κάνει με μια αθέατη πλευρά, με ένα ακόμη big brother της σύγχρονης καθημερινότητας με την  ύπουλη εκμαίευση – ανίχνευση  (διερεύνηση -ξεψάχνισμα)  χρήση πλάγιων ερωτήσεων ή συζητήσεων με σκοπό τη χειραγώγιση.
Θα πείτε …«κάτι μας είπες» τώρα η Google & CIA φτάνει και περισσεύει.
Παρ΄ όλ΄ αυτά θα μιλήσουμε για το vishing μια αντίστοιχη απάτη του γνωστού (;) «φωνητικού ψαρέματος», ένα σχετικά νέο κόλπο με πολλές παραλλαγές που μπορεί να ξεγελάσει τόσο άτομα (ανίδεα και ψαγμένα) γιατί πλέον όλοι είμαστε «καταναλωτές» όσο και επιχειρήσεις και μεγάλους οργανισμούς.

Οι απατεώνες χρησιμοποιούν την κοινωνική μηχανική (Social Engineering) για να χειραγωγήσουν τα θύματά τους. Παρουσιάζονται ως ένας φορέας που εμπιστεύεστε – πχ η τράπεζά σας, η εταιρεία τεχνολογίας με την οποία συνεργάζεστε, κάποια υπηρεσία του Δημοσίου, κάποιος εργαζόμενος στο τμήμα τεχνικής υποστήριξης - και σας δημιουργούν την αίσθηση ότι πρόκειται για κάποιο επείγον ή ανησυχητικό συμβάν.
Όπως ακριβώς οι τεχνικές σε ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phishing) και ψεύτικα μηνύματα κειμένου (γνωστά ως smishing από το SMS Phishing) αλλά πιο αποτελεσματικές γιατί χρησιμοποιούνται «ζωντανά» μέσω τηλεφώνου.
Τα smart phones και η ιλιγγιώδης εξέλιξη της κυβερνητικής έχουν δώσει στους Vishers – δηλαδή δηλ. στους απατεώνες που χρησιμοποιούν τεχνικές φωνητικού ψαρέματος πολλά επιπλέον εργαλεία και τακτικές για να κάνουν τις απάτες τους πιο επιτυχημένες.   
Στόχος να σας κάνει να μοιραστείτε με δέλεαρ και μπόνους προσωπικά στοιχεία όπως αριθμούς λογαριασμού και κωδικούς πρόσβασης.

Το 2018, τα εγκλήματα ηλεκτρονικού ψαρέματος κόστισαν στα θύματα 48 εκατομμύρια δολάρια, σύμφωνα με το Κέντρο Καταγγελιών Διαδικτύου του FBI.
Πέρυσι, είχαν κλαπεί τα προσωπικά στοιχεία πελατών του ξενοδοχείου Ritz London κατά τη διάρκεια μιας παραβίασης και οι απατεώνες χρησιμοποίησαν τα δεδομένα για να πραγματοποιήσουν επιθέσεις κοινωνικής μηχανικής εναντίον των θυμάτων, πλαστογραφώντας τον επίσημο αριθμό του ξενοδοχείου στη διαδικασία.
Μπορούν επίσης να χρησιμοποιήσουν αυτές τις πληροφορίες για να στοχεύσουν συγκεκριμένα άτομα (ας πούμε, υπαλλήλους εταιρειών με πρόσβαση σε προνομιακούς λογαριασμούς) και για να κάνουν πιο νομιμοφανή την επικοινωνία - δηλαδή, ο απατεώνας μπορεί να παραθέσει ορισμένα προσωπικά στοιχεία στο θύμα, ώστε να μπορέσει να αποσπάσει περισσότερες πληροφορίες.

Συνήθως αναφέρουν ότι λογαριασμός σας έχει παραβιαστεί, ότι εκπροσωπεί την τράπεζά σας ή την επιβολή του νόμου ή ότι σας προσφέρει βοήθεια για την εγκατάσταση λογισμικού.
Οι απατεώνες είναι σε θέση να πραγματοποιούν εκατοντάδες ή και χιλιάδες κλήσεις ταυτόχρονα χρησιμοποιώντας την τεχνολογία πρωτοκόλλου φωνής μέσω Διαδικτύου (Voice over IP VoIP) και μπορούν να πλαστογραφήσουν το αναγνωριστικό καλούντος για να κάνουν την κλήση να φαίνεται ότι προέρχεται από μια αξιόπιστη πηγή (τράπεζα δημόσια υπηρεσία κλπ)

Συχνές απάτες

Περίπου τα τρία τέταρτα των καταγγελιών απάτης που αναφέρθηκαν στην Federal Trade Commission αφορούν αυτή τη στιγμή την επαφή με τους καταναλωτές μέσω τηλεφώνου για:

• Παραβίαση λογαριασμού τραπεζικής ή πιστωτικής κάρτας («πληροφορία» ότι υπάρχει κάποιο πρόβλημα με τον λογαριασμό σας ή με μια πληρωμή που πραγματοποιήσατε -μπορεί να σας ζητηθεί τα διαπιστευτήρια σύνδεσης για να διορθώσετε το πρόβλημα ή να σας ζητηθεί να πραγματοποιήσετε μια νέα πληρωμή)
• Προσφορές δανείου ή επενδύσεων: συνήθως πολύ καλές για να είναι αληθινές… ότι μπορείτε να κερδίσετε εκατομμύρια με μια μικρή επένδυση, να εξοφλήσετε όλο το χρέος σας ή να «γλυτώσετε» με μία διακανονίζοντας όλα τα φοιτητικά σας όλ΄αυτά με τον όρο να «ενεργήσετε τώρα» με μια μικρή – συμβολική αμοιβή.
• Medicare - απάτη κοινωνικής ασφάλισης
  Νο. 1 μέθοδος προσεγγίζοντας ηλικιωμένους προσπαθώντας να συγκεντρώσουν οικονομικές πληροφορίες από το θύμα (συνήθως στοιχεία του τραπεζικού λογαριασμού που μπαίνει η σύνταξη ή το βοήθημα).
  Οι απατεώνες ενδέχεται επίσης να ισχυρίζονται ότι προέρχονται από το ΙΚΑ απειλώντας να μπλοκάρουν τον ΑΜΚΑ
• Φορολογική απάτη TAXIS
  Υπάρχουν πολλές παραλλαγές αυτού του τύπου, αλλά συνήθως, θα λάβετε ένα προ-εγγεγραμμένο μήνυμα, που σας λέει ότι κάτι δεν πάει καλά με τη φορολογική σας δήλωση και αν δεν τηλεφωνήσετε, θα εκδοθεί ένταλμα μέχρι και προσωποκράτησης και πρέπει να επικοινωνήσετε μαζί του στον αριθμό …

Πώς να εντοπίσετε μια απάτη ψαρέματος

Μερικά από τα ενδεικτικά σημάδια μιας απάτης vishing, αν και καθημερινά αλλάζουν όπως ο χαμαιλέοντας:

• Ο καλών ισχυρίζεται ότι εκπροσωπεί κάτι που σας αφορά (τράπεζα, ασφάλεια, σύνταξη ή Υπηρεσία Κοινωνικής Ασφάλισης).
  Εάν –το πιο πιθανό, δεν έχετε ζητήσει επαφή με καμία από αυτές τις υπηρεσίες μέσω email, SMS ή καναλιών ΜΚΔ (messenger) κλείνετε με μία το τηλέφωνο.
  Να είστε ιδιαίτερα δύσπιστοι σε όποιους σας καλούν με «ειδική» προσφορά.
• Υπάρχει μια ξέφρενη αίσθηση του επείγοντος. Οι απατεώνες θα προσπαθήσουν να αξιοποιήσουν την αίσθηση φόβου σας, χρησιμοποιώντας απειλές εντάλματος και προβλήματα με τον λογαριασμό σας. Εάν λάβετε μία από αυτές τις τηλεφωνικές κλήσεις, παραμείνετε ήρεμοι και μην δίνετε ποτέ τις δικές σας πληροφορίες. Κλείστε το τηλέφωνο και κάντε τη δική σας έρευνα.
• Ο καλών ζητά πληροφορίες σας. Nα επιβεβαιώσετε το όνομα, τη διεύθυνση, την ημερομηνία γέννησης, τον ΑΜΚΑ, τα στοιχεία τραπεζικού λογαριασμού και άλλα στοιχεία αναγνώρισης.
  Για να σας ξεγελάσουν να νομίζετε ότι είναι νόμιμοι, μπορεί να έχουν ακόμη μερικές από αυτές τις πληροφορίες. Ο στόχος είναι να λάβουν τις υπόλοιπες πληροφορίες.

Πώς να προστατευτείτε από το vishing

• Εκτός από το να γνωρίζετε πώς λειτουργεί αυτό το ψάρεμα και να ψάχνετε για alarms γενικά μην απαντάτε εύκολα το τηλέφωνο (αφήστε να προωθηθεί στον αυτόματο τηλεφωνητή αν έχετε)
  Πάντως τα αναγνωριστικά καλούντος μπορούν να παραποιηθούν, πράγμα που σημαίνει ότι ενδέχεται να μη βγάλετε άκρη
• Κλείνω το τηλέφωνο: τη στιγμή που υποψιάζεστε ότι πρόκειται για τηλεφωνική κλήση που δεν θέλετε, μην αισθάνεστε υποχρεωμένοι να συνεχίσετε ευγενικά, απλώς κλείστε και μπλοκάρετε τον αριθμό.
• Μην πατήσετε κουμπιά και μην απαντήσετε σε προτροπές.
  Εάν λάβετε ένα αυτοματοποιημένο μήνυμα που σας ζητά να πατήσετε κουμπιά ή να απαντήσετε σε ερωτήσεις, μην το κάνετε.
  Για παράδειγμα, το μήνυμα μπορεί να λέει «πατήστε 2 για κατάργηση από τη λίστα μας» ή «πείτε "ναι" για να μιλήσετε με έναν χειριστή»
  Οι απατεώνες χρησιμοποιούν συχνά αυτά τα κόλπα για να προσδιορίσουν πιθανούς στόχους για περισσότερες ρομποτικές κλήσεις.
  Μπορούν επίσης να ηχογραφήσουν τη φωνή σας και αργότερα να τη χρησιμοποιήσουν κατά την πλοήγηση στα μενού τηλεφώνου που είναι αυτοματοποιημένα με φωνή συνδεδεμένα στους λογαριασμούς σας.
• Επαληθεύστε την ταυτότητα του καλούντος. Εάν το άτομο παρέχει έναν αριθμό επανάκλησης, ενδέχεται να αποτελεί μέρος της απάτης - οπότε μην τον χρησιμοποιείτε. Αντ 'αυτού, αναζητήστε τον επίσημο δημόσιο αριθμό τηλεφώνου της εταιρείας και καλέστε τον εν λόγω οργανισμό.

Πώς να επιβεβαιώσετε εκ των υστέρων το πρόβλημα

Εάν έχετε παράσχει τα οικονομικά σας στοιχεία σε κάποιον που αργότερα πιστεύετε ότι είναι απατεώνας, καλέστε πρώτα την τράπεζα ρωτήστε σχετικά και κάντε –αν αυτό είναι εφικτό ακύρωση δόλιων συναλλαγών και μπλοκάρισμα για  αποκλεισμό μελλοντικών χρεώσεων.
Ίσως χρειαστεί επίσης να αλλάξετε τους αριθμούς του λογαριασμού σας για να βεβαιωθείτε ότι κανείς δεν τους χρησιμοποιεί.

Το πάγωμα των πιστωτικών σας αναφορών μπορεί να διασφαλίσει ότι κανείς δεν μπορεί να ανοίξει νέους λογαριασμούς στο όνομά σας.

Παρόλο που οι επιθέσεις ψαρέματος έχουν σχεδιαστεί για να σας ξεγελάσουν, είναι δυνατόν να τις εντοπίσετε πριν σηκώσετε το τηλέφωνο.
Μείνετε μπροστά από τους κυβερνο-κλέφτες! Με λίγη προσπάθεια γίνεται.

🆘  Αν και δεν έχει συνδυαστεί άμεσα με το vishing, έχουν εντοπιστεί στη χώρα μας εγκληματικές ομάδες με τηλεφωνικές απάτες εξαπατώντας πολίτες με το πρόσχημα ότι συγγενείς τους προκάλεσαν ή τραυματίστηκαν σε τροχαίο  προσποιούμενοι τον αστυνομικό ή τον γιατρό, ακόμη και το …περαστικό.
Και μέσα στην έντονη σύγχυση και συναισθηματική φόρτιση τους ζητούσαν –αναλόγως, μεγάλα ή μικρά χρηματικά ποσά.
Ο αριθμός του καλούντος -που συχνά ήταν γλυκιά γυναικεία φωνή συνήθως παρέμπεμπε στο «πουθενά»

Πως να αντιμετωπίσετε αυτές τις απάτες

Σύμφωνα με τη διεθνή εταιρία κυβερνοασφάλειας ESET μπορούμε να πάρουμε τα μέτρα μας για να μην πέσουμε θύματα του φωνητικού ψαρέματος. Αυτές είναι:

1.  Αφαιρέστε τον αριθμό του τηλεφώνου σας από τον τηλεφωνικό κατάλογο, ώστε ο αριθμός να μην είναι διαθέσιμος στο κοινό.

2.  Μη συμπληρώνετε τον αριθμό τηλεφώνου σας σε διαδικτυακές φόρμες (δηλαδή, όταν κάνετε αγορές online).

3.  Να είστε επιφυλακτικοί όταν δέχεστε αιτήματα για πληροφορίες που αφορούν την τράπεζά σας, προσωπικά ή άλλα ευαίσθητα στοιχεία μέσω τηλεφώνου.

4.  Να είστε επιφυλακτικοί - μην μπαίνετε σε συζητήσεις με κάποιον που σας καλεί, ειδικά εάν αυτός ο κάποιος σας ζητήσει να επιβεβαιώσετε ευαίσθητες πληροφορίες.

5.  Ποτέ μην καλέσετε πίσω έναν αριθμό που σας γνωστοποιήθηκε μέσω φωνητικού μηνύματος. Πάντα να επικοινωνείτε πρώτα απευθείας με τον οργανισμό τον οποίο υποτίθεται ότι εκπροσωπεί ο συνομιλητής σας.

6.  Χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους διαδικτυακούς λογαριασμούς.

7.  Βεβαιωθείτε ότι το λογισμικό ασφαλείας του email / Internet είναι ενημερωμένο και περιλαμβάνει δυνατότητες anti-phishing.

 

Με πληροφορίες από norton.com (σε όποιο πακέτο antivirus ανατρέξετε θα βρείτε σχετικά)