Phishing to powszechnie znane oszustwo wykorzystujące e-mail, w przypadku którego sprawca podszywa się pod wiarygodne źródła, aby nakłonić odbiorców do przekazania poufnych informacji lub pobrania złośliwego oprogramowania. Vishing natomiast jest odpowiednikiem tego oszustwa, tyle że z wykorzystaniem połączenia telefonicznego. Według firmy informatycznej ESET takie przestępstwa są coraz bardziej powszechne. Dotyczą zarówno konsumentów, jak i przedsiębiorców.
— Podobne ataki stały się bardziej powszechne, częściowo dzięki masowemu przejściu na pracę zdalną podczas pandemii koronawirusa — mówi Kamil Sadkowski, specjalista do spraw cyberbezpieczeństwa w firmie ESET.
Podstawą działania oszustów vishingowych jest sztuka perswazji. Cyberprzestępcy dobrze opanowali metody polegające na podszywaniu się pod zaufane organy — banki, dostawców technologii czy pracowników działu pomocy IT. W swoich działaniach posługują się metodą polegającą na tworzeniu poczucia pilnego podjęcia jakiegoś działania lub wzbudzeniu obaw przed jego zaniechaniem, tłumiąc naturalne podejrzenia lub ostrożność ofiary.
Jest kilka dodatkowych narzędzi i taktyk, które stosują oszuści, aby ich działania były bardziej skuteczne. Jednym z nich są narzędzia do fałszowania numeru telefonu wyświetlanego odbiorcy, których można użyć do ukrycia rzeczywistej lokalizacji oszusta, a nawet podszycia się pod numery telefonów zaufanych organizacji. Przestępcy stosują także oszustwa wielokanałowe, które mogą zaczynać się od wiadomości SMS, e-mail lub poczty głosowej, zachęcając użytkownika do zadzwonienia pod wskazany w wiadomości numer. Takie działanie powoduje skierowanie ofiary bezpośrednio do oszusta.
Ponadto hakerzy przeszukują media społecznościowe i inne otwarte źródła danych w internecie, które mogą dostarczyć im cennych informacji o ofiarach. Takie dane mogą zostać później wykorzystane do atakowania określonych osób (np. pracowników firm na określonych stanowiskach), albo do uwiarygodnienia oszusta. Zdarza się, że atakujący powtarza znane ofierze dane, aby zdobyć jej zaufanie i wyciągnąć w ten sposób więcej cennych informacji.
Przed vishingiem można się bronić na kilka sposobów. Przede wszystkim warto zastrzec numer telefonu, żeby nie był dostępny publicznie. Lepiej też nie podawać go w formularzach internetowych np. podczas zakupów online. Trzeba też po prostu zachować czujność w momencie, kiedy ktoś prosi nas o podanie informacji bankowych, osobistych lub innych poufnych informacji przez telefon. Eksperci firmy ESET radzą też, żeby nie oddzwaniać na numery pozostawione na poczcie głosowej oraz używać wieloskładnikowego uwierzytelnienia (MFA) na wszystkich kontach internetowych.