در یکی از انواع حملات فیشینگ که به شکل تماس صوتی انجام میشود و ویشینگ نام دارد، هکرهای تماسگیرنده با استفاده از روشهای مهندسی اجتماعی کارمندان شرکتهای خصوصی و موسسات دولتی را فریب میدهند تا با مراجعه به صفحات لاگین قلابی، اطلاعات ورود شرکتهای خود را وارد کنند.
مهندسی اجتماعی یا social engineering، سوءاستفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است که به کمک مجموعهای از تکنیکها، فرد را به فاش کردن اطلاعات یا انجام کارهایی خاص متقاعد میکند. بسیاری از حملات مهندسی اجتماعی نیازی به اطلاعات فنی تخصصی ندارند و لازم نیست که یک متخصص رایانه و یک هکر حرفهای به شما حمله کند، بلکه هر یک از افراد جامعه میتواند نقش یک مهاجم را ایفا کند، بنابراین باید همیشه نسبت به محیط اطراف آگاه بود.
در سیستم مهندسی اجتماعی، مهاجم به جای استفاده از روشهای معمول و مستقیم نفوذ جمعآوری اطلاعات و عبور از دیواره آتش برای دسترسی به سیستمهای سازمان و پایگاه دادههای آن، از مسیر انسانهایی که به این اطلاعات دسترسی دارند و با استفاده از تکنیکهای فریفتن، به جمعآوری اطلاعات در راستای دستیابی به خواستههای خود اقدام میکند.
علیاصغر زارعی – کارشناس فناوری اطلاعات – درباره اینکه این تکنیک چیست و چگونه قربانی میگیرد، به ایسنا گفت: هکرها افراد خرابکار و ماموران امنیتی و سایبری، همیشه در کمین هستند تا اطلاعاتی که برای رسیدن به هدفشان لازم دارند را به دست بیاورند؛ یکی از راههای بهدست آوردن اطلاعات شخصی و هویتی کاربران که از آن استفاده میکنند، مهندسی اجتماعی است.
ویشینگ (Vishing) یکی از انواع فیشینگ است که در آن کلاهبرداران با استفاده از ترفندهای مهندسی اجتماعی و از طریق تماس صوتی (voice)، اقدام به جمعآوری اطلاعات شخصی و مالی شهروندان میکنند. در این نوع کلاهبرداری، کلاهبرداران عموما با استفاده از اعتماد مردم به تلفنهای ثابت که به نام سازمان یا شخص ثبت شده است، اقدام به جلب اعتماد و کلاهبرداری از آنها میکنند و مهمترین هدف ویشینگ (Vishing) سرقت اطلاعات کارت بانکی و یا اطلاعات هویتی افراد است.
در روش ویشینگ، همچنین هکرهای تماسگیرنده با استفاده از روشهای مهندسی اجتماعی کارمندان شرکتهای خصوصی و موسسات دولتی را فریب میدهند و از آنها میخواهند تا با مراجعه به صفحات لاگین قلابی ویپیانهای شرکتهای خود اطلاعات ورود آنها را وارد کنند. هکرها از این طریق میتوانند وارد شبکههای ویپیان شرکتها و موسسات دولتی شوند و دادههای خصوصی و حساس آنها را سرقت کنند.
حملات ویشینگ از اواسط ماه جولای شدت گرفته و هکرها با سایت دامنههای شبیه به صفحه لاگین ویپیان شرکتهای خصوصی تلاش میکنند تا کارمندان را به بازدید از این صفحات و ورود اطلاعاتشان ترغیب کنند. در جریان این حملات معمولاً کارکنان جدید شرکتها و پرسنل تازه بخش آیتی آنها هدف قرار میگیرند. کارشناسان امنیتی هشدار میدهند تا زمانی که دورکاری گسترده به علت شیوع ویروس کرونا ادامه یابد، حملات ویشینگ نیز تداوم خواهد یافت و ناآگاهی و کماطلاعی کارمندان منجر به سرقت اطلاعات خواهد شد.
پلیس فتا نیز در این زمینه هشدار میدهد که معمولا در این حملات مخاطب یک تماس تلفنی دریافت میکند. در این تماس مهاجم، مخاطب را فریب میدهد تا اطلاعات شخصی خود را افشا کند تا از این طریق آسیب و زیانی به وی وارد کند. به عنوان مثال، مشتری تماسی را در آخر هفته یا ساعات تعطیلی بانک دریافت میکند که وانمود میشود از طرف مرکز تماس بانکی است که در آن حساب دارد.
بنابراین کاربران نباید به تماسهای مشکوک پاسخ داده و اطلاعات محرمانه و شخصی خود را که شامل رمزهای عبور و کد احراز هویت شبکههای اجتماعی است، در اختیار دیگران قرار دهند. همچنین باید از نصب برنامهها از منابع نامعتبر و شبکههای اجتماعی، که از آنها اطلاعات شخصی را میخواهد، خودداری کنند.