語音釣魚(Vishing):這是什麼?如何預防?

作者:David Fu (趨勢科技產品經理)

 身在今日網路連線 (及網路威脅) 全天候 7 天 24 小時不打烊的時代,很難不讓人想起過去用電話溝通的「舊時代」實在是安全多了。只可惜,現在連電話也不安全了。有越來越多的駭客都開始使用所謂的「語音釣魚」(vishing) 來攻擊使用者。事實上,我就曾經遇到過語音釣魚:有一次我接到一通假銀行行員打來的電話,說我的帳號因為出現異常交易而即將遭到凍結,要我打某一個電話號碼。還好我沒有上當,但使用者如果不夠機警,就很可能會。

語音釣魚 Vishing 是什麼?如何預防?

什麼是語音釣魚 (Vishing)?

語音釣魚是網路釣魚(Phishing)的電話版,Vishing 這個詞是從 voice (語音) 加 phishing (網路釣魚) 這二個字組合而來。受害者可能直接接到歹徒的電話,或者可能收到一封邀請函 (透過電子郵件或語音郵件),請受害者打電話到假的客服中心來解決某個問題。一旦受害者撥打電話,自動語音系統就會請受害者在電話上輸入自己的帳號、PIN 碼或密碼,有時,歹徒也會假藉確認身分的理由向受害者詢問一些個人資料。

對歹徒來說,語音釣魚的流程共有三個步驟。第一步驟是「挑選」對象。歹徒會撰寫一些程式來自動撥號給許多人,就像許多大量散布的網路釣魚(Phishing)一樣布下天羅地網,期望能夠抓到幾個不夠警覺的銀行客戶。攻擊者可能下載一些軟體,讓他們在受害者的來電顯示某個號碼,這樣他們就能輕易假冒某銀行的來電。

第二步驟是從「被挑中」的受害者套出個人資料。歹徒會向受害者詢問信用卡卡號以及其他相關帳號資訊。最後一個步驟是想辦法利用被害者的資訊來竊取受害者的錢。

為何網路犯罪者要使用語音釣魚這種方法,而不使用更高科技的手法?

語音釣魚詐騙利用了整個安全防護當中最弱的一個環節,那就是:使用者。歹徒很輕易就能裝得既真實又具說服力,因此能取得使用者的信賴,讓他們親自奉上有價值的資訊。

而且,歹徒還有三項優勢。這些攻擊都是透過網路語音電話 (VoIP) 進行,因此很容易假造來電號碼或假冒自動語音系統,而且也容易隱藏身分。此外,執法單位也很難監聽或追蹤這些不法活動。

我上了語音釣魚的當。怎麼辦!

如果您上了語音釣魚的當,請記錄下事發的經過,以及您如何發覺自己被騙。保留一切您認為有助於調查的書面文件。接下來,按照下列步驟進行:

  • 向當地警方報案。
  • 通知您的銀行、信用卡公司、電話通訊業者等等,以及任何您懷疑可能遭歹徒竄改或開立的帳號。

在您執行上述步驟時,務必用書面方式記錄您所說及所聽到的內容,以免發生爭議。

要防止網路/語音釣魚,最重要的一點就是要記住:正當的企業「絕對不會」在電話當中或在線上要求您提供 PIN 碼或密碼。如果您接到這樣的電話,請立刻掛斷,並且通知銀行。

@原文來源:Vishing: What It Is, How You Can Protect Yourself
@延伸閱讀:

假工程師的遠端解毒服務,用Event Viewer 唬人

 

@認識更多資安名詞

什麼是 SPAM 垃圾郵件?肉罐頭?(同場加映:電子郵件演變史)

社交工程的運作原理~好奇心是最大的安全漏洞

認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」

Cybersquatting 域名搶註

什麼是特洛伊木馬病毒?何謂網頁掛馬?

什麼是間諜軟體 Spyware?

什麼是網路釣魚(Phishing)?

什麼是網路霸凌bully ?

什麼是「Botnet傀儡殭屍網路」?

什麼是社交工程(social engineering )?

什麼是雲端運算?雲端運算定義

什麼是 Black SEO?

什麼是假防毒軟體 Fake AV

….看更多資安名詞

 

 

【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身 看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

發表迴響