什麼是維希攻擊?

語音釣魚(語音和網路釣魚的組合)攻擊透過電話進行,被視為社會工程攻擊的一種,因為它們利用心理學誘騙受害者交出敏感資訊或代表攻擊者執行某些操作。

申請示範 閱讀電子書

什麼是維希攻擊?

維希的工作原理

一種常見的策略是使用權威。 例如,攻擊者可能假裝來自國稅局,假裝正在打電話收取未付稅。 恐懼被捕可能導致受害者做攻擊者告訴他們的事情。 這些類型的攻擊也通常涉及通過禮品卡付款,僅在美國在 2020 年,受害者造成了 1.24 億美元的損失。

語音釣魚和網路釣魚有什麼區別?

雖然網路釣魚和網路釣魚都是社會工程攻擊的類型,並且使用許多相同的策略,但它們之間的主要區別在於執行攻擊所使用的媒介。

如上所述,vishing 使用手機進行攻擊。 攻擊者會致電受害者 — 或誘騙受害者呼叫他們 — 並口頭試圖欺騙他們做某些事情。 另一方面,網絡釣魚者使用基於文本的電子通信形式來執行他們的攻擊。 雖然電子郵件是最常見且眾所周知的網路釣魚媒介,但攻擊者還可以使用簡訊(稱為簡訊釣魚)、企業通訊應用程式(Slack、Microsoft Teams 等)、訊息應用程式(Telegram、Signal、WhatsApp 等) 、或社群媒體(Facebook、Instagram 等)進行攻擊。

語音釣魚詐騙的類型

網路釣魚攻擊與網路釣魚攻擊一樣多種多樣。視覺中使用的一些最常見的藉口包括:

  • 帳戶問題:訪問者可以假裝來自銀行或其他服務提供商聲稱客戶存在問題。 然後,他們將要求提供個人信息以「驗證客戶的身份」。
  • 政府代表:視覺攻擊可能包括假裝為政府機構代表的攻擊者,例如國稅局(IRS)或社會保障局(SSA)。 這些攻擊通常是為了竊取個人信息或欺騙受害者向攻擊者發送資金。
  • 技術支持:社會工程師可能會假裝是來自微軟或谷歌等大型和知名公司的技術支持。 這些攻擊者會假裝幫助解決受害者電腦或瀏覽器上的問題,但實際上卻安裝了惡意軟體。

如何防止維希攻擊

與其他社交工程攻擊一樣,用戶意識對於預防和保護至關重要。 網絡安全意識培訓中包含的一些重要點是:

  • 切勿發放個人資料:Vishing 攻擊通常旨在欺騙目標交付可用於欺詐或其他攻擊的個人信息。 切勿透過電話提供密碼、按鈕身份驗證 (MFA) 號碼、財務資料或類似資訊。
  • 始終驗證電話號碼:Vishers 會在假裝來自合法組織的同時打電話。 在提供任何個人數據或做任何攻擊者說的任何事情之前,請獲取來電者的姓名並使用公司網站上的官方號碼給他們打回來電。 如果打電話的人試圖勸說您不要這樣做,這可能是詐騙。
  • 沒有人想要禮品卡:Vishers 通常會要求在禮品卡或預付 Visa 卡中支付未付稅或其他費用。 任何合法組織不會要求禮品卡或預付信用作付款。
  • 切勿提供遠端電腦存取: Vishers 可能會要求遠端存取您的電腦以「刪除惡意軟體」或修復某些其他問題。除了經過驗證的 IT 部門成員之外,切勿向任何人提供電腦的訪問權限。
  • 報告可疑事件: Vishers 通常會嘗試對多個不同目標使用相同的詐騙。向 IT 或當局報告任何懷疑的視覺攻擊,以便他們採取行動來保護他人免受攻擊。

與網路釣魚攻擊一樣,基於訓練的網路釣魚預防也是不完美的。攻擊總是有可能會突破。 然而,與網路釣魚不同,網路釣魚很難使用科技來阻止。由於通過電話進行視聽,因此檢測潛在的攻擊需要竊聽所有電話並監視警告信號。

因此,組織應該通過深入實施防禦並專注於攻擊者的目標來解決視覺攻擊。 在企業環境中,語音釣魚攻擊可能旨在以惡意軟體感染員工的系統或為攻擊者提供對敏感企業資料的存取權限。即使初始攻擊向量(即虛擬電話通話)無法偵測到,也可以通過設置解決方案來防止攻擊者實現這些目標,以減輕視化攻擊攻擊的影響。

Check Point 提供一系列解決方案,可協助組織減輕網路釣魚、網路釣魚和其他相關攻擊。Check Point 的Harmony Email and Office包含網路釣魚防護保護,可協助偵測由網路釣魚攻擊引發的資料外洩企圖。若要詳細了解 Check Point 如何保護您的組織免受社會工程威脅,歡迎您立即申請免費試玩

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明