Стандартная схема: звонок будто бы от сотрудника банка с запросом личных данных, чтобы «защитить карту». В корпоративной среде это могут быть звонки от руководителя или службы безопасности с требованием немедленно дать пароли, чтобы предотвратить атаку хакеров (в действительности — ее осуществить).

Бывают и более сложные, многоэтапные схемы: например, киберпреступники заражают корпоративный компьютер и перехватывают канал коммуникации от технической поддержки. Когда человек сам звонит в службу поддержки по официальному номеру, у него снижается уровень критичности. Мошенники же «устраняют проблему», которую сами создали, а заодно получают конфиденциальные сведения.

Чаще всего мошенники выдают себя за работников финансовых учреждений: Центробанка или коммерческих банков. 10% фальшивых звонков связаны с ЖКХ: злоумышленники предлагают замену домофонов или счетчиков, запрашивая коды из SMS. Еще 7% случаев — попытки завладеть учетной записью на «Госуслугах» под видом сотрудников МФЦ. Еще 3% звонков поступают от лже-соцслужб с предложениями оформить льготы и страховки.

Станислав Кузнецов, заместитель председателя правления Сбербанка, привел статистику по вишингу на Петербургском международном экономическом форуме.

Согласно его данным:

• 50-70 тысяч человек становятся жертвами вишинга ежедневно
• 6-8 миллионов — ежедневное количество мошеннических звонков
• 30% россиян игнорируют звонки с незнакомых номеров
• 40% опознают обман и прерывают разговор
• 30% продолжают диалог с мошенниками, не различая обмана
• 10% «вовлекаются в игру» из любопытства и по итогу становятся жертвами киберпреступников

Самый простой способ противостоять вишингу — не отвечать на незнакомые номера. Но это подходит далеко не всем: могут звонить потенциальные клиенты, соискатели, абитуриенты и проч. Более эффективное решение — определитель номера, который исключит часть подозрительных звонков. Но здесь главное – поставить надёжную программу, желательно от оператора связи или отечественных компаний, чтобы данные о ваших звонках не передавались третьим лицам.

Каждому важно самостоятельно изучить, какие данные нельзя сообщать по телефону (CVV код банка, личные пароли, доступы), требовать, чтобы звонящий официально представился, настаивать на личной встрече, регулярно повышать уровень критического мышления.

О том, какие меры защиты лучше предпринимать компаниям рассказывает наш эксперт, руководитель Центра информационной безопасности Университета Иннополис Михаил Серегин:

— Вишинг — атака, нацеленная не на системы, а на людей. Злоумышленники действуют через давление, срочность и создание видимости авторитета. Чтобы защититься, важно не только прописать правила, но и обеспечить их понимание и соблюдение. Необходимо заранее определить, какие действия и данные недопустимо передавать по телефону, установить чёткие процедуры финансовых операций и взаимодействия с руководством. Регулярное обучение, ясное разграничение полномочий и готовность сотрудников обращаться в ИБ-службу при малейших сомнениях — основа устойчивости к таким атакам.

Рекомендации по техническим мерам, которые помогут минимизировать риски:

• Настроить двухфакторную аутентификацию для всех критически важных систем
• Разделить полномочия — чтобы одни сотрудники не могли в одиночку совершать чувствительные операции
• Включить журналирование действий пользователей и настроить автоматическое уведомление о подозрительной активности
• Настроить автоматическую блокировку сессии при аномальной активности
• Периодически обновлять пароли и отзывать доступ у уволенных или переведённых сотрудников