Що таке вішинг: як працює телефонне шахрайство

Що таке вішинг

Уявіть ситуацію: вам телефонує людина, яка впевнено представляється співробітником банку. Вона називає ваше ім’я, повідомляє про підозрілу операцію за карткою й запевняє, що гроші ще можна врятувати. Для цього потрібно лише підтвердити особу та продиктувати код, який щойно надійшов у SMS.

Звучить переконливо. Особливо коли співрозмовник говорить спокійно, використовує професійні терміни, а на екрані телефону відображається знайомий номер банку. У такій ситуації багато людей починають діяти швидше, ніж встигають оцінити, чи справді розмовляють із представником фінансової установи.

Саме на це й розраховують телефонні шахраї. Вони не намагаються зламати ваш комп’ютер або смартфон — їхня головна мета полягає в тому, щоб змусити вас добровільно повідомити конфіденційні дані, підтвердити фінансову операцію або виконати інші дії, які відкриють їм доступ до ваших грошей чи акаунтів.

Такий вид шахрайства називається вішингом. За останні роки він став значно небезпечнішим: зловмисники використовують підміну номерів телефонів, автоматизовані системи обдзвону, штучний інтелект для клонування голосу та інші сучасні технології, які роблять обман дедалі переконливішим.

Що таке вішинг

Вішинг (vishing) — це різновид телефонного шахрайства, під час якого зловмисники телефонують людині, видаючи себе за працівників банку, державної установи, мобільного оператора, служби доставки чи іншої організації, щоб виманити конфіденційні дані або змусити виконати дії, вигідні шахраям.

Назва походить від англійських слів voice («голос») і phishing («фішинг») та буквально означає «голосовий фішинг».

На відміну від звичайного фішингу, де основним інструментом є електронні листи, SMS або підроблені сайти, у вішингу головним способом впливу стає телефонна розмова.

Вішинг належить до методів соціальної інженерії — психологічного впливу, за допомогою якого шахраї змушують людину добровільно розкрити конфіденційну інформацію або виконати потрібні їм дії. На відміну від технічного злому, головною мішенню тут є не комп’ютер чи смартфон, а довіра людини.

Чому вішинг такий ефективний

Багато людей впевнені, що легко впізнають шахраїв. Проте статистика свідчить про протилежне: телефонне шахрайство й досі залишається одним із найрезультативніших способів викрадення грошей.

Причина полягає в тому, що телефонна розмова створює зовсім інший психологічний ефект, ніж повідомлення електронною поштою чи SMS.

Коли людина читає лист, вона може зупинитися, перечитати текст, перевірити адресу відправника або порадитися з кимось. Під час телефонної розмови часу на аналіз майже немає. Співрозмовник постійно підтримує діалог, відповідає на запитання, створює відчуття терміновості та підштовхує до швидкого рішення.

З цієї причини навіть обережні люди можуть втратити пильність.

Додатково шахраї використовують кілька психологічних прийомів одночасно.

ПрийомЯк він працює
АвторитетПредставляються співробітником банку, поліції або державної установи.
СтрахПовідомляють про злам рахунку, оформлення кредиту чи блокування картки.
ПоспіхНаполягають, що рішення потрібно прийняти негайно.
ДопомогаСтверджують, що хочуть захистити ваші кошти.
КонфіденційністьПросять нікому не розповідати про розмову.

Саме поєднання цих прийомів змушує людину діяти емоційно, а не раціонально.

Чому навіть обережні люди стають жертвами вішингу

телефонне шахрайство
зображення з pexels.com

Багато хто впевнений, що телефонні шахраї можуть обдурити лише неуважних або недосвідчених людей. Насправді це не так. Жертвами вішингу стають люди різного віку, професій і рівня цифрової грамотності. Причина полягає не в нестачі знань, а в тому, як працює людська психіка під час стресу.

Стрес змушує мозок приймати швидкі рішення

Коли людина чує, що її рахунок нібито зламали або хтось оформлює кредит на її ім’я, організм сприймає це як загрозу. У такій ситуації мозок намагається діяти якомога швидше, а не аналізувати інформацію. Ось чому люди іноді погоджуються на дії, які в спокійній обстановці здалися б очевидно небезпечними.

Голосу люди довіряють більше, ніж повідомленню

Телефонна розмова створює відчуття реального спілкування. Співрозмовник відповідає на запитання, реагує на сумніви та говорить упевнено. Через це голос часто здається більш переконливим, ніж електронний лист або SMS, які можна спокійно перечитати й перевірити.

Відчуття терміновості вимикає критичне мислення

Фрази на кшталт «у вас залишилося дві хвилини», «не кладіть слухавку» або «гроші можуть зникнути просто зараз» змушують людину концентруватися не на перевірці інформації, а на швидкому розв’язанні нібито термінової проблеми. Саме поспіх є одним із найефективніших інструментів соціальної інженерії.

Люди схильні довіряти авторитету

Якщо співрозмовник представляється працівником банку, поліції, державної установи або великої компанії, багато людей автоматично сприймають його як компетентну особу. Шахраї добре знають про цю особливість і навмисно використовують офіційний стиль спілкування, професійні терміни та навіть підміняють номер телефону, щоб посилити довіру.

Страх втратити гроші сильніший за бажання перевірити інформацію

Люди більше бояться втратити те, що вже мають, ніж прагнуть отримати нову вигоду. Тому повідомлення про нібито злам рахунку або оформлення кредиту викликає сильні емоції. У такому стані багато хто починає виконувати вказівки співрозмовника ще до того, як поставить собі просте запитання: «А чи справді я розмовляю з працівником банку?»

Найкращий спосіб захиститися від вішингу — не намагатися приймати рішення під час телефонної розмови. Якщо дзвінок викликає хоча б найменші сумніви, завершіть його та самостійно зв’яжіться з банком або іншою організацією через офіційні канали. Кілька хвилин перевірки можуть уберегти від серйозних фінансових втрат.

Як працює вішинг

Хоча сценарії телефонного шахрайства можуть відрізнятися, більшість атак проходять за однаковою схемою.

1. Збір інформації

Перед дзвінком шахраї намагаються зібрати хоча б мінімальні відомості про майбутню жертву.

Дані можуть потрапити до них після витоків інформації з різних онлайн-сервісів, соціальних мереж, сайтів оголошень, інтернет-магазинів або інших ресурсів. Іноді вони знають лише ім’я та номер телефону, але навіть цього достатньо, щоб створити враження офіційної розмови.

Чому шахрай знає моє ім’я?

Багатьох людей дивує, що під час телефонної розмови незнайомець звертається до них на ім’я або знає номер телефону. Через це складається враження, що дзвінок справді надходить із банку чи іншої офіційної установи.

Насправді такі дані можуть потрапити до шахраїв після витоків інформації з різних онлайн-сервісів, інтернет-магазинів, сайтів оголошень або з відкритих профілів у соціальних мережах. Іноді достатньо лише імені та номера телефону, щоб створити переконливу легенду.

Пам’ятайте: сам факт, що співрозмовник знає ваше ім’я чи номер телефону, зовсім не означає, що він є працівником банку, державної установи або мобільного оператора.

2. Підготовка легенди

Далі шахраї вигадують переконливу історію.

Найчастіше це повідомлення про проблему, яку потрібно терміново вирішити:

  • з рахунку намагаються списати гроші;
  • хтось оформлює кредит на ваше ім’я;
  • SIM-картку потрібно перевипустити;
  • банківську картку буде заблоковано;
  • необхідно підтвердити особу;
  • потрібно отримати важливу посилку чи виплату.

Чим правдоподібніше виглядає легенда, тим більша ймовірність, що людина повірить співрозмовнику.

3. Телефонний дзвінок

Під час розмови шахрай говорить спокійно та впевнено. Він використовує професійні терміни, може називати внутрішні номери заявок, вигадані ідентифікатори операцій або навіть останні цифри банківської картки.

Іноді на екрані телефону відображається номер, дуже схожий на офіційний. Це ще не означає, що дзвінок справді надходить із банку чи іншої установи: шахраї можуть підміняти номер телефону, щоб викликати довіру. Детальніше про цю технологію йтиметься далі.

4. Психологічний тиск

Після встановлення контакту шахрай намагається вивести людину зі стану спокою.

Він може говорити:

  • «На вашому рахунку зараз відбувається підозріла операція».
  • «Не кладіть слухавку, інакше гроші буде втрачено».
  • «У вас є лише кілька хвилин».
  • «Ми вже заблокували одну операцію, потрібно завершити перевірку».

У такій ситуації людина починає концентруватися не на перевірці інформації, а на швидкому вирішенні вигаданої проблеми.

5. Отримання потрібних даних або дій

Кінцева мета шахраїв може бути різною. Вони можуть спробувати отримати:

  • номер банківської картки;
  • CVV/CVC-код;
  • PIN-код;
  • одноразовий пароль із SMS;
  • код підтвердження входу;
  • пароль до інтернет-банкінгу;
  • доступ до електронної пошти;
  • дозвіл на встановлення програми віддаленого доступу;
  • підтвердження банківського переказу.

Іноді вони взагалі не просять повідомити жодних даних, а переконують людину самостійно переказати кошти на так званий «безпечний рахунок». Насправді жодних безпечних рахунків для порятунку грошей не існує.

Найпоширеніші сценарії вішингу

сценарії вішингу
зображення з pexels.com

Телефонні шахраї постійно змінюють свої легенди, але більшість атак базується на кількох перевірених сценаріях.

В Україні телефонні шахраї найчастіше видають себе за працівників відомих банків, мобільних операторів, служб доставки, державних установ або правоохоронних органів. Використання знайомих назв допомагає їм швидше завоювати довіру й зробити легенду більш переконливою.

«Ваш рахунок зламали»

Це найпоширеніша схема. Людині повідомляють про підозрілий переказ або спробу входу до мобільного банкінгу. Далі пропонують “скасувати операцію”, назвавши код із SMS або підтвердивши платіж у застосунку.

«На ваше ім’я оформлюють кредит»

Шахрай повідомляє, що невідомі вже подали заявку на кредит. Щоб “випередити злочинців”, він пропонує оформити інший кредит, перевести гроші на “захищений рахунок” або встановити спеціальну програму.

«Потрібно перевипустити SIM-картку»

Під приводом технічного оновлення чи захисту номера співрозмовник просить повідомити код із SMS. Отримавши його, шахраї можуть перехопити контроль над номером телефону, а разом із ним — доступ до банківських сервісів.

«Ваш родич потрапив у біду»

Людині повідомляють, що близький родич потрапив у ДТП, перебуває в лікарні або затриманий поліцією. Далі вимагають терміново переказати гроші чи передати їх через кур’єра.

«Проблема з доставкою або державною виплатою»

Останніми роками дедалі частіше використовуються сценарії, пов’язані з доставкою посилок, компенсаціями, субсидіями або іншими державними виплатами. Для їх “оформлення” просять підтвердити особу, назвати код із SMS або перейти за посиланням.

Як сучасні технології допомагають шахраям

Телефонне шахрайство стрімко розвивається. Якщо раніше зловмисники покладалися переважно на підміну номера телефону та заздалегідь підготовлені сценарії, то сьогодні вони активно використовують штучний інтелект і цифрові технології. Завдяки цьому атаки стають більш переконливими, персоналізованими та значно складнішими для розпізнавання.

Клонування голосу

Сучасні AI-сервіси можуть відтворити голос людини за коротким аудіозаписом, іноді тривалістю лише кілька секунд. Якщо такий запис потрапив у відкритий доступ із соціальних мереж, відео чи голосових повідомлень, шахраї здатні створити його цифрову копію.

Після цього вони телефонують родичам або знайомим жертви, імітуючи голос близької людини, яка нібито потрапила в аварію, лікарню чи іншу надзвичайну ситуацію та терміново потребує грошей.

Deepfake

Технологія deepfake дозволяє створювати не лише підроблені відео, а й дуже реалістичні голосові повідомлення або навіть відеодзвінки. Хоча такі атаки поки що трапляються рідше, їхня кількість поступово зростає разом із розвитком технологій штучного інтелекту.

Навіть якщо ви бачите знайоме обличчя або чуєте знайомий голос, це ще не гарантує, що перед вами справді ця людина.

AI-боти для телефонних дзвінків

Штучний інтелект дає змогу створювати голосових ботів, які ведуть діалог майже так само природно, як оператор контакт-центру. Вони можуть відповідати на прості запитання, змінювати сценарій розмови залежно від ваших відповідей і переконувати виконати потрібні дії.

Завдяки таким ботам шахраї можуть одночасно телефонувати тисячам людей, значно збільшуючи масштаби своїх атак.

Підміна номера телефону

Ще одна поширена технологія — Caller ID Spoofing, або підміна номера телефону. За її допомогою шахраї можуть зробити так, щоб на екрані відображався номер банку, мобільного оператора чи іншої відомої організації.

Не варто довіряти дзвінку лише тому, що номер здається знайомим або офіційним. Якщо виникли сумніви, краще завершити розмову й самостійно передзвонити за номером, указаним на офіційному сайті компанії.

VoIP-технології

Багато шахрайських дзвінків здійснюються через інтернет за допомогою технології VoIP (Voice over Internet Protocol). Вона дозволяє телефонувати практично з будь-якої країни світу, приховуючи реальне місцезнаходження абонента та використовуючи різні номери телефонів. Через це встановити справжнє джерело дзвінка значно складніше.

Автоматична персоналізація сценаріїв

Сучасні алгоритми аналізують інформацію з відкритих джерел: соціальних мереж, сайтів оголошень, витоків персональних даних та інших онлайн-ресурсів. На основі цих відомостей шахраї можуть створювати індивідуальні сценарії для конкретної людини.

Наприклад, якщо у відкритому доступі є інформація про нещодавню покупку, подорож, продаж товару або отримання посилки, саме цю тему можуть використати під час телефонної розмови. Чим більше деталей збігається з реальним життям жертви, тим легше шахраям завоювати її довіру.

Саме тому головним захистом, як і раніше, залишається уважність. Якщо співрозмовник створює відчуття терміновості, просить повідомити коди, встановити сторонню програму або переказати гроші, незалежно від того, чи телефонує жива людина, чи AI-бот, найкраще рішення — завершити розмову та самостійно перевірити інформацію через офіційні канали.

Як зрозуміти, що вам телефонує шахрай

Жодна окрема ознака не гарантує, що дзвінок є шахрайським. Проте якщо ви помітили одразу кілька із наведених нижче сигналів, розмову краще завершити та самостійно перевірити інформацію.

Вас змушують поспішати

Поспіх — одна з головних ознак вішингу.

Шахраї часто повторюють:

  • «У вас залишилося лише кілька хвилин.»
  • «Не кладіть слухавку.»
  • «Потрібно діяти прямо зараз.»

Мета таких фраз — не дати людині часу подумати або звернутися до банку.

Просять повідомити секретні коди

Справжній працівник банку, мобільного оператора чи державної установи ніколи не попросить телефоном повідомити:

  • PIN-код;
  • CVV/CVC-код;
  • пароль;
  • одноразовий код із SMS;
  • код підтвердження з мобільного застосунку.

Якщо вас просять назвати хоча б один із цих кодів — це майже напевно шахрайство.

Просять встановити програму

Ще одна поширена схема — прохання встановити програму для “перевірки безпеки”, “захисту рахунку” або “технічної допомоги”.

Насправді це можуть бути програми віддаленого доступу, які дозволяють сторонній людині бачити екран вашого смартфона чи комп’ютера та керувати ним.

Пропонують перевести гроші на «безпечний рахунок»

Це один із найвідоміших прийомів телефонних шахраїв.

Жоден банк не просить клієнтів переводити власні кошти на інший рахунок для їхнього “захисту”. Якщо ви почули таку пропозицію — завершуйте розмову.

Лякають наслідками

Шахраї розраховують, що людина почне діяти емоційно.

Вони можуть погрожувати:

  • блокуванням рахунку;
  • втратою всіх коштів;
  • кримінальною відповідальністю;
  • штрафами;
  • скасуванням виплат.

Справжні установи пояснюють ситуацію спокійно та не примушують клієнтів ухвалювати рішення під психологічним тиском.

Як відрізнити справжнього працівника банку від шахрая

Якщо вам телефонують нібито зі служби безпеки банку, запам’ятайте просте правило: справжні працівники банків не просять клієнтів повідомляти конфіденційні дані або виконувати дії, які можуть поставити під загрозу безпеку рахунку.

Якщо під час розмови ви чуєте одне з наведених нижче прохань, найімовірніше, це телефонні шахраї.

Працівник банку ніколи не попроситьЧому
Назвати PIN-кодPIN-код призначений лише для власника картки й нікому не повідомляється.
Повідомити CVV/CVC-кодЦей код використовується для підтвердження онлайн-платежів і не потрібен працівникам банку.
Продиктувати код із SMS або push-сповіщенняТакі коди підтверджують операції або вхід до акаунта й призначені лише для вас.
Назвати пароль від мобільного чи інтернет-банкінгуПрацівники банку не мають права запитувати ваші паролі.
Переказати гроші на «безпечний», «резервний» чи «страховий» рахунокТакої процедури не існує. Це одна з найпоширеніших схем вішингу.
Встановити AnyDesk, TeamViewer, RustDesk або іншу програму віддаленого доступуБанки не використовують такі програми для обслуговування клієнтів. Їх часто застосовують шахраї, щоб отримати контроль над пристроєм.

Запам’ятайте: якщо під час телефонної розмови вас просять виконати хоча б одну з перелічених дій, не продовжуйте спілкування. Завершіть дзвінок і самостійно зв’яжіться з банком за офіційним номером телефону, указаним на його сайті або на зворотному боці банківської картки.

Вішинг, фішинг і смішинг: у чому різниця

Усі три види шахрайства належать до соціальної інженерії. Вони не намагаються зламати пристрій, а використовують довіру, неуважність або страх людини.

Різниця полягає лише в каналі зв’язку.

Вид шахрайстваЯк відбувається атакаОсновна мета
ВішингТелефонний дзвінокВиманити дані або змусити виконати потрібні дії
ФішингЕлектронний лист або підроблений сайтВикрасти логіни, паролі чи банківські реквізити
СмішингSMS або повідомлення в месенджеріЗмусити перейти за шкідливим посиланням або повідомити конфіденційну інформацію

На практиці ці методи часто поєднуються. Наприклад, після телефонної розмови шахрай може надіслати SMS із кодом або посиланням на підроблений сайт.

Як захиститися від вішингу

Абсолютного захисту від телефонного шахрайства не існує. Однак кілька простих правил допомагають уникнути більшості атак.

Не довіряйте лише номеру телефону

Навіть якщо на екрані відображається офіційний номер банку, це ще не означає, що дзвінок справжній. Сучасні технології дозволяють шахраям підміняти номер відправника.

Якщо виникли сумніви, завершіть розмову й самостійно зателефонуйте до організації за номером, указаним на її офіційному сайті або на зворотному боці банківської картки.

Ніколи не повідомляйте конфіденційні дані

Запам’ятайте просте правило: якщо для вирішення проблеми вас просять назвати код із SMS, пароль або PIN-код — це привід негайно припинити розмову.

Працівники банків уже мають доступ до інформації, необхідної для обслуговування клієнтів. Вони не потребують ваших одноразових кодів підтвердження.

Не поспішайте

Телефонні шахраї майже завжди намагаються змусити людину діяти негайно.

Якщо вам повідомляють про підозрілу операцію або іншу проблему, зробіть паузу. Навіть кілька хвилин можуть запобігти втраті грошей.

Самостійно перевіряйте інформацію

Після завершення розмови:

  • відкрийте офіційний мобільний застосунок банку;
  • перевірте баланс і останні операції;
  • зателефонуйте до служби підтримки за офіційним номером;
  • зверніться до мобільного оператора, якщо дзвінок стосувався SIM-картки.

Не використовуйте телефонний номер, який вам продиктував співрозмовник.

Не встановлюйте програми за вказівкою незнайомців

Якщо хтось телефоном просить встановити програму для “захисту”, “діагностики” або “допомоги”, майже напевно йдеться про шахрайство.

Будь-яке програмне забезпечення встановлюйте лише з офіційних магазинів застосунків і лише тоді, коли ви точно розумієте, для чого воно потрібне.

Подбайте про цифрову гігієну

Хоча вішинг базується насамперед на психологічному впливі, хороші звички цифрової безпеки також знижують ризики.

Корисно:

  • використовувати надійні унікальні паролі;
  • увімкнути двофакторну автентифікацію;
  • регулярно оновлювати операційну систему та застосунки;
  • не публікувати у відкритому доступі зайву особисту інформацію.

Чим менше даних про вас можуть знайти шахраї, тим складніше їм буде створити переконливу легенду.

Що робити, якщо ви вже стали жертвою вішингу

Якщо ви повідомили шахраям конфіденційні дані або виконали їхні вказівки, діяти потрібно негайно.

1. Заблокуйте банківську картку.
Найшвидше це можна зробити через мобільний застосунок або гарячу лінію банку.

2. Змініть паролі.
Якщо ви повідомили пароль або код підтвердження, змініть пароль до інтернет-банкінгу, електронної пошти та інших важливих акаунтів.

3. Перевірте останні операції.
Переконайтеся, що з рахунків не було несанкціонованих списань. Якщо такі операції є, негайно повідомте про них банк.

4. Видаліть сторонні програми.
Якщо ви встановили застосунок на прохання незнайомця, відключіть пристрій від інтернету та видаліть його. У разі сумнівів зверніться до фахівця з кібербезпеки.

5. Повідомте банк і правоохоронні органи.
Навіть якщо гроші ще не були викрадені, повідомлення про інцидент допоможе швидше заблокувати підозрілі операції та може бути важливим для розслідування.

6. Зверніться до мобільного оператора.
Якщо існує ризик, що шахраї могли отримати контроль над вашим номером телефону, попросіть оператора перевірити його безпеку та, за потреби, заблокувати перевипуск SIM-картки.

Висновок

Вішинг — це приклад того, що сучасні кіберзагрози дедалі частіше спрямовані не на комп’ютери, а на людей. Зловмисники використовують страх, поспіх, довіру до авторитетів і новітні технології, щоб змусити жертву добровільно розкрити конфіденційні дані або підтвердити фінансову операцію.

Саме тому найкращим захистом залишається критичне мислення. Якщо під час телефонної розмови вас просять повідомити секретний код, встановити невідому програму чи терміново переказати гроші, не поспішайте виконувати вказівки. Завершіть дзвінок, самостійно зв’яжіться з відповідною організацією через офіційні канали та перевірте отриману інформацію.

У більшості випадків кілька хвилин спокійної перевірки допомагають уникнути фінансових втрат і зберегти не лише гроші, а й особисті дані та доступ до ваших цифрових акаунтів.

Читайте також: “Самий захищений месенджер

Прокрутка до верху