Голосовий фішинг: коли телефонний дзвінок коштує мільйони

Випадки, коли спіробітники віддають шахраям доступ до корпоративної системи, стаються дедалі частіше. Дзвонить чоловік, представляється співробітником IT-відділу: “У вас проблеми з сервером, терміново потрібен ваш пароль для перевірки”. Голос впевнений, знає деталі про компанію. Тільки випадково з’ясувалося, що в компанії IT-відділ складається з однієї людини, яка саме була у відпустці.

Це класичний приклад того, як працює голосовий фішинг сьогодні. Шахраї стали набагато винахідливішими, ніж кілька років тому.

Нові методи старої афери

Раніше вішинг (так ще називають голосовий фішинг) був досить примітивним. Дзвонили випадковим людям, представлялися банкірами і просили назвати номер картки. Зараз все набагато складніше.

Сучасні афористи збирають інформацію про жертву заздалегідь. Вивчають соцмережі, корпоративні сайти, LinkedIn. Знають, хто де працює, як звати керівника, які проекти зараз ведуться. А потім дзвонять і говорять саме те, що хочеш почути.

Бувають випадки, коли шахрай передзвонив бухгалтеру під виглядом директора. Говорив точно його манерою, згадував подробиці вчорашньої наради. Просив терміново перевести гроші “партнеру”. Якби не додаткова перевірка, компанія втратила б півмільйона.

Соціальна інженерія в дії

Найстрашніше в голосовому фішингу не технології, а психологія. Шахраї майстерно маніпулюють емоціями: створюють штучну терміновість, граються на довірі, лякають наслідками.

“Ваш рахунок буде заблокований через годину”, “Хакери атакують вашу систему прямо зараз”, “Якщо не зробите це негайно, втратите всі дані”. Під тиском люди роблять те, чого ніколи б не зробили в спокійному стані.

Особливо вразливі нові співробітники. Вони ще не знають всіх процедур, бояться здатися некомпетентними, довіряють “старшим колегам” по телефону.

Як захищатися на практиці

Кібергігієна починається з простих правил, але дотримуватися їх чомусь складно. Перше правило: ніколи не давайте конфіденційну інформацію по телефону, навіть якщо дуже просять.

Друге: завжди перевіряйте. Людина каже, що дзвонить з банку? Покладіть слухавку, знайдіть офіційний номер банку і передзвоніть самі. Представляється колегою з іншого відділу? Напишіть йому в корпоративному месенджері.

Культура кібербезпеки в компанії — це коли кожен розуміє: краще перепитати і здатися параноїком, ніж довірити зайвого. У нормальних організаціях ніхто не образиться, якщо ви попросите додаткове підтвердження.

Навчання — єдиний спосіб

Кібернавчання персоналу має включати практичні сценарії. Мало розповісти про загрози — треба показати, як вони виглядають. Деякі компанії навіть влаштовують тестові дзвінки співробникам, перевіряючи їхню готовність.

Профілактика кіберзлочинів — це не лише технічні засоби. Це постійна робота з людьми, регулярні нагадування, обговорення нових схем обману.

Практичні поради

Голосовий фішинг буде тільки розвиватися. Вже зараз з’являються технології клонування голосу, штучний інтелект вчиться імітувати мовлення конкретних людей. Єдиний спосіб захиститися — навчити людей думати критично і завжди перевіряти інформацію.

Пам’ятайте: справжні фахівці з безпеки ніколи не попросять пароль по телефону. Це аксіома, яку варто запам’ятати назавжди.