فیشینگ صوتی

فیشینگ صوتی یا فیشینگ تلفنی^[۱](به انگلیسی: Voice phishing) به‌طور خلاصه فیشینگ نوعی سرقت است که در آن یک مهاجم به عنوان یک شخص معتبر تلاش می‌کند اطلاعات کاربر مخصوصاً اطلاعات حساب بانکی کاربر را به سرقت ببرد و از آن سوء استفاده کند. در ویشینگ که ترکیب دو کلمه صدا Voice و فیشینگ Phishing است، پیام‌هایی برای شخص فرستاده می‌شود مبنی بر اینکه حساب بانکی شما دچار مشکلاتی شده و برای حل این مشکلات شخص را راهنمایی به تماس با یک شماره می‌کند که در واقع متعلق به فیشر است.

خدمات تلفن ثابت به‌طور سنتی قابل اعتماد بوده‌است. در مکان‌های فیزیکی شناخته شده برای شرکت تلفن خاتمه یافته و با پرداخت کننده صورتحساب مرتبط است. با این حال، اکنون کلاهبرداران ویزینگ اغلب از ویژگی‌های مدرن صدا روی پروتکل اینترنت مانند جعل شناسه تماس گیرنده و سیستم‌های خودکار (تلفن گویا) برای جلوگیری از شناسایی توسط سازمان‌های مجری قانون استفاده می‌کنند. فیشینگ صوتی معمولاً برای سرقت شماره کارت اعتباری یا سایر اطلاعات مورد استفاده در طرح‌های سرقت هویت از افراد استفاده می‌شود.

معمولاً، حملات فیشینگ صوتی با استفاده از سیستم‌های خودکار تبدیل متن به گفتار انجام می‌شود که قربانی را هدایت می‌کند تا با شماره‌ای که توسط مهاجم کنترل می‌شود تماس بگیرد، اما برخی از تماس‌گیرندگان زنده استفاده می‌کنند. کلاهبردار با ظاهر شدن به عنوان کارمند یک نهاد قانونی مانند بانک، پلیس، ارائه دهنده تلفن یا اینترنت، سعی می‌کند اطلاعات شخصی و اطلاعات مالی مربوط به کارت اعتباری، حساب‌های بانکی (مانند پین) و همچنین اطلاعات شخصی قربانی را به دست آورد. با اطلاعات دریافتی، کلاهبردار ممکن است بتواند به حساب کاربری دسترسی پیدا کند و آن را خالی کند یا مرتکب کلاهبرداری هویت شود. برخی از کلاهبرداران همچنین ممکن است سعی کنند قربانی را متقاعد کنند که پول را به حساب بانکی دیگری منتقل کند یا پول نقد را برداشت کند تا مستقیماً به آنها داده شود.^[۲] تماس گیرندگان همچنین اغلب به عنوان مجری قانون یا کارمند خدمات درآمد داخلی ظاهر می‌شوند.^[۳]^[۴] کلاهبرداران اغلب مهاجران و افراد مسن را هدف قرار می‌دهند،^[۵] که در پاسخ به تهدید به دستگیری یا اخراج، مجبور به دریافت صدها تا هزاران دلار می‌شوند.

اطلاعات حساب بانکی تنها اطلاعات حساسی نیست که مورد هدف قرار گرفته‌است. کلاهبرداران گاهی اوقات سعی می‌کنند با جعل شناسه تماس گیرنده مایکروسافت یا اپل، اعتبار امنیتی را از مصرف‌کنندگانی که از محصولات مایکروسافت یا اپل استفاده می‌کنند، دریافت کنند.

صداهای صوتی برای ارتکاب کلاهبرداری، با فریب دادن مردم به این فکر که از یک فرد مورد اعتماد دستورالعمل دریافت می‌کنند، استفاده شده‌است.^[۶]

انگیزه‌ها[ویرایش]

انگیزه‌های مشترک شامل پاداش مالی، ناشناس بودن و شهرت است.^[۷] می‌توان از اطلاعات بانکی محرمانه برای دسترسی به دارایی‌های قربانیان استفاده کرد. اعتبار فردی را می‌توان به افرادی فروخت که مایلند هویت خود را برای انجام برخی فعالیت‌ها، مانند به دست آوردن سلاح، پنهان کنند. این ناشناس بودن خطرناک است و ردیابی آن توسط مجریان قانون ممکن است دشوار باشد. دلیل دیگر این است که فیشرها ممکن است به دنبال شهرت در میان جامعه حملات سایبری باشند.

عملیات[ویرایش]

فیشینگ صوتی به اشکال مختلفی ارائه می‌شود. روش‌ها و ساختارهای عملیاتی مختلفی برای انواع مختلف فیشینگ وجود دارد. معمولاً کلاهبرداران از مهندسی اجتماعی استفاده می‌کنند تا قربانیان را در مورد نقشی که بازی می‌کنند متقاعد کنند و احساس فوریت را برای اعمال فشار علیه قربانیان ایجاد کنند.

تشخیص و پیشگیری[ویرایش]

شناسایی حملات فیشینگ صوتی برای قربانیان دشوار است زیرا موسسات قانونی مانند بانک‌ها گاهی اطلاعات شخصی حساس را از طریق تلفن درخواست می‌کنند. طرح‌های فیشینگ ممکن است از پیام‌های از پیش ضبط‌شده بانک‌های منطقه‌ای و قابل توجه استفاده کنند تا آنها را از تماس‌های قانونی متمایز نکنند. آنها را در برابر حملات فیشینگ صوتی آسیب پذیرتر می‌کند.

کمیسیون تجارت فدرال ایالات متحده راه‌های مختلفی را برای مصرف‌کننده عادی برای شناسایی کلاهبرداری‌های تلفنی پیشنهاد می‌کند. در مورد پرداخت با استفاده از پول نقد، کارت‌های هدیه و کارت‌های پیش پرداخت هشدار می‌دهد و تأکید می‌کند که سازمان‌های دولتی برای بحث در مورد اطلاعات شخصی مانند شماره‌های تأمین اجتماعی با شهروندان تماس نمی‌گیرند.^[۸] علاوه بر این، قربانیان بالقوه می‌توانند به ویژگی‌های تماس تلفنی، مانند لحن یا لهجه تماس‌گیرنده یا فوریت تماس تلفنی توجه کنند تا تشخیص دهند که آیا تماس مشروع است یا خیر.

راحل‌ها[ویرایش]

مستقیم‌ترین و مؤثرترین استراتژی کاهش، آموزش عموم مردم برای درک ویژگی‌های رایج حمله فیشینگ صوتی برای شناسایی پیام‌های فیشینگ است.^[۹] یک رویکرد فنی‌تر، استفاده از روش‌های تشخیص نرم‌افزار خواهد بود. به‌طور کلی، چنین مکانیسم‌هایی می‌توانند بین تماس‌های فیشینگ و پیام‌های صادقانه تمایز قائل شوند و می‌توانند ارزان‌تر از آموزش عمومی پیاده‌سازی شوند.

تشخیص فیشینگ[ویرایش]

یک روش ساده برای تشخیص فیشینگ استفاده از لیست سیاه است. تحقیقات اخیر تلاش کرده‌است تا با استفاده از هوش مصنوعی و تجزیه و تحلیل داده‌ها، تمایز دقیقی بین تماس‌های قانونی و حملات فیشینگ ایجاد کند.^[۱۰] با تجزیه و تحلیل و تبدیل تماس‌های تلفنی به متن، مکانیسم‌های هوش مصنوعی مانند پردازش زبان طبیعی را می‌توان برای تشخیص اینکه آیا تماس تلفنی یک حمله فیشینگ است یا خیر، استفاده کرد.

نمونه‌های قابل توجه[ویرایش]

بین سال‌های ۲۰۱۲ تا ۲۰۱۶، یک حلقه کلاهبرداری فیشینگ صوتی به‌عنوان کارمندان خدمات درآمد داخلی و مهاجرت به بیش از ۵۰٫۰۰۰ نفر ظاهر شد و صدها میلیون دلار و همچنین اطلاعات شخصی قربانیان را به سرقت برد. مظنونین همدست از ایالات متحده و هند پاسخ دهندگان آسیب‌پذیر را به «دستگیری، حبس، جریمه نقدی یا اخراج» تهدید کردند.
در ۲۸ مارس ۲۰۲۱، کمیسیون ارتباطات فدرال بیانیه‌ای صادر کرد و به آمریکایی‌ها دربارهٔ افزایش تعداد کلاهبرداری‌های تلفنی در مورد محصولات جعلی کووید ۱۹ هشدار داد.^[۱۱] طرح‌های فیشینگ صوتی که تلاش می‌کنند محصولاتی را بفروشند که ظاهراً کووید-۱۹ را «پیشگیری، درمان، کاهش، تشخیص یا درمان می‌کند» توسط سازمان غذا و دارو نیز نظارت شده‌است.^[۱۲]

منابع[ویرایش]

↑ Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Proceedings of the 5th annual conference on Information security curriculum development - InfoSecCD '08. p. 33. doi:10.1145/1456625.1456635. ISBN 978-1-60558-333-4.
↑ Association, Press (2013-08-28). "'Vishing' scams net fraudsters £7m in one year". The Guardian (به انگلیسی). Retrieved 2018-09-04.
↑ Olson, Elizabeth (2018-12-07). "When Answering the Phone Exposes You to Fraud". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2021-04-08.
↑ "Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam". NPR.org (به انگلیسی). Retrieved 2021-04-08.
↑ Hauser, Christine (2018-07-23). "U.S. Breaks Up Vast I.R.S. Phone Scam". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2021-04-06.
↑ Statt, Nick (2019-09-05). "Thieves are now using AI deepfakes to trick companies into sending them money". The Verge (به انگلیسی). Retrieved 2021-04-08.
↑ Khonji, Mahmoud; Iraqi, Youssef; Jones, Andrew. "Phishing Detection: A Literature Survey" (PDF). IEEE Communications Surveys & Tutorials. 15.
↑ Shamah, David. "Anatomy of an Iranian hack attack: How an Israeli professor got stung". www.timesofisrael.com (به انگلیسی). Retrieved 2021-04-08.
↑ Khonji, Mahmoud; Iraqi, Youssef; Jones, Andrew. "Phishing Detection: A Literature Survey" (PDF). IEEE Communications Surveys & Tutorials. 15.
↑ Kim, Jeong-Wook; Hong, Gi-Wan; Chang, Hangbae. "Voice Recognition and Document Classification-Based Data Analysis for Voice Phishing Detection" (PDF). Human-centric Computing and Information Sciences.
↑ "COVID-19 Robocall Scams". Federal Communications Commission (به انگلیسی). 2020-07-17. Retrieved 2021-04-06.
↑ Affairs, Office of Regulatory (2021-04-02). "Fraudulent Coronavirus Disease 2019 (COVID-19) Products". FDA (به انگلیسی).

پیوند به بیرون[ویرایش]

https://www.bbc.co.uk/news/business-34425717 Legal career "hit by vishing scam"
https://www.bbc.co.uk/news/business-34153962 Caught on tape: How phone scammers tricked a victim out of £12,000 By Joe Lynam & Ben Carter BBC News
vnunet.com story: Cyber-criminals switch to VoIP "vishing"
BBC News story: Criminals exploit net phone calls
The Paper PC: Messaging Security 2006: Vishing: The Next Big Cyber Headache?
The Register: FBI warns over "alarming" rise in American "vishing"
Vice Media: How a Hacker Can Take Over Your Life by Hijacking Your Phone Number An assessment of how call centre staff handle a vishing call.

[vishing3-1] Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Proceedings of the 5th annual conference on Information security curriculum development - InfoSecCD '08. p. 33. doi:10.1145/1456625.1456635. ISBN 978-1-60558-333-4.

[2] Association, Press (2013-08-28). "'Vishing' scams net fraudsters £7m in one year". The Guardian (به انگلیسی). Retrieved 2018-09-04.

[:12-3] Olson, Elizabeth (2018-12-07). "When Answering the Phone Exposes You to Fraud". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2021-04-08.

[npr.org-4] "Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam". NPR.org (به انگلیسی). Retrieved 2021-04-08.

[:22-5] Hauser, Christine (2018-07-23). "U.S. Breaks Up Vast I.R.S. Phone Scam". The New York Times (به انگلیسی). ISSN 0362-4331. Retrieved 2021-04-06.

[6] Statt, Nick (2019-09-05). "Thieves are now using AI deepfakes to trick companies into sending them money". The Verge (به انگلیسی). Retrieved 2021-04-08.

[:4-7] Khonji, Mahmoud; Iraqi, Youssef; Jones, Andrew. "Phishing Detection: A Literature Survey" (PDF). IEEE Communications Surveys & Tutorials. 15.

[8] Shamah, David. "Anatomy of an Iranian hack attack: How an Israeli professor got stung". www.timesofisrael.com (به انگلیسی). Retrieved 2021-04-08.

[:42-9] Khonji, Mahmoud; Iraqi, Youssef; Jones, Andrew. "Phishing Detection: A Literature Survey" (PDF). IEEE Communications Surveys & Tutorials. 15.

[:11-10] Kim, Jeong-Wook; Hong, Gi-Wan; Chang, Hangbae. "Voice Recognition and Document Classification-Based Data Analysis for Voice Phishing Detection" (PDF). Human-centric Computing and Information Sciences.

[11] "COVID-19 Robocall Scams". Federal Communications Commission (به انگلیسی). 2020-07-17. Retrieved 2021-04-06.

[12] Affairs, Office of Regulatory (2021-04-02). "Fraudulent Coronavirus Disease 2019 (COVID-19) Products". FDA (به انگلیسی).

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]