甚麼是語音釣魚(Vishing)?

Tball

語音釣魚又稱「語音網絡釣魚」,是一種社交工程攻擊,利用電話或語音通訊來誘騙個人揭露敏感資訊,例如銀行帳戶資料、登入憑證或個人身份識別資訊。

認識語音釣魚

雖然網絡釣魚郵件較常被人發現,但語音釣魚攻擊卻不斷增加,而且經常會潛伏躲避偵測。有別於其他專門攻擊數碼管道的網絡攻擊,語音釣魚透過直接語音互動來操控人與人的信任,因此成為詐騙集團的強大工具。

影像

語音釣魚攻擊常用的技巧

語音釣魚攻擊會結合各種操控技巧來讓詐騙手法變得令人信服。以下是一些最常用的手法:

前置設定

黑客會虛構一個故事或「前置設定」來證明這通電話的合理性。他們可能宣稱是來自受害者的銀行,並告訴他們他們的帳戶有可疑活動。他們會試圖在自己的背景下製造一種緊迫感,讓受害者不能深入思考就作出回應,並放棄自己的敏感資訊。

來電顯示詐騙

黑客會篡改來電顯示資訊,讓它看起來好像是來自合法來源。這麼做是為了降低受害者的防禦能力,讓他們更容易信任來電者。

緊急應變策略

語音釣魚最有效的技巧之一就是製造一種緊迫感。黑客可能宣稱必須立即採取行動來防範詐騙或財務損失,迫使受害者在沒有時間思考或驗證來電者身份之前採取行動。

何謂語音釣魚攻擊

語音釣魚詐騙的真實案例

技術支援詐騙

黑客通常會假扮成知名科技公司的客戶支援人員,宣稱受害者的電腦已遭黑客入侵。他們說服受害者提供遠端存取或支付假的維修費用,這通常會導致資料失竊或財物損失。

銀行模擬詐騙

在這些詐騙中,詐騙集團會假冒銀行代表,宣稱受害者的帳戶有可疑活動。黑客會辯稱為了帳戶安全而要求用戶提供一些敏感資訊,例如:密碼或個人識別碼,令黑客可未經授權而存取財務資料。

速遞詐騙

速遞詐騙是黑客假裝來自某家快遞服務,宣稱某包裹有問題。受害者必須提供個人或付款資訊來解決問題,然後詐騙集團就會利用這些資訊進行詐騙。

語音釣魚對企業和個人的風險

對個人的風險

  • 身份盜用與未經授權的帳號存取:黑客可利用竊取到的個人資訊來掌控財務帳號、竊取資金或取得敏感資料。
  • 金融詐騙:犯罪集團可能會直接竊取錢財,或利用受害者的資訊來開立新帳號、申請貸款,或是以其名義進行詐騙性購物。
  • 暗網銷售:遭入侵的個人資料可經由暗網販售,讓其他犯罪集團以受害者的身份從事各種非法活動。

對企業的風險

  • 資料外洩:以員工為目標的語音釣魚攻擊可能導致客戶資訊、專屬資料及機密通訊遭外洩,進而造成廣泛的資訊保安問題。
  • 合規與法律後果:在金融、醫療、科技等產業,資料外洩可能導致高額的合規罰款、受害機構面臨訴訟,以及喪失競爭優勢。
  • 失去客戶信任: 語音釣魚所造成的資料外洩,很可能嚴重損害企業的商譽,進而導致客戶忠誠度損失及長期的財務損失。

語音釣魚攻擊的徵兆

  • 要是能分辨語音釣魚就可以防止被攻擊!以下是一些需要注意的警號:

不請自來的電話要求提供敏感資訊

若您接到一個非預期的電話要求您提供個人資訊,例如帳號或密碼,那就是危險訊號。合法企業通常不會在未經事先驗證的情況下,透過電話要求提供敏感資料。

迅速採取行動的壓力

語音釣魚詐騙集團通常會製造一種緊迫感,宣稱必須立即採取行動來防範負面事件,例如帳號遭停用或資金損失。小心任何強迫您迅速不經驗證作出決策的來電者。

不預先通知而要求提供個人資料

要小心一些要求您確認個人資訊的電話,例如社會保障號碼或登入憑證,尤其是您不預期會接到的電話。合法企業通常允許採用其他驗證程序。

如何防範語音釣魚攻擊

  • 要防範語音釣魚攻擊個人和企業並降低其衝擊,您可以考慮以下幾個最佳實務守則:

對不請自來的電話抱持懷疑態度

若您接到不請自來的電話要求提供個人資訊,請務必透過官方管道直接與公司聯繫來確認來電者的身份。別只靠來電顯示,因為它可能被冒用。

切勿透過電話分享敏感資訊

避免透過電話分享個人資訊,例如帳號、密碼或個人識別碼。合法企業絕不會在不請自來的電話中詢問這些資訊。

員工培訓

企業應該定期為員工舉辦網絡資訊保安培訓,以便學習如何分辨語音釣魚攻擊,並建立一套報告可疑電話的安排。

封鎖通話與認證工具

可考慮使用通話封鎖應用程式或服務來過濾垃圾來電。企業可利用語音認證工具來驗證來電者的身份,尤其是在涉及敏感資訊的情況下。

如何防範語音釣魚攻擊

趨勢科技電郵防護方案

Trend Vision One™ Email and Collaboration Security 提供了領先業界的防護來防範針對電郵和協同作業平台的進階威脅。它透過人工智能威脅偵測與動態沙盒模擬環境分析來攔截網絡釣魚、商務電郵詐騙、勒索程式及其他針對性攻擊。

以即時驗證寄件人身份、掃描網址和附件檔案,並運用跨世代的威脅防禦技巧,提供全方位視野與監控,涵蓋各種雲端通訊管道。