英文「Vishing」是「Voice Phishing」的縮寫,也就是「語音釣魚」,這是一種社交工程攻擊,利用電話或語音通訊來誘騙個人洩露敏感資訊,例如:銀行帳戶資料、登入憑證,或個人身分識別資訊 (PII)。
目錄
認識語音釣魚
儘管網路釣魚 (Phishing) 以郵件的型態較為常見,但語音釣魚的案例正在不斷攀升,而且經常不為人知。有別於其他針對數位管道的網路攻擊,語音釣魚是直接經由語音交談來操弄人們的信任,可說是一種強大的詐騙工具。
語音釣魚常用的技巧
語音釣魚結合了多種操弄技巧來讓人受騙上當,以下是一些最常見的手法:
編織藉口
駭客會編織一個故事作為他們撥打這通電話的藉口,駭客可能宣稱來自受害者開戶的銀行,特地前來告知受害者的帳戶可能有可疑活動。他們會試圖營造一種急迫性,讓受害者在情急之下,不假思索就將自己的敏感資訊提供給對方。
來電顯示號碼造假
駭客會篡改來電顯示號碼,讓電話看似來自正常來源,這樣做是為了降低受害者的戒心,以便更容易取得信任。
急迫性話術
語音釣魚最有效的一種技巧就是營造急迫性,駭客會宣稱受害者必須立即行動才能防止被騙或損失錢財,讓受害者沒有時間仔細思考或確認來電者的身分就立即行動。
語音釣魚詐騙的真實案例
技術支援詐騙
駭客經常假扮成知名科技公司的客戶支援人員,宣稱受害者的電腦已遭駭客入侵。他們會說服受害者提供遠端存取權限或支付莫須有的維修費用,這通常會導致受害者資料被竊或損失錢財。
假銀行人員詐騙
在這類詐騙中,駭客會假扮成銀行人員,宣稱受害者的帳戶有可疑活動,駭客會要求受害者提供一些敏感資訊 (例如密碼或 PIN 碼),假裝是為了保護帳戶,但實際上是為了取得銀行帳戶的資料。
假快遞詐騙
在假快遞詐騙中,駭客會假扮成某家快遞公司,宣稱受害者的包裹出現問題,要求受害者提供個人資訊或付款資訊來解決問題,其實是為了騙取這些資訊來從事詐騙。
語音釣魚對企業和個人的風險
對個人的風險
- 身分盜用與未經授權而進入帳戶:駭客可利用竊取到的個人資訊來進入銀行帳戶、偷走帳戶裡的存款,或是取得敏感的資料。
- 金融詐騙:駭客可能會直接偷走存款,或利用受害者的資訊來申請新帳戶、申請貸款,或是用受害者的名字亂買東西。
- 賣到暗網:被駭客竊取的個人資料有可能被賣到暗網,讓其他駭客集團也能利用受害者的身分來從事各種非法活動。
對企業的風險
- 資料外洩:針對企業員工的語音釣魚可能導致客戶資訊、專屬資料和機密通訊外洩,造成普遍性的資安問題。
- 法規與法律後果:對於像金融、醫療、科技這樣的產業,資料外洩很可能引來巨額的罰鍰、受影響對象的集體訴訟,以及喪失競爭優勢。
- 失去客戶信任:語音釣魚所導致的資料外洩,很可能嚴重損害企業的商譽,進而失去忠誠的客戶並帶來長期的財務損失。
遇到語音釣魚的徵兆
- 想要防範語音釣魚,首先要學會分辨!以下是一些值得注意的警訊:
要求您提供敏感資訊的陌生電話
若您接到一通陌生電話要求您提供個人資訊,例如帳號或密碼,就是一項危險訊號。正常的企業通常不會在未經事先確認的情況下,透過電話要求您提供敏感資料。
覺得有壓力必須立即行動
語音釣魚詐騙集團通常會營造一種急迫性,宣稱您必須立即行動否則就會發生不幸,例如帳號遭到停用或失去存款。請小心任何催促您在不經查證的情況下立即做決定的電話。
未事先通知就來索取個人資料
小心那些要求您確認個人資訊 (例如身分證字號) 的電話,尤其是陌生的電話,正常的企業通常會提供其他驗證管道。
如何防範語音釣魚
- 要防範個人和企業遇到的語音釣魚並降低衝擊,您可考慮以下幾項最佳實務原則:
對陌生的電話抱持懷疑
當您接到陌生電話要求您提供個人資訊,請務必透過對方的正式管道直接與該公司聯繫來確認來電者身分。別依賴來電顯示號碼,因為它可以造假。
切勿在電話中提供敏感資訊
避免在電話中提供個人詳細資訊,例如:帳號、密碼或 PIN 碼。正常的企業絕對不會貿然打電話跟您詢問這些資訊。
員工訓練
企業應定期為員工舉辦網路資安訓練,讓員工學會如何分辨語音釣魚,並建立一套通報可疑電話的機制。
來電封鎖與認證工具
可考慮使用過濾垃圾電話的來電封鎖應用程式或服務,企業可透過語音認證工具來查驗來電者的身分,尤其是在涉及敏感資訊的時候。
趨勢科技電子郵件防護解決方案
Trend Vision One™ Email and Collaboration Security 提供了領先業界的防護來防範針對電子郵件和協同作業平台的進階威脅。它能藉由 AI 驅動的威脅偵測與動態沙盒模擬分析來攔截網路釣魚、變臉詐騙 (BEC)、勒索病毒以及其他針對性攻擊。
藉由即時驗證寄件人身分、掃描網址和附件檔案、善用跨世代威脅防禦技巧,就能提供全方位的可視性與控管來保護您的雲端通訊管道。