Kita semua pernah mendengar tentang phishing, penipuan email yang memalsukan sumber resmi untuk mengelabui penerima agar menyerahkan informasi sensitif atau mengunduh malware. Nah, vishing setara dengan itu tetapi melalui panggilan telepon.
Voice phishing atau vhishing adalah bentuk penipuan melalui telepon. Penipu menggunakan social engineering melalui telepon untuk mendapatkan akses ke informasi dan keuangan pribadi. Ini adalah tipuan dengan banyak varian yang dapat berdampak buruk bagi korbannya dengan konsekuensi yang sangat merugikan.
Phising, smishing, pharming, dan vishing jika digabungkan, secara keseluruhan telah memakan lebih dari 241.000 korban dan menelan biaya lebih dari $54 juta pada tahun 2020. Dan itu hanya kasus yang dilaporkan ke FBI karena banyak kasus penipuan tidak dilaporkan.
Jadi bagaimana cara kerja penipuan vishing, bagaimana pengaruhnya terhadap bisnis dan individu, dan bagaimana cara untuk melindungi diri dari mereka?
Social engineering
Vishing bergerak di segala jenis konsumen dan bidang bisnis karena satu alasan yang sangat bagus: kesalahan manusia. Social engineering pada dasarnya adalah seni persuasi. Social engineering adalah tentang meniru otoritas tepercaya, seperti bank, penyedia teknologi, pemerintah, IT support untuk menciptakan rasa urgensi atau ketakutan yang mengesampingkan kehati-hatian atau kecurigaan alami yang mungkin dimiliki korban.
Teknik ini digunakan dalam email phising dan pesan teks palsu (dikenal sebagai smishing). Tapi mungkin ini paling efektif saat digunakan langsung melalui telepon. Visher memiliki beberapa alat dan taktik tambahan untuk membuat penipuan mereka lebih berhasil, termasuk:
-
- Alat spoofing ID penelepon, yang dapat digunakan untuk menyembunyikan lokasi sebenarnya penipu dan bahkan meniru nomor telepon organisasi tepercaya. Tahun lalu, misalnya, data pribadi klien Ritz London dicuri selama pelanggaran di hotel mewah dan scammers kemudian menggunakan data tersebut untuk melakukan serangan Social engineering yang meyakinkan terhadap para korban, memalsukan nomor resmi hotel dalam prosesnya.
-
- Penipuan multi kanal yang mungkin dimulai dengan pesan teks smishing, email phising, atau pesan suara dan mendorong pengguna untuk menelepon nomor tertentu. Melakukan hal itu akan menempatkan korban langsung ke scammer.
-
- Riset media sosial dan open source yang dapat memberi scammer banyak informasi tentang korban mereka. Ini dapat digunakan untuk menargetkan individu tertentu (misalnya, karyawan perusahaan dengan akun istimewa) dan untuk menambah legitimasi penipuan, visher dapat mengulangi kembali beberapa detail pribadi kepada korban sehingga mereka dapat membocorkan lebih banyak.
Vishing di tempat kerja
Vishing kemungkinan besar dalam konteks perusahaan digunakan untuk mencuri kredensial istimewa. Di mana penjahat dunia maya meneliti target mereka dan kemudian menelepon berpura-pura dari IT support.
Korban didorong untuk mengisi detail login mereka di situs phising yang terdaftar sebelumnya yang dirancang untuk menipu halaman login VPN perusahaan. Kredensial ini kemudian digunakan untuk mengakses database perusahaan untuk informasi pribadi pelanggan.
Serangan semacam itu sering terjadi sebagian karena transformasi massal ke kerja jarak jauh selama pandemi, FBI memperingatkan. Bahkan, terpaksa mengeluarkan peringatan lain pada Januari 2021 untuk operasi di mana teknik serupa digunakan untuk mendapatkan akses jaringan perusahaan.
Jenis penipuan vishing:
Penipuan dukungan teknis
Dalam penipuan dukungan teknis, seseorang berpura-pura menjadi ISP atau vendor perangkat lunak atau perangkat keras terkenal. Mereka akan mengklaim telah menemukan masalah yang sebenarnya tidak ada dengan PC Anda dan kemudian meminta pembayaran (dan detail kartu Anda) untuk memperbaikinya, terkadang mengunduh malware dalam prosesnya. Penipuan ini juga dapat dimulai dengan pengguna yang disajikan dengan jendela pop-up yang mendesak mereka untuk menghubungi nomor hotline.
Wardialing
Ini adalah praktik mengirim pesan suara otomatis ke sejumlah besar korban, dan biasanya mencoba menakut-nakuti mereka agar menelepon kembali, misalnya dengan mengklaim bahwa mereka memiliki tagihan pajak atau denda lain yang belum dibayar.
Telemarketing
Taktik populer lainnya adalah menelepon dan mengklaim penerima telah memenangkan hadiah luar biasa. Namun, untuk memperolehnya ada biaya di muka yang diperlukan sebelum korban dapat menerima hadiah mereka.
Phising/smishing
Seperti disebutkan, penipuan dapat dimulai dengan email palsu atau SMS palsu, mendorong pengguna untuk menelepon nomor tertentu. Yang populer adalah email Amazon yang mengklaim ada yang salah dengan pesanan baru-baru ini. Memanggil nomor tersebut akan menempatkan korban pada jalur dengan penipu vishing.
Mencegah vishing
Meskipun beberapa penipuan ini menjadi semakin canggih, ada banyak hal yang dapat dilakukan untuk mengurangi risiko menjadi korban. Beberapa langkah dasar meliputi:
-
- Buka ex-direktori, jadi nomor tidak tersedia untuk umum.
- Jangan memasukkan nomor telepon ke dalam formulir online apa pun (yaitu saat membeli secara online).
- Waspadalah terhadap permintaan bank Anda, informasi pribadi atau informasi sensitif lainnya melalui telepon.
- Berhati-hatilah, jangan terlibat dengan penelepon yang tidak dikenal, terutama jika mereka meminta untuk mengonfirmasi detail sensitif.
- Jangan pernah menelepon kembali nomor yang ditinggalkan melalui pesan suara. Selalu hubungi organisasi secara langsung.
- Gunakan otentikasi multi-faktor (MFA) di semua akun online.
- Pastikan keamanan email/web Anda diperbarui dan mencakup kemampuan anti phising.
Sumber berita:
https://www.welivesecurity.com/