Открыть сервис

Вишинг

Вишинг — это вид мошенничества с использованием телефонной связи, при котором злоумышленники под видом сотрудников банков, государственных учреждений или других организаций получают от жертв конфиденциальную информацию или побуждают их к совершению финансовых операций. Термин является комбинацией английских слов «voice» (голос) и «phishing» (фишинг). В отличие от традиционного фишинга, где используются электронные письма, вишинг реализуется через телефонные звонки, часто с применением технологий подмены номера (спуфинга).

История возникновения

Вишинг возник в середине 2000-х годов как логическое развитие методов социальной инженерии. Первые массовые случаи были зафиксированы в США и Великобритании, где мошенники звонили клиентам банков, представляясь сотрудниками службы безопасности, и под предлогом «блокировки подозрительной транзакции» выманивали PIN-коды и CVV-коды карт.

С развитием IP-телефонии и появлением сервисов подмены номера (например, Asterisk) атаки стали значительно сложнее. К 2010-м годам вишинг распространился на финансовые организации России, где получил массовый характер. По данным Центрального банка РФ, в 2023 году объем украденных средств с помощью методов социальной инженерии (включая вишинг) превысил 15 миллиардов рублей.

Методы и технологии

Социальная инженерия

Основой вишинга является манипуляция человеческой психикой. Мошенники используют следующие приёмы:

Технические средства

Виды и классификация

Различают несколько основных типов вишинговых атак:

Вишинг в банковской сфере

Наиболее распространённый тип. Мошенники звонят от имени банка и сообщают о попытке несанкционированного списания. Жертву просят назвать код из SMS, перевести деньги на «безопасный счёт» или установить приложение удалённого доступа (например, AnyDesk, RustDesk) якобы для защиты счёта.

Вишинг от имени правоохранительных органов

Звонки от лже-следователей или сотрудников Центрального банка. Часто используются легенды о «попытке взять кредит на имя жертвы» и необходимости «предотвратить мошенничество» путём снятия всех наличных и передачи их «курьеру».

Вишинг с голосовыми ботами

Автоматические звонки с записанными сообщениями, имитирующие голосовую биометрию или требующие набора цифр на клавиатуре телефона. В 2024 году в России распространились боты, подражающие голосу известных чиновников.

Семейный вишинг (vishing родственника)

Звонок якобы от попавшего в беду родственника (похищение, ДТП, проблемы с законом) с просьбой срочно перевести деньги. Часто сочетается с голосовым дипфейком.

Корпоративный вишинг

Нападение на сотрудников компаний. Мошенники звонят от имени IT-поддержки или руководителя и убеждают установить вредоносное ПО, перевести деньги на счета подставных фирм или раскрыть корпоративную информацию. Является одним из методов, используемых целевыми группами (APT).

Распространение и масштабы

Вишинг стал одним из самых быстрорастущих видов киберпреступности. По экспертным оценкам, в 2023 году более 40% случаев телефонного мошенничества в России приходилось на вишинг. Отчёт группы компаний InfoWatch показывает рост числа атак в 1,5 раза по сравнению с предыдущим годом.

В США Федеральная торговая комиссия (FTC) зафиксировала ущерб от вишинга на сумму более 1,3 миллиарда долларов в 2022 году. В Европейском союзе проблема особенно остра в связи с распространением голосового фишинга под видом служб поддержки крупных энергетических компаний.

Противодействие

На уровне банков и операторов связи

На уровне законодательства

Для конечных пользователей

Основные меры предосторожности включают:

Сложности в расследовании

Вишинг представляет значительные трудности для правоохранительных органов:

Известные случаи

В 2023 году в Санкт-Петербурге был зафиксирован случай, когда мошенники с помощью дипфейка голоса имитировали звонок начальника и убедили бухгалтера компании перевести 15 миллионов рублей. В 2024 году в Новосибирской области была пресечена деятельность колл-центра, где работало более 200 операторов, занимавшихся вишингом.

За рубежом наиболее резонансным стал кейс 2021 года в Великобритании, когда в результате вишинговой атаки на сотрудника британского филиала «Амазон» было похищено более 4 миллионов фунтов стерлингов.

Критика мер защиты

Эксперты отмечают, что существующие меры противодействия недостаточно эффективны. Банки и операторы часто не блокируют подозрительные звонки в реальном времени. Обязательная сертификация антифрод-систем в России по-прежнему не гарантирует защиты от новых техник социальной инженерии. Кроме того, пользователи критикуют навязчивые рекомендации банков: «автоматические проверки» иногда блокируют легитимные финансовые операции.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →