Вишинг
Вишинг — это вид мошенничества с использованием телефонной связи, при котором злоумышленники под видом сотрудников банков, государственных учреждений или других организаций получают от жертв конфиденциальную информацию или побуждают их к совершению финансовых операций. Термин является комбинацией английских слов «voice» (голос) и «phishing» (фишинг). В отличие от традиционного фишинга, где используются электронные письма, вишинг реализуется через телефонные звонки, часто с применением технологий подмены номера (спуфинга).
История возникновения
Вишинг возник в середине 2000-х годов как логическое развитие методов социальной инженерии. Первые массовые случаи были зафиксированы в США и Великобритании, где мошенники звонили клиентам банков, представляясь сотрудниками службы безопасности, и под предлогом «блокировки подозрительной транзакции» выманивали PIN-коды и CVV-коды карт.
С развитием IP-телефонии и появлением сервисов подмены номера (например, Asterisk) атаки стали значительно сложнее. К 2010-м годам вишинг распространился на финансовые организации России, где получил массовый характер. По данным Центрального банка РФ, в 2023 году объем украденных средств с помощью методов социальной инженерии (включая вишинг) превысил 15 миллиардов рублей.
Методы и технологии
Социальная инженерия
Основой вишинга является манипуляция человеческой психикой. Мошенники используют следующие приёмы:
- Создание срочности — жертве сообщают о «подозрительной активности», «атаке на счёт» или «необходимости срочно подтвердить данные»;
- Использование авторитета — звонок якобы от «руководителя службы безопасности», «следователя» или «сотрудника Центробанка»;
- Симуляция доверия — обращение к жертве по имени и отчеству (данные могут быть получены из утечек баз данных);
- Изоляция — мошенники просят не рассказывать о звонке родственникам или банковским служащим;
- Групповая атака — жертве последовательно звонят несколько «сотрудников» разных ведомств.
Технические средства
- Спуфинг (подмена номера) — с помощью VoIP-технологий злоумышленники настраивают отображение номера, идентичного номеру банка или госоргана (например, 900 для Сбербанка);
- Голосовые дипфейки — использование нейросетей для имитации голоса знакомого жертве человека (родственника, начальника);
- Системы автоматического обзвона — массовые роботизированные звонки с последующим переключением на «оператора» при получении ответа;
- Запись голоса жертвы — мошенники могут провоцировать человека произнести фразы типа «да», «подтверждаю» для последующего использования в системах голосовой биометрии.
Виды и классификация
Различают несколько основных типов вишинговых атак:
Вишинг в банковской сфере
Наиболее распространённый тип. Мошенники звонят от имени банка и сообщают о попытке несанкционированного списания. Жертву просят назвать код из SMS, перевести деньги на «безопасный счёт» или установить приложение удалённого доступа (например, AnyDesk, RustDesk) якобы для защиты счёта.
Вишинг от имени правоохранительных органов
Звонки от лже-следователей или сотрудников Центрального банка. Часто используются легенды о «попытке взять кредит на имя жертвы» и необходимости «предотвратить мошенничество» путём снятия всех наличных и передачи их «курьеру».
Вишинг с голосовыми ботами
Автоматические звонки с записанными сообщениями, имитирующие голосовую биометрию или требующие набора цифр на клавиатуре телефона. В 2024 году в России распространились боты, подражающие голосу известных чиновников.
Семейный вишинг (vishing родственника)
Звонок якобы от попавшего в беду родственника (похищение, ДТП, проблемы с законом) с просьбой срочно перевести деньги. Часто сочетается с голосовым дипфейком.
Корпоративный вишинг
Нападение на сотрудников компаний. Мошенники звонят от имени IT-поддержки или руководителя и убеждают установить вредоносное ПО, перевести деньги на счета подставных фирм или раскрыть корпоративную информацию. Является одним из методов, используемых целевыми группами (APT).
Распространение и масштабы
Вишинг стал одним из самых быстрорастущих видов киберпреступности. По экспертным оценкам, в 2023 году более 40% случаев телефонного мошенничества в России приходилось на вишинг. Отчёт группы компаний InfoWatch показывает рост числа атак в 1,5 раза по сравнению с предыдущим годом.
В США Федеральная торговая комиссия (FTC) зафиксировала ущерб от вишинга на сумму более 1,3 миллиарда долларов в 2022 году. В Европейском союзе проблема особенно остра в связи с распространением голосового фишинга под видом служб поддержки крупных энергетических компаний.
Противодействие
На уровне банков и операторов связи
- Антифрод-системы — алгоритмы, анализирующие звонки и блокирующие подозрительные номера;
- Проверка перевода — звонок от настоящего сотрудника банка (например, в Сбербанке используется система «Проверка подлинности звонка»);
- Маркировка вызовов — операторы связи в России (по требованию Роскомнадзора) начали наносить специальную метку на вызовы от официальных организаций;
- Биометрия и речевая аналитика — системы выявляют тревожные паттерны в разговоре (нервный тон, частые переспросы, неуместные просьбы).
На уровне законодательства
- В России действует Федеральный закон от 30.12.2020 № 479-ФЗ «О внесении изменений в статью 159.3 Уголовного кодекса Российской Федерации», ужесточающий ответственность за кибермошенничество;
- С 1 марта 2024 года вступил в силу закон об обязательной идентификации звонящего по IP-телефонии;
- Центральный банк РФ ввёл обязанность банков возмещать украденные средства, если клиент уведомил о мошенничестве в течение 24 часов (при условии, что он не раскрывал данные).
Для конечных пользователей
Основные меры предосторожности включают:
- Прерывание подозрительных звонков и самостоятельный перезвон на официальный номер организации;
- Использование приложений для блокировки спам-звонков (например, «Яндекс.Браузер» или сервис от Сбера);
- Никогда не передавать коды из SMS, CVV-коды и пароли третьим лицам;
- Установка антивирусного ПО с функцией защиты от фишинга;
- Использование «второй линии» (перезвон родственнику/банку с другого номера).
Сложности в расследовании
Вишинг представляет значительные трудности для правоохранительных органов:
- Анонимность — звонки часто осуществляются с подменных номеров через зарубежные серверы (часто расположенные на территории бывших советских республик или Китая);
- Трансграничный характер — схемы часто организованы из-за рубежа, что затрудняет экстрадицию;
- Обналичивание средств — деньги выводятся через криптовалютные обменники, дропперов (подставных лиц) или виртуальные карты;
- Психологическое воздействие — многие жертвы под действием стресса не могут чётко описать разговор, а мошенники часто уничтожают записи звонков.
Известные случаи
В 2023 году в Санкт-Петербурге был зафиксирован случай, когда мошенники с помощью дипфейка голоса имитировали звонок начальника и убедили бухгалтера компании перевести 15 миллионов рублей. В 2024 году в Новосибирской области была пресечена деятельность колл-центра, где работало более 200 операторов, занимавшихся вишингом.
За рубежом наиболее резонансным стал кейс 2021 года в Великобритании, когда в результате вишинговой атаки на сотрудника британского филиала «Амазон» было похищено более 4 миллионов фунтов стерлингов.
Критика мер защиты
Эксперты отмечают, что существующие меры противодействия недостаточно эффективны. Банки и операторы часто не блокируют подозрительные звонки в реальном времени. Обязательная сертификация антифрод-систем в России по-прежнему не гарантирует защиты от новых техник социальной инженерии. Кроме того, пользователи критикуют навязчивые рекомендации банков: «автоматические проверки» иногда блокируют легитимные финансовые операции.
Источники
- Центральный банк Российской Федерации. Обзор отчётности о мошеннических операциях. 2023.
- Отчёт InfoWatch о телефонных мошенничествах в России и СНГ. 2023.
- Федеральная торговая комиссия США (FTC). «Consumer Sentinel Network Data Book 2022».
- Лаборатория Касперского. «Обзор угроз Vishing». 2024.
- Группа компаний «Сбербанк». «Рекомендации по защите от социальной инженерии». 2023.
- Уголовный кодекс Российской Федерации (Статья 159.3).
- Закон № 479-ФЗ от 30.12.2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →