T1598.004: ЦІЛЬОВЕ ПОСИЛАННЯ

Зловмисники можуть використовувати голосовий зв’язок для виманювання чутливої інформації, яка може бути використана під час вибору цілі. Такий фішинг — це спроба обманом змусити ціль розкрити дані, найчастіше облікові дані або іншу корисну інформацію. Він часто включає методи соціальної інженерії, такі як видавання себе за іншу особу (Impersonation) та/або створення відчуття терміновості чи тривоги у одержувача.

Усі форми фішингу — це електронна соціальна інженерія. У цьому сценарії зловмисники використовують телефонні дзвінки для отримання конфіденційних даних від жертв. Відомі як голосовий фішинг (або «вішинг»), ці комунікації можуть виконуватися зловмисниками вручну, найнятими кол-центрами або навіть автоматизовано за допомогою роботів (robocalls).

Голосові фішери можуть підробляти свій номер телефону, видаючи себе за довірену особу, наприклад, бізнес-партнера або персонал технічної підтримки. Жертви також можуть отримувати фішингові повідомлення, які спрямовують їх зателефонувати за номером телефону (callback phishing), де зловмисник намагається зібрати конфіденційну інформацію.

Зловмисники також можуть використовувати інформацію з попередніх етапів розвідки (наприклад, пошук на відкритих вебсайтах або сайтах жертви), щоб підготувати ще більш переконливі та правдоподібні приводи (pretexts) для жертви.

Чому вішинг такий небезпечний?

• Психологічний тиск: Голос живої людини діє набагато сильніше, ніж лист. Хакер може маніпулювати інтонацією, виявляти «турботу» або, навпаки, тиснути авторитетом «керівника».
• Обхід технічних засобів: Телефонна розмова не проходить через антивіруси або фаєрволи. Це прямий канал до мозку співробітника.
• Caller ID Spoofing: Технології дозволяють хакеру зробити так, щоб на екрані вашого телефону висвітилося “IT Support Office” або реальний номер вашого колеги.
• Deepfake Audio: У 2026 році зловмисники все частіше використовують ШІ для клонування голосу. Маючи короткий запис виступу вашого директора на YouTube, хакер може зателефонувати вам і заговорити його голосом.

Сценарії атак (Pretexts):

• «Техпідтримка»: “Ми бачимо підозрілу активність з вашого комп’ютера. Нам потрібно терміново скинути ваш пароль. Скажіть, будь ласка, ваш поточний логін і код, який зараз прийде вам у SMS”.
• «Перевірка безпеки»: “Це внутрішній аудит. Ми перевіряємо, чи всі дотримуються політики чистих столів. Підкажіть, чи бачите ви зараз на своєму роутері наклейку з технічним серійним номером?” (Збір даних про обладнання).
• «Термінова оплата» (BEC): “Це бухгалтер з головного офісу. У нас збій у системі, а вантаж для вашої філії вже на митниці. Мені потрібні ваші реквізити для термінового підтвердження переказу”.

Як захиститися?

• Правило «Зворотного дзвінка»: Якщо вам телефонує хтось із «важливим» або «тривожним» запитом, покладіть слухавку і самостійно зателефонуйте цій людині (або у відділ) за офіційним внутрішнім номером.
• Заборона передачі кодів 2FA: Впровадьте залізне правило: ніхто (навіть системний адміністратор чи директор) ніколи не має права запитувати ваш пароль або код багатофакторної автентифікації телефоном.
• Верифікація через месенджер: Якщо голос звучить як голос колеги, але прохання дивне — напишіть цій людині в робочий чат (Slack/Teams) і запитайте: “Це справді ти мені зараз телефонуєш?”.
• Навчання (Awareness Training): Регулярно проводьте симуляції вішингу для співробітників, особливо для тих, хто працює на «першій лінії» (рецепція, HR, продажі).