Vishing и smishing: почему мы всё ещё ведёмся на фишинг

от

«Многие пытаются запомнить сотни конкретных признаков фишинга в смс или по телефону. Это ошибка. Вместо этого нужно увидеть общую схему. Мошенники не меняют суть своих методов, они просто меняют канал связи. Как только ты начинаешь распознавать не канал, а алгоритм социальной инженерии, защита становится системной, а не реактивной.»

Фишинг как основа: меняется форма, суть остаётся

Фишинг, это метод мошенничества, нацеленный на получение конфиденциальных данных через манипуляцию доверием. Email-рассылки, телефонные звонки (vishing) и SMS-сообщения (smishing), это лишь разные способы доставки одного и того же воздействия. Общая модель неизменна:

  • Приманка: создание эмоционального триггера — срочности (угроза блокировки), любопытства (выигрыш) или страха (сообщение о нарушении).
  • Действие: требование немедленных действий — перейти по ссылке, продиктовать код, установить программу.
  • Маскировка: использование узнаваемых брендов, официального тона и часто — утекшей информации для персонализации.

Различия в каналах накладывают отпечаток на тактику давления, но не меняют конечную цель.

Vishing: голос как инструмент психологического давления

Vishing (voice phishing) использует телефонный звонок для создания максимально персонализированной и стрессовой ситуации. Визуальная проверка здесь невозможна, и всё строится на доверии к голосу и умении атакующего импровизировать.

Механика телефонного фишинга

  1. Подготовка. Атаке часто предшествует OSINT: сбор данных из соцсетей, утечек или предыдущих фишинговых атак. Это позволяет начать разговор с упоминания имени, должности или последней операции, мгновенно повышая доверие.
  2. Легенда. Мошенник выбирает роль, которая оправдывает звонок и требует немедленных действий. В корпоративной среде это может быть «специалист службы безопасности банка», «сотрудник ФСТЭК по поводу предстоящей проверки» или «коллега из IT-отдела для экстренного обновления». Используется внутренний сленг и знание структуры.
  3. Создание срочности. Формулируется неотложная проблема: «С вашего аккаунта идёт подозрительная активность, блокировка через 10 минут», «Требуется срочно подтвердить данные по 152-ФЗ, иначе последуют санкции». Цель — выключить критическое мышление.
  4. Целевое действие. В зависимости от сценария:
    • Выуживание одноразовых SMS-кодов. Мошенник просит продиктовать код, который «придёт для проверки», но это код подтверждения перевода или входа в аккаунт.
    • Установка ПО для удалённого доступа под видом «программы для диагностики» или «обновления безопасности».
    • Прямой сбор логинов и паролей для «восстановления доступа».
  5. Завершение. После получения данных звонок резко обрывается. Иногда даются ложные заверения («всё в порядке, в течение часа придёт подтверждение»), чтобы замедлить реакцию жертвы.

Почему vishing особенно опасен для организаций

В корпоративной среде телефон остаётся каналом для срочных и официальных коммуникаций. Сотрудник, получивший звонок от «службы безопасности» или «регулятора», склонен подчиниться авторитету, особенно если атака сфабрикована под конец рабочего дня или на фоне реальных проверок. Упоминание 152-ФЗ или ФСТЭК добавляет давления из-за страха перед штрафами.

Smishing: эксплуатация доверия к SMS-каналу

Smishing (SMS phishing) эффективен благодаря особым свойствам SMS как канала связи:

  • Доверие: SMS от банков, государственных служб и операторов — привычный и доверенный способ коммуникации для большинства.
  • Ограниченная верификация: в SMS-сообщении нельзя навести курсор на ссылку, чтобы увидеть реальный адрес. Короткие ссылки (bit.ly, clck.ru) полностью скрывают конечный URL.
  • Мгновенность и мобильный контекст: сообщение приходит на устройство, которое всегда с человеком, что поощряет быструю, необдуманную реакцию.

Распространённые сценарии smishing-атак

Сценарий Пример сообщения Конечная цель
Подделка банковских уведомлений «Сбербанк: Замечена попытка входа. Если это не вы, перейдите для отмены: [ссылка]» Фишинговая страница, имитирующая интернет-банк, для сбора логина, пароля и одноразовых кодов.
Сообщения о проблемах с доставкой «СДЭК: Ваш заказ не доставлен. Для уточнения данных: [ссылка]» Страница для сбора персональных данных (ФИО, адрес, телефон) или загрузки вредоносного мобильного приложения под видом «трекера».
Корпоративные уведомления «Ув. сотрудник! В связи с переходом на новую VPN требуется актуализировать учётные данные: [ссылка]. С ув., IT-поддержка.» Кража корпоративных учётных данных для последующего проникновения во внутреннюю сеть.

Защита: от точечных мер к системному подходу

Традиционные средства безопасности (антивирусы, почтовые фильтры) слабо защищают от целевого фишинга через телефон и SMS. Защита смещается в область процессов, обучения и компенсирующих технологий.

Организационные процедуры

  • Нулевое доверие к неинициированным запросам. Установите чёткое правило: ни служба безопасности, ни IT-отдел, ни бухгалтерия никогда не запрашивают пароли, коды из SMS или установку ПО по телефону или через SMS. Такой запрос сам по себе — инцидент.
  • Процедура обратной верификации. Если звонящий представляется сотрудником внешней организации (банк, регулятор), сотрудник должен вежливо завершить разговор и перезвонить по официальному номеру, опубликованному на сайте этой организации, а не на тот, с которого поступил вызов.
  • Канал быстрого оповещения. Создайте простой способ (например, выделенный чат) для мгновенного сообщения о подозрительном звонке или SMS. Это позволяет оперативно предупредить других сотрудников.

Практическое обучение, а не инструктаж

Теоретические памятки не работают в стрессовой ситуации. Эффективны только регулярные учения:

  • Проведение внутренних учебных vishing-звонков для сотрудников, работающих с финансами или персональными данными. Сценарий должен быть реалистичным, с последующим детальным разбором.
  • Организация кампаний по отправке учебных smishing-сообщений. Ссылки ведут не на фишинговые сайты, а на образовательную страницу с анализом допущенных ошибок.

Цель — выработать рефлекторную паузу и обращение к регламенту, а не поиск признаков обмана под давлением.

Технические компенсирующие меры

  • Отказ от SMS для 2FA. Для критически важных систем используйте двухфакторную аутентификацию через приложения-аутентификаторы (например, Google Authenticator, Яндекс.Ключ) или аппаратные токены. Это устраняет риск перехвата или фишинга одноразовых SMS-кодов.
  • Внедрение DLP-систем. Решения класса Data Loss Prevention помогают мониторить и блокировать передачу структурированных конфиденциальных данных (баз клиентов, паспортных данных) за пределы корпоративного периметра, снижая ущерб даже при успешной атаке.
  • Выделенные доверенные каналы. Определите и доведите до всех сотрудников официальные каналы для экстренных IT- или security-уведомлений (например, конкретный чат-бот, внутренний портал). Любое сообщение из другого источника должно автоматически считаться подозрительным.

Итог

Vishing и smishing — не отдельные виды угроз, а тактические приёмы в арсенале социального инженера. Их сила — в эксплуатации автоматического доверия к телефону и SMS и в создании искусственной срочности. Противодействие им не сводится к запоминанию признаков. Оно требует внедрения трёх элементов: незыблемых организационных правил, снимающих с человека груз решения под давлением; регулярных практических тренировок, формирующих правильные поведенческие паттерны; и применения компенсирующих технологий, минимизирующих последствия потенциального успеха атаки. В условиях регуляторных требований ФСТЭК и 152-ФЗ работа с человеческим фактором и социальной инженерией перестаёт быть рекомендательной и становится обязательной частью системы защиты информации.

Оставьте комментарий