Pengelabuan suara, atau vishing,[1] adalah penggunaan telepon (sering kali Voice over IP telephony) untuk melakukan serangan phishing.
Layanan telepon darat secara tradisional dapat dipercaya; diakhiri di lokasi fisik yang diketahui oleh perusahaan telepon, dan terkait dengan pembayar tagihan. Namun sekarang, penipu vishing sering menggunakan fitur Voice over IP (VoIP) modern seperti spoofing ID penelepon dan sistem otomatis (IVR) untuk menghalangi deteksi oleh lembaga penegak hukum. Phishing suara biasanya digunakan untuk mencuri nomor kartu kredit atau informasi lain yang digunakan dalam skema pencurian identitas dari individu.
Biasanya, serangan phishing suara dilakukan menggunakan sistem text-to-speech otomatis yang mengarahkan korban untuk memanggil nomor yang dikendalikan oleh penyerang, namun beberapa menggunakan penelepon langsung.[1] Menyamar sebagai karyawan dari badan yang sah seperti bank, polisi, telepon atau penyedia internet, penipu berusaha untuk mendapatkan informasi pribadi dan informasi keuangan mengenai kartu kredit, rekening bank (misalnya PIN), serta informasi pribadi korban. Dengan informasi yang diterima, penipu mungkin dapat mengakses dan mengosongkan akun atau melakukan penipuan identitas. Beberapa penipu mungkin juga mencoba membujuk korban untuk mentransfer uang ke rekening bank lain atau menarik uang tunai untuk diberikan kepada mereka secara langsung.[2] Penelepon juga sering menyamar sebagai penegak hukum atau sebagai pegawai Layanan Pendapatan Internal.[3][4] Penipu sering menargetkan imigran dan orang tua,[5] yang dipaksa untuk mengirim ratusan hingga ribuan dolar sebagai tanggapan atas ancaman penangkapan atau deportasi.[3]
Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon Microsoft atau Apple Inc.
Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon Microsoft atau Apple Inc.
Audio deepfake telah digunakan untuk melakukan penipuan, dengan membodohi orang dengan berpikir bahwa mereka menerima instruksi dari individu yang tepercaya.[6]
Rekayasa sosial - Penggunaan manipulasi psikologis, yang bertentangan dengan metode peretasan konvensional, untuk mendapatkan akses ke informasi rahasia.[7]
Spoofing ID Penelepon - Sebuah metode di mana penelepon dapat mengubah ID penelepon mereka sehingga nama atau nomor yang ditampilkan ke penerima panggilan berbeda dari nama penelepon.[8] Phisher akan sering mengubah nomor mereka sehingga tampak familiar atau dapat dipercaya oleh penerima panggilan.[9] Metode umum termasuk memalsukan nomor dalam kode area penerima panggilan atau memalsukan nomor pemerintah sehingga panggilan tersebut tampak lebih dapat dipercaya atau akrab dan calon korban lebih mungkin menjawab panggilan tersebut.[9]
Voice over Internet Protocol (VoIP) - Juga dikenal sebagai IP telepon,[10] VoIP adalah teknologi yang memungkinkan panggilan suara dilakukan melalui internet.[11] VoIP sering digunakan dalam serangan phishing karena memungkinkan penelepon untuk memalsukan ID penelepon mereka.[12]
Motif umum termasuk imbalan finansial, anonimitas, dan ketenaran.[13] Informasi rahasia perbankan dapat dimanfaatkan untuk mengakses aset korban.[13] Kredensial individu dapat dijual kepada individu yang ingin menyembunyikan identitas mereka untuk melakukan aktivitas tertentu, seperti memperoleh senjata. Anonimitas ini berbahaya dan mungkin sulit dilacak oleh penegak hukum. Alasan lain adalah bahwa phisher mungkin mencari ketenaran di antara komunitas serangan siber.[13]
Phishing suara datang dalam berbagai bentuk. Ada berbagai metode dan berbagai struktur operasi untuk berbagai jenis phishing. Biasanya, penipu akan menggunakan rekayasa sosial untuk meyakinkan korban tentang peran yang mereka mainkan dan untuk menciptakan rasa urgensi untuk memanfaatkan korban.
Phishing suara memiliki atribut unik yang memisahkan metode serangan dari alternatif serupa seperti phishing email. Dengan meningkatnya jangkauan ponsel, vishing memungkinkan penargetan individu tanpa pengetahuan tentang email tetapi yang memiliki telepon, seperti orang tua. Prevalensi historis pusat panggilan yang meminta informasi pribadi dan rahasia juga memungkinkan ekstraksi informasi sensitif dari korban dengan lebih mudah karena kepercayaan yang dimiliki banyak pengguna saat berbicara dengan seseorang di telepon. Melalui komunikasi suara, serangan phishing dapat menjadi lebih menarik dan karena itu lebih berdampak daripada alternatif serupa seperti email. Waktu respons yang lebih cepat terhadap upaya serangan karena peningkatan aksesibilitas ke telepon adalah aspek unik lainnya, dibandingkan dengan email di mana korban mungkin membutuhkan waktu lebih lama untuk merespons.[14] Nomor telepon sulit untuk diblokir dan penipu sering kali dapat dengan mudah mengubah nomor telepon jika nomor tertentu diblokir dan sering kali menemukan cara untuk mengatasi aturan dan peraturan. Perusahaan telepon dan pemerintah terus mencari cara baru untuk mengekang panggilan penipuan palsu.[15]
Serangan phishing suara dapat dimulai melalui mekanisme pengiriman yang berbeda.[16] Seorang penipu dapat langsung menelepon korban dan berpura-pura menjadi orang yang dapat dipercaya dengan memalsukan ID penelepon mereka, muncul di telepon sebagai pejabat atau seseorang di sekitar.[16] Penipu juga dapat mengirimkan pesan ancaman yang direkam sebelumnya ke kotak masuk pesan suara korban untuk memaksa korban mengambil tindakan.
[16] Korban juga dapat menerima pesan teks yang meminta mereka untuk menelepon nomor tertentu dan dikenakan biaya untuk menelepon nomor tertentu.[16] Selain itu, korban mungkin menerima email yang menyamar sebagai bank; Korban kemudian dapat dipaksa untuk memberikan informasi pribadi, seperti PIN, nomor rekening, atau kredensial otentikasi lainnya dalam panggilan telepon.[16]
Penyerang phishing suara akan sering menggunakan rekayasa sosial untuk meyakinkan korban agar memberi mereka uang[7] dan/atau akses ke data pribadi.[17] Umumnya, penipu akan berusaha menciptakan rasa urgensi dan/atau ketakutan akan otoritas untuk digunakan sebagai pengaruh terhadap korban.[16]
Penipu palsu berpura-pura sebagai orang atau agen penting yang relatif terhadap korban dan menggunakan hubungan korban dengan orang atau agen penting untuk memanfaatkan dan menipu uang.
Penipuan IRS: Penipu menyamar sebagai pejabat IRS atau petugas imigrasi. Penipu kemudian mengancam akan dideportasi atau ditangkap jika korban tidak melunasi utangnya, meskipun sebenarnya korban tidak memiliki utang.
Penipuan asmara: Penipu berpura-pura sebagai kekasih potensial melalui aplikasi kencan atau hanya melalui panggilan telepon untuk berhubungan kembali dengan korban sebagai kekasih dari masa lalu yang membutuhkan uang darurat untuk beberapa alasan, seperti untuk perjalanan atau untuk melunasi hutang.[18] Rekayasa sosial digunakan untuk meyakinkan korban bahwa penipu adalah bunga cinta. Dalam kasus ekstrim, penipu mungkin bertemu dengan korban dan mengambil foto aktivitas seksual untuk digunakan sebagai pengungkit terhadap korban.[19]
Penipuan dukungan teknis: Penipu berpura-pura sebagai dukungan teknis dan mengklaim bahwa ada virus yang mendesak, atau masalah teknis yang parah pada komputer korban. Penipu kemudian dapat menggunakan rasa urgensi untuk mendapatkan kendali jarak jauh dari komputer korban dengan meminta korban mengunduh perangkat lunak khusus untuk mendiagnosis masalah yang diduga.[20] Setelah penipu mendapatkan kendali jarak jauh komputer, mereka dapat mengakses berkas atau informasi pribadi yang tersimpan di komputer atau menginstal malware.[20] Kemungkinan lain adalah bahwa penipu dapat meminta pembayaran kepada korban untuk menyelesaikan masalah teknis yang seharusnya.[20]
Penipuan penghapusan utang dan perbaikan kredit
Penipu menyamar sebagai perusahaan dan mengklaim kemampuan untuk meringankan utang atau memperbaiki kredit. Penipu meminta biaya perusahaan untuk layanan tersebut. Biasanya, melakukan tindakan ini justru akan menurunkan skor kredit.[21]
Penipuan bisnis dan investasi
Penipu berpura-pura sebagai ahli keuangan untuk meyakinkan korban untuk menawarkan uang untuk investasi.[21]
Penipuan Amal
Penipu bermodus sebagai anggota amal untuk meyakinkan korban untuk menyumbang untuk tujuan mereka. Organisasi palsu ini sebenarnya tidak melakukan pekerjaan amal apa pun dan sebagai gantinya, uang yang disumbangkan langsung masuk ke penipu.[22]
Penipuan garansi mobil
Penipu membuat panggilan palsu mengenai garansi mobil korban dan menawarkan opsi untuk memperbarui garansi.[23] Penelepon mungkin memiliki informasi tentang mobil korban, sehingga tawaran mereka tampak lebih sah.[23] Penelepon dapat menggunakan penipuan garansi otomatis untuk mengumpulkan informasi pribadi tentang korban mereka, atau untuk mengumpulkan uang jika korban memutuskan untuk membeli garansi yang diusulkan.[24]
Penipuan Paket
Menargetkan populasi imigrasi, penipu mengklaim bahwa korban memiliki paket yang perlu diambil. Penipu itu awalnya menyamar sebagai perusahaan kurir. Paket yang tidak ada terhubung ke kasus pidana keuangan. Penipu yang menyamar sebagai perusahaan pengiriman, memindahkan korban ke penipu lain yang menyamar sebagai polisi negara asing. Penipu yang menyamar sebagai polisi akan mengklaim korban dicurigai dan perlu diselidiki dalam penyelidikan pencucian uang palsu. Hal ini dilakukan dengan meyakinkan korban bahwa identitasnya telah dicuri. Penipu kemudian meyakinkan korban untuk mengirim uang ke "polisi" untuk melakukan penyelidikan atas uang di bank mereka.[4] Selama proses, penipu dapat mengambil langkah ekstra untuk mengklaim bahwa mereka bukan penipu dengan menegaskan kembali bahwa polisi tidak akan meminta kredensial pribadi atau informasi rekening bank.
Penipuan penculikan
Penipu akan menelepon dan mengklaim bahwa mereka telah menculik kerabat dekat atau orang yang dicintai. Ini dilakukan dengan melakukan penelitian terlebih dahulu atau menggunakan taktik dan asumsi rekayasa sosial untuk mengumpulkan informasi dari kerabat korban. Misalnya, karena lansia lebih rentan terhadap penipuan dibandingkan dengan populasi rata-rata, penipu dapat berasumsi bahwa orang tua mungkin memiliki anak atau cucu. Penipu akan mengancam akan menyakiti kerabat jika korban menutup telepon.[25] Dalam kasus tertentu penipu bahkan akan membiarkan korban berbicara dengan "saudara yang diculik " tetapi karena ketakutan, kebingungan, dan efek telepon pada suara seseorang, korban mungkin tidak menyadari bahwa kerabat palsu yang diculik sebenarnya bukanlah orang yang diculik relatif.[26]
Serangan phishing suara bisa sulit dikenali oleh korban karena lembaga yang sah seperti bank terkadang meminta informasi pribadi yang sensitif melalui telepon.[8] Skema phishing dapat menggunakan pesan yang direkam sebelumnya dari bank regional terkemuka untuk membuatnya tidak dapat dibedakan dari panggilan yang sah.[27] Selain itu, korban, khususnya orang tua,[8] mungkin lupa atau tidak tahu tentang kemampuan penipu untuk mengubah ID penelepon mereka, membuat mereka lebih rentan terhadap serangan phishing suara.[7]
Komisi Perdagangan Federal AS (FTC) menyarankan beberapa cara bagi konsumen rata-rata untuk mendeteksi penipuan telepon.[21] FTC memperingatkan agar tidak melakukan pembayaran menggunakan uang tunai, kartu hadiah, dan kartu prabayar, dan menegaskan bahwa lembaga pemerintah tidak menelepon warga untuk mendiskusikan informasi pribadi seperti nomor Jaminan Sosial.[21] Selain itu, calon korban dapat memperhatikan karakteristik panggilan telepon, seperti nada atau aksen penelepon[8][28] atau urgensi panggilan telepon untuk menentukan sah atau tidaknya panggilan tersebut.
Strategi utama yang direkomendasikan oleh FTC untuk menghindari menjadi korban phishing suara adalah tidak menjawab panggilan dari nomor yang tidak dikenal.[9] Namun, ketika Penipu menggunakan VoIP untuk menipu ID penelepon mereka, atau dalam keadaan di mana korban menjawab panggilan, strategi lain termasuk tidak menekan tombol saat diminta, dan tidak menjawab pertanyaan yang diajukan oleh penelepon yang mencurigakan.[9]
Pada tanggal 31 Maret 2020, dalam upaya untuk mengurangi serangan vishing yang memanfaatkan spoofing ID penelepon, Komisi Komunikasi Federal AS mengadopsi serangkaian mandat yang dikenal sebagai STIR/SHAKEN, kerangka kerja yang dimaksudkan untuk digunakan oleh perusahaan telepon untuk mengautentikasi informasi ID penelepon.[12] Semua penyedia layanan telepon AS memiliki waktu hingga 30 Juni 2021 untuk mematuhi pesanan dan mengintegrasikan STIR/SHAKEN ke dalam infrastruktur mereka untuk mengurangi dampak spoofing ID penelepon.[12]
Di beberapa negara, media sosial digunakan untuk menelepon dan berkomunikasi dengan publik. Pada platform media sosial tertentu, profil pemerintah dan bank diverifikasi dan profil pemerintah dan bank yang tidak diverifikasi akan menjadi profil palsu.[29]
Strategi mitigasi yang paling langsung dan efektif adalah melatih masyarakat umum untuk memahami ciri-ciri umum serangan phishing suara untuk mendeteksi pesan phishing.[13] Pendekatan yang lebih teknis adalah penggunaan metode deteksi perangkat lunak. Secara umum, mekanisme seperti itu dapat membedakan antara panggilan phishing dan pesan jujur dan dapat diimplementasikan dengan lebih murah daripada pelatihan publik.[13]
Metode deteksi phishing yang mudah adalah penggunaan daftar hitam. Penelitian terbaru telah berusaha untuk membuat perbedaan yang akurat antara panggilan yang sah dan serangan phishing menggunakan Kecerdasan Buatan dan analisis data.[30] Dengan menganalisis dan mengubah panggilan telepon menjadi teks, mekanisme kecerdasan buatan seperti Pemrosesan bahasa alami dapat digunakan untuk mengidentifikasi apakah panggilan telepon tersebut merupakan serangan phishing.[30]
Sistem khusus, seperti aplikasi telepon, dapat mengirimkan data palsu ke panggilan phishing. Selain itu, berbagai lembaga penegak hukum terus berupaya untuk mencegah penipu melakukan panggilan phishing dengan menjatuhkan hukuman yang lebih keras kepada penyerang.[12][13]
^ abGriffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08: 33. doi:10.1145/1456625.1456635. ISBN9781605583334.
^刑事警察大隊 (2015-11-26). "遇到假綁架詐騙別心慌 冷靜求證不受騙" [Jangan panik saat menghadapi penipuan penculikan palsu, verifikasi dengan tenang bahwa Anda tidak tertipu]. 刑事警察大隊. Diakses tanggal 2021-04-08.