root 📞 Vishing та 📩 SMiShing (повний розбір атак)
Vishing (voice phishing) та SMiShing (SMS phishing) — це два найбільш результативні методи соціальної інженерії,
орієнтовані на маніпуляцію жертвою через телефонні дзвінки та текстові повідомлення.
Вони застосовуються для крадіжки персональних даних, фінансових активів, доступів до акаунтів, компрометації організацій
і запуску технічних атак (MFA bypass, session hijacking, SIM swapping, підтвердження транзакцій тощо).
Обидві атаки є критичними для кібербезпеки, оскільки обходять традиційні системи захисту (WAF, AV, IDS/IPS)
і націлені безпосередньо на людину. Нижче — повна, глибока аналітика, технічна структура, приклади, кейси,
методи аналізу, OSINT-інструменти та рекомендації для SOC і бізнесу.
🎯 Що таке Vishing?
Vishing — це атака, де зловмисник використовує телефонний дзвінок для отримання конфіденційної інформації
або для маніпуляції жертвою виконати потрібні дії. Часто використовується IP-телефонія, підміна номерів (Caller ID spoofing),
автовідповідачі, IVR-боти та соціальна інженерія.
🎯 Що таке SMiShing?
SMiShing — це фішинг через SMS. Жертві надсилається повідомлення, яке змушує перейти за шкідливим посиланням,
встановити додаток, підтвердити операцію, ввести дані картки або логін/пароль.
🧩 1. Як працює Vishing: технічна та соціальна частина атаки
📡 Фаза 1: Розвідка (Recon)
Хакери використовують OSINT, злиті бази даних і соцмережі.
Для збирання інформації можуть застосовувати:
- LinkedIn, Facebook, Instagram
- Telegram-бази «злитих номерів»
- BeenVerified, TruePeopleSearch, NumLookup
- Dorking — “site:*bank* + ‘служба підтримки’ + phone”
- Збір інформації про компанію для корпоративного Vishing
☎️ Фаза 2: Підміна номера (Caller ID Spoofing)
Зловмисники використовують VoIP-сервіси та SIP-маршрутизацію, які дозволяють:
- підмінити номер банку
- імітувати техпідтримку Google, Apple, PayPal
- дзвонити з «внутрішнього номера компанії»
Інструменти, які активно використовують кіберзлочинці:
- SpoofCard
- VoIP.ms
- Asterisk із кастомним CLI
- SIP-транкінг через дешеві азійські провайдери
🎭 Фаза 3: Соціальна інженерія
Популярні сценарії Vishing:
- Банківська безпека: «Ваш рахунок заблоковано…»
- Податкова/держслужби: «У вас є борг…»
- Техпідтримка: «У вашому акаунті підозріла активність…»
- Корпоративний обман: дзвінок від «менеджера», CFO або HR
🎯 Фаза 4: Експлуатація
Мета:
- викрадення OTP/MFA-кодів
- отримання PIN-кодів, CVV, номерів карток
- здійснення транзакцій від імені жертви
- отримання корпоративного доступу (VPN, O365, Google Workspace)
📩 2. Як працює SMiShing (SMS phishing)
📨 Способи доставки шкідливих SMS
Зловмисники використовують:
- SMPP-шлюзи
- підміну Sender ID (наприклад “MONOBANK”)
- бот-фабрики у Telegram
- великі сервіси розсилок
💀 Популярні сценарії SMiShing
- «Ваш акаунт заблокований. Терміново підтвердьте…»
- «Ви отримали посилку. Сплатіть мито…»
- «Підозріла авторизація у Facebook/Google…»
- «Ваш податок прострочено…»
🔗 Види шкідливих посилань у SMS
- фішингові сайти
- підроблені банківські портали
- встановлення APK-малварі
- one-click експлойти (WAP billing fraud)
📚 3. Реальні кейси та інциденти
📌 Case 1: Масовий Vishing-атака на співробітників Twitter (2020)
Хакери дзвонили працівникам, представляючись IT-підтримкою, та виманювали доступ до внутрішнього інструменту
admin panel, що дозволило скомпрометувати акаунти Ілона Маска, Барака Обами та інших публічних осіб.
Методи: підміна номера, соціальна інженерія, MFA bypass.
📌 Case 2: SMiShing проти банків Великобританії (FluBot)
FluBot — мобільний троян, який поширювався через SMS з підробленими повідомленнями про доставку
(DHL, FedEx, UPS). Жертви встановлювали фальшивий додаток, що викрадав банківські дані та контакти.
📌 Case 3: Vishing для корпоративного доступу (Cisco)
Атака була проведена через дзвінок від «служби безпеки», що дозволило отримати VPN-доступ
після виманювання OTP-кодів.
🛠️ 4. Технічні інструменти для Vishing / SMiShing
📞 Інструменти для Vishing
- Asterisk + SIP-шлюзи
- Twilio
- Wardialing-сканери
- Caller ID spoofing сервіси
📩 Інструменти SMiShing
- SMPP Tools
- GSM модеми (SIM-farm)
- Android SMS боти
- Phishing frameworks (Evilginx, Modlishka)
🛰️ 5. OSINT для аналізу телефонних та SMS-атак
🔍 Інструменти телефонного OSINT
- NumLookup
- PhoneInfoga
- TrueCaller
- OSINT Industries
🔍 OSINT для аналізу SMS-посилань
- Whois / RDAP
- VirusTotal
- URLScan.io
- PhishTank
🧠 6. Як SOC команді виявляти Vishing/SMiShing атаки
Попри те, що атаки орієнтовані на людину, SOC може виявляти індикатори компрометації:
- аномальні VPN-логіни після дзвінків
- зміна паролів без запиту жертви
- масові переходи за короткими URL
- поява нових незвичних User-Agent
- масові OTP-запити за короткий час
SOC повинен мати runbook для:
- MFA bypass
- Phishing-alert escalation
- Employee verification procedure
- Incident communication plan
🛡️ 7. Методи захисту від Vishing/SMiShing
🔐 Для користувачів
- ніколи не диктувати OTP
- банки не дзвонять з проханням назвати CVV/PIN
- перевіряти номер через офіційний сайт банку
- не переходити за посиланнями з SMS
🏢 Для компаній
- антифішингові тренінги
- політика заборони розкриття інформації телефоном
- внутрішня система верифікації дзвінків (callback-policy)
- контроль доменів-підробок
- моніторинг SMS-фішингу
🏁 Висновок
Vishing та SMiShing — це одні з найефективніших методів соціальної інженерії.
Вони поєднують технічну підготовку (VoIP, фішингові сайти, SMS-шлюзи) та психологічну маніпуляцію.
Оскільки атаки спрямовані на користувача, жоден захист не є ідеальним без навчання персоналу,
процедур верифікації та моніторингу загроз.
Цей матеріал підходить як для сайту, так і для методичок SOC, Red Team та OSINT-дослідників.