Jika phishing merupakan penipuan e-mail dengan memalsukan sumber resmi, untuk mengelabui penerima agar menyerahkan informasi sensitif atau mengunduh malware. Maka vishing merupakan penipuan melalui panggilan telepon, dengan tujuan yang hampir sama dengan phishing.
Pelaku voice phishing atau vishing menggunakan social engineering melalui telepon untuk mendapatkan akses ke informasi dan keuangan pribadi korbannya. Vishing merupakan tipuan dengan banyak varian, yang dapat berdampak buruk bagi korbannya dengan konsekuensi yang sangat merugikan.
Phising, smishing, pharming, dan vishing jika digabungkan, secara keseluruhan telah memakan lebih dari 241.000 korban dan menelan biaya lebih dari US$54 juta pada 2020 lalu. Jumlah tersebut hanya kasus yang dilaporkan ke FBI karena banyak kasus penipuan yang tidak dilaporkan.
Vendor sekuriti ESET mengungkap, vishing bergerak di segala jenis konsumen dan bidang bisnis karena satu alasan yang sangat bagus, yaitu kesalahan manusia. Oleh sebab itulah, vishing mengandalkan metode social engineering, yang pada dasarnya merupakan seni persuasi. Metode ini bekerja dengan cara meniru otoritas tepercaya, seperti bank, penyedia teknologi, pemerintah, hingga IT support. Tujuannya untuk menciptakan rasa urgensi atau ketakutan yang mengesampingkan kehati-hatian atau kecurigaan alami yang mungkin dimiliki korban.
Baca Juga: Gelsemium, Otak di Balik Spionase Dunia Maya
Social engineering kerap digunakan dalam e-mail phising dan pesan teks palsu (dikenal sebagai smishing). Pelaku vishing atau visher memiliki beberapa alat dan taktik tambahan untuk membuat penipuan mereka lebih berhasil, di antaranya:
- Alat spoofing ID penelepon, yang dapat digunakan untuk menyembunyikan lokasi sebenarnya penipu dan bahkan meniru nomor telepon organisasi tepercaya. Tahun lalu, misalnya, data pribadi klien Ritz London dicuri. Scammers kemudian menggunakan data tersebut untuk melakukan serangan social engineering yang meyakinkan terhadap para korban, termasuk memalsukan nomor resmi hotel dalam prosesnya.
- Penipuan multi kanal yang mungkin dimulai dengan pesan teks smishing, email phising, atau pesan suara dan mendorong pengguna untuk menelepon nomor tertentu. Melakukan hal itu akan menempatkan korban langsung ke scammer.
- Riset media sosial dan open source yang dapat memberi scammer banyak informasi tentang korban mereka. Ini dapat digunakan untuk menargetkan individu tertentu (misalnya, karyawan perusahaan dengan akun istimewa) dan untuk menambah legitimasi penipuan, visher dapat mengulangi kembali beberapa detail pribadi kepada korban sehingga mereka dapat membocorkan lebih banyak.
Vishing juga kerap dilakukan di lingkup perusahaan untuk mencuri kredensial istimewa. Biasanya pelaku vishing telah meneliti target mereka dan kemudian menelepon berpura-pura menjadi IT support.
Baca Juga: ESET Berikan 11 Langkah Mitigasi Agar Terhindari dari Modus SIM Swap
Korban lantas didorong untuk mengisi detail login mereka di situs phising yang terdaftar sebelumnya, yang dirancang untuk menipu halaman login VPN perusahaan. Kredensial ini kemudian digunakan untuk mengakses database perusahaan untuk informasi pribadi pelanggan. FBI memperingatkan bahwa serangan semacam itu sering terjadi, sebagian karena transformasi massal ke kerja jarak jauh selama pandemi.