מתקפות דיוג, מתקפות גניבת אישורים של משתמשים או גניבת נתונים רגישים באמצעות הנדסה חברתית – מהווים איום אבטחת מידע משמעותי מאז ימיו הראשונים של האינטרנט, איום אשר ממשיך להטריד ארגונים גם כיום ומהווה יותר מ- 30% מכלל מתקפות הסייבר הידועות. יש לציין כי עם המעבר ההמוני לעבודה מרחוק במהלך מגיפת הקורונה, הגבירו ההאקרים את מאמציהם לגנוב אישורי כניסה כשהם מנצלים את הכאוס והיעדר אימות משתמש אישי. מצב זה הוביל לעלייה משמעותית בשימוש הטכניקה הישנה של וישינג, אשר, כמו דיוג באינטרנט, כרוכה בשימוש בהנדסה חברתית בטלפון כדי לגנוב מידע רגיש. וישינג דומה מאוד לפישינג, אלא שבמקרה הזה, ההונאה מתבצעת באמצעות שיחת טלפון ולא באמצעות דוא"ל. ההאקר מתחזה לגוף שהקורבן סומך עליו, כמו למשל הבנק או עובד בחברה המספקת תמיכה טכנית וכדומה. מדובר בהונאה שלעיתים קשה יותר לזהות, כיוון שפושעי הסייבר יכולים לעשות שימוש בטכניקה שנקראת ID spoofing המאפשרת להם לבצע שיחות טלפון ממספרים לכאורה מקומיים ולגיטימיים. כתוצאה מכך, נמצאות מתקפות וישינג במגמת עלייה, כאשר 69% מהחברות חוו אותן בשנת 2021, עלייה מ- 54% בשנת 2020. מתקפות אלו יכולות להיות משכנעות להפליא. באוגוסט 2020 פרסמו ה- FBI יחד עם CISA אזהרה בנוגע למשתמשים מרוחקים בהם מתמקדים האקרים המזייפים מספרים עסקיים של ארגונים ומתחזים לדסק שירות תמיכת IT.
אחד ההיבטים המדאיגים ביותר של וישינג הוא היכולת של ההאקרים לעקוף אמצעי אבטחה של אימות דו-גורמי (2FA). 2FA הינו צורה פופולרית של אימות רב-גורמי הדורש מהמשתמשים לספק שני סוגי מידע: סיסמה וקוד חד פעמי שנשלח באמצעות SMS. האקרים משיגים זאת על ידי התחזות לנציג תמיכה ובקשת קוד 2FA של הקורבן בטלפון. אם הקורבן מספק את הקוד, יכול ההאקר לקבל גישה מלאה לחשבון שלו, מה שעלול להוביל לפגיעה במידע פיננסי או אישי.
מקרה שכיח הוא כאשר אנשים מקבלים התראה מוקפצת הטוענת שהמכשיר שלהם נפרץ או נגוע בנוזקה ושנדרשת תמיכה טלפונית מקצועית כדי לפתור את הבעיה. לחליפין, עשויים קורבנות לקבל שיחה מנציג תמיכה טכנית לכאורה של ספק תוכנה מכובד, בטענה שזוהתה נוזקה במחשב שלהם. ההאקר ינסה לשכנע את המשתמש להוריד תוכנת גישה מרחוק באמתלה של נציג תמיכת IT. זהו השלב האחרון של ההונאה, שלאחריו מדובר ברוב המקרים בחשיפת מידע אישי רגיש לעיני ההאקר. בחודש יולי 2020 חוו טוויטר פרצת אבטחה גדולה כאשר האקרים השתמשו בהונאת וישינג כדי להשיג גישה לעשרות חשבונות בעלי פרופיל גבוה כמו של ברק אובמה, ג'ו ביידן, ג'ף בזוס ואילון מאסק. ההאקרים השתמשו בחשבונות אלו כדי לצייץ תרמית ביטקוין שהביאה לגניבה של למעלה מ- 100,000 דולר. בניגוד להונאות מסורתיות, מכוונות מתקפות אלו לאנשים שנבחרו בקפידה על ידי איסוף מידע נרחב אודותיהם ממדיה חברתית וממקורות ציבוריים אחרים. מידע זה משמש לאחר מכן לזיהוי עובדים שסביר להניח שישתפו פעולה ויש להם גישה למשאבים הרצויים ובשלב זה, מוכנים התוקפים לזרוע הרס.
מתקפות הנדסה חברתית מבוצעות בקפידה עם נתונים שנאספו וניתן להשתמש בהן גם כדי להתחזות למשתמש קצה בשיחה למוקד תמיכה. האקר מנוסה יכול להשיג בקלות תשובות לשאלות אבטחה ממקורות שונים, במיוחד בידיעה שמשתמשי קצה שמים יותר מדי מידע אישי במדיה החברתית ובאינטרנט. מיקרוסופט דיווחה ש- LAPSUS$, קבוצת איומים ידועה, פנתה למוקד תמיכה של ארגון וניסתה לשכנע את אנשי התמיכה לאפס את האישורים של חשבון ספציפי. הקבוצה השתמשה במידע שנאסף בעבר וביקשה ממתקשר דובר אנגלית לדבר עם מוקד התמיכה. הם ענו על שאלות אימות נפוצות כגון "הרחוב הראשון בו גרת" או "שם נעוריה של האמא" מנתונים שאספו ברשתות החברתיות, כדי לשכנע את אנשי מוקד התמיכה באותנטיות המתקשר. לחברת Electronic Arts היו 780GB של קוד מקור שנגנבו על ידי האקרים (ככל הנראה קבוצת LAPSUS$) אשר השתמשו בשאלות אימות כדי להתחזות לחשבון של עובד המחובר למערכת ולגשת לערוץ Slack של החברה ואז שכנעו עובד תמיכת IT להעניק להם גישה לרשת הפנימית של החברה.
