Vishing (voice phishing) är en form av social engineering där angriparen använder telefonsamtal eller röstmeddelanden för att manipulera offret att avslöja känslig information, godkänna transaktioner eller ge åtkomst till system. Termen är en sammanslagning av "voice" och "phishing".
Hur fungerar vishing i praktiken?
Angriparen ringer och utger sig för att vara en betrodd part – bankens bedrägerivdelning, IT-support, en myndighet eller en kollega. Med hjälp av spoofing kan samtalet visas med ett trovärdigt nummer. Angriparen skapar stress eller brådska ("Ditt konto har komprometterats – vi måste agera nu") för att pressa offret att agera utan eftertanke.
Vishing i en företagskontext
VD-bedrägerier: Angriparen utger sig för att vara VD eller ekonomichef och ber om brådskande överföringar.
IT-supportbedrägeri: Angriparen utger sig för att vara helpdesk och ber medarbetaren installera fjärrstyrningsprogram eller lämna ut inloggningsuppgifter.
AI-drivna röstförfalskningar: Med deepfake-teknik kan angripare nu klona röster baserat på korta ljudklipp, vilket gör vishingattacker ännu svårare att upptäcka.
Skyddsåtgärder
Organisationer bör etablera verifieringsrutiner för känsliga förfrågningar via telefon – exempelvis att alltid ringa tillbaka på ett känt nummer. Säkerhetsutbildning som inkluderar vishingscenarier är avgörande. Tekniskt kan MFA begränsa skadan även om credentials avslöjas.