Phishing-Angriffe – Teil 4 Vishing – Phishing per Sprachanruf

Anbieter zum Thema

Arvato Systems

SoSafe GmbH

Keeper Security EMEA Ltd.

KnowBe4 Germany GmbH

Fortschritte in Technologie haben unser Leben in vielerlei Hinsicht positiv verändert. Leider halten Kriminelle mit den technologischen Innovationen Schritt und passen ihre Möglichkeiten entsprechend an. Eine der vielen technologiebasierten kriminellen Betrügereien ist das „Vishing“, Phishing-Angriffe per Sprachanruf – oft mittels Voice-over-IP (VoIP).

Da Betrüger darauf abzielen, Menschen zu manipulieren, damit sie sensible Daten aushändigen, dehnen sich Phishing-Angriffe auf neue Kanäle aus und werden immer raffinierter.

Bei einer dieser neuen Angriffsmethoden handelt es sich um das Vishing. Darunter versteht man Phishing-Angriffe, bei denen versucht wird, die Opfer per Sprachanruf zu verführen. Vishing beruht auf den gleichen emotionalen Faktoren, die bei traditionellen Phishing-Betrügereien eingesetzt werden und soll ebenso zu unüberlegten Aktionen führen. Der Unterschied liegt in der Art der Übermittlung. Cyberdiebe können Manipulationstechniken auf viele Kommunikationsformen anwenden, weil die zugrunde liegenden Prinzipien konstant bleiben. Sie locken ihre Opfer mit einem Köder an und fangen sie dann mit dem Haken.

SECURITY Cyberdefense & ID Protection Conference 2020

Identitätsdiebstahl – auf den Spuren der Täter

Das Wort „Vishing“ ist eine Kombination aus „Voice“ und „Phishing“. Letzteres ist die Praxis der Täuschung, um den Menschen dazu zu bringen, persönliche, sensible oder vertrauliche Informationen preiszugeben. Anstatt jedoch E-Mail oder gefälschte Websites zu verwenden, wie es Phisher machen, nutzen Vishers zumeist einen Internet-Telefondienst (VoIP).

Sich als eine Person oder ein legitimes Unternehmen auszugeben, um Menschen zu betrügen, ist keine neue Sache. Vishing ist einfach eine neue Form einer alten Routine. Tatsächlich gibt es dieses schon fast so lange wie den Internet-Telefondienst.

Mit einer Kombination aus Panikmache und emotionaler Manipulation versuchen sie, Menschen dazu zu bringen, ihre Informationen preiszugeben. Die Vishers erstellen sogar gefälschte Anrufer-ID-Profile (so genanntes „Caller ID Spoofing“), die die Telefonnummern als legitim erscheinen lassen. Es ist für Betrüger leicht, die Anrufer-ID zu fälschen, so dass sie den Anschein erwecken können, von einer Ortsvorwahl oder sogar von einer Ihnen bekannten Organisation aus anzurufen. Wenn das Opfer nicht abhebt, hinterlassen sie eine Voicemail-Nachricht, in der aufgefordert wird, zurückzurufen. Manchmal wird bei dieser Art von Betrug ein Anrufbeantworter oder sogar ein Callcenter eingesetzt, das von dem begangenen Verbrechen nichts weiß.

Auch hier geht es darum, Kreditkartendaten, Geburtsdaten, Kontoanmeldungen oder manchmal einfach nur Telefonnummern von den Kontakten des Opfers zu erhalten. Viele Menschen werden dies nicht in Frage stellen, weil sie automatisierte Telefonsysteme heutzutage als Teil des täglichen Lebens akzeptieren. In der Zukunft ist vorstellbar, dass die so menschlich wirkende Stimme auf der anderen Seite doch ein computergesteuertes System ist. Der Vorteil für die Kriminellen ist: Es kann eine große Personenanzahl zur selben Zeit angegriffen werden. Ein weitaus gefährlicher Aspekt ist psychologischer Natur. Die KI könnte in der Lage zu sein, durch gezielte Fragen und Antworten eine Manipulation des Opfers vorzunehmen, wodurch es in jedem Falle in der Lage ist am Ende des Verhörs die Informationen zu haben, welche die Betrüger wollen.

Gängige Vishing-Techniken

Wir sind heutzutage bei E-Mails etwas wachsamer, weil wir an den Empfang von Spam gewöhnt sind und Betrügereien an dieser Stelle üblich sind, jedoch können sich Anrufe für viele Menschen immer noch legitimer anfühlen. Gesunder Menschenverstand ist ein allgemeiner Best Practice und sollte die erste Verteidigungslinie jedes Einzelnen gegen Online- oder Telefonbetrug sein. Durch die Fälschung einer legitimen Telefonnummer führen Phishing-Betrüger die Leute dazu, den Anruf für legitim zu halten. Da sie jedoch wissen, dass sie dazu in der Lage sind, können Mitarbeiter nicht einmal der Anrufer-ID vertrauen. Doch selbst wenn diese nicht ans Telefon gehen, hinterlassen sie Sprachnachrichten, um eine Antwort zu provozieren – erst beim Rückruf werden die angeblich so wichtigen Informationen mitgeteilt.

Spear-Phishing & Co

Die Psychotricks moderner Phishing-Betrüger

Vishing-Beispiele

Das Vishing kann verschiedene Formen annehmen. Eine Form zielt auf das Bank- oder Kreditkartenkonto ab. Zum Beispiel kann das Opfer einen Anruf mit einer Nachricht erhalten, wie beispielsweise: „Ihr Konto wurde kompromittiert. Bitte rufen Sie diese Nummer an, um Ihr Passwort zurückzusetzen.“ Der Visher hofft, dass die Nachricht abgehört wird und das Opfer in Panik gerät. Wenn man die Nummer wählt, die sie hinterlassen, hört man normalerweise eine automatische Aufnahme, die nach Informationen wie Bankkontonummern und/oder anderen sensiblen Informationen fragt.

Ein weiteres Beispiel für einen Vishing-Angriff ist ein Telefonanruf über ein kostenloses Angebot oder die Mitteilung, dass man einen Preis gewonnen hat. Aber um den Gratispreis einzulösen, müssen zunächst die Versandkosten bezahlt werden. Ein drittes Beispiel ist ein Anruf, in dem mitgeteilt wird, dass man einen Preis wie eine Kreuzfahrt oder einen Disney-Urlaub gewonnen hat. Um diesen Preis einzufordern, muss man zunächst eine Einlösungsgebühr zahlen. Häufig wird man am Telefon aufgefordert, die Kreditkartennummer anzugeben.

Was ist Vishing Banking?

Vishing-Bankbetrug ist ein Vishing-Angriff, bei dem jemand anruft, der sagt, er komme von der zuständigen Bank oder einer anderen Finanzorganisation. Sie könnten dem Betroffenen sagen, dass es ein Problem mit dem Konto oder einer Zahlung von diesem Konto gibt. Sie könnten darum bitten, Geld auf ein anderes Konto zu überweisen, um das Problem zu beheben. Sie nehmen jedoch letztlich nur das Geld entgegen.

Was ist ein Phishing-Telefonanruf?

Ein Telefonanruf von jemandem, der vorgibt, von einer Bank, einem Kreditkartenunternehmen, einem Inkassounternehmen, einer Wohltätigkeitsorganisation, einem Gesundheitsdienstleister oder sogar dem Finanzamt zu kommen. Manche Phisher erzählen einem vielleicht, dass man einen Preis gewonnen hat, beispielsweise einen Urlaub, aber man muss eine kleine Gebühr bezahlen, um ihn antreten zu können. Ihr Ziel ist es, die Person dazu zu bringen, sensible Informationen am Telefon preiszugeben. Wenn man ihnen diese Informationen gibt, können sie auf die Finanzkonten zugreifen oder die eigene Identität stehlen.

Wie Vishing-Angriffe verhindert werden können

Es besteht kein Grund, paranoid zu sein, wenn man Opfer eines Vishings wird. Gleichzeitig lohnt es sich aber, in Zukunft vorsichtig zu sein. Es wird geraten, Telefongesprächen gegenüber immer misstrauisch zu sein. Egal ob der Anruf von einer unbekannten oder von einer scheinbar legitimen Nummer kommt, es kann sich immer um einen Betrug handeln. Dem ausgeübten Druck sollte mit Gelassenheit begegnet werden. Im Zweifel sollte einfach aufgelegt werden. Die Visher planen immer ihren nächsten Betrug. Vorkehrungen wie Trainings helfen, um zu verhindern, dass das eigene Unternehmen das nächste Opfer wird.

Security-Insider Podcast – Folge 5

Warum brauchen wir Security Awareness?

Bewusst durch den Tag

Während man im Alltag auf der Hut sein muss, sind die Menschen am Arbeitsplatz oft nachlässig. Sie können abgelenkt sein, unter Druck stehen und darauf erpicht sein, mit ihrer Arbeit fortzufahren. Betrügereien können teuflisch clever sein. Was ist, wenn der Anruf von jemandem aus der Personalabteilung zu kommen scheint? Mit der richtigen Schulung und klaren Richtlinien können Mitarbeiter jedoch geschützt und der potentielle Schaden für das Unternehmen abgewiesen werden.

Jedes Unternehmen sollte eine Art obligatorisches, regelmäßiges Security Awareness-Programm regelmäßig durchführen. Es kann bewährte Praktiken für die allgemeine Sicherheit umfassen, aber auch Richtlinien festlegen, wie zum Beispiel an wen man sich im Falle eines Verdachts wenden soll, oder Regeln für den Umgang mit bestimmten sensiblen Mitteilungen, die es wesentlich leichter machen, Täuschungsversuche zu erkennen.

Die Mehrzahl der Vishing-Angriffe wird nicht gemeldet. Dies spielt Cyberkriminellen in die Hände. Da sich Phishing immer weiterentwickelt und neue Angriffsvektoren findet, müssen wir wachsam sein und unsere Strategien zur Bekämpfung des Phänomens ständig aktualisieren.

Fazit

Den Betrügern ist es nicht wichtig, wie sie an die Informationen gelangen. Sie sind anpassungsfähig und nutzen den Weg des geringsten Wiederstands. Der Mensch baut in persönlichen Gesprächen Vertrauen auf. Aus diesem Grund ist Vishing erfolgreich. Vishing, obwohl noch nicht so groß wie in den USA, ist es auch hier in Deutschland eine wachsende Bedrohung. Was passiert, wenn diese Stimme am anderen Ende nicht mehr menschlich, sondern aber computergesteuert ist? Wenn dieser antworten kann, ist es möglich eine deutlich vergrößerte Zielgruppe gleichzeitig zu treffen. Die Unternehmen sollten Richtlinien für innere Prozesse definieren. Des Weiteren ist es von großer Bedeutung die Mitarbeiter auf Social Engineering vorzubereiten.

In den weiteren Beiträgen der Serie haben wir Beispiele weiterer Phishing-Techniken erläutert und geben Hinweise, wie sich diese Betrugsmaschen erkennen lassen.

Phishing-Angriffe – Teil 1

Wie der Mensch zur IT-Schwachstelle wird

Phishing-Angriffe – Teil 2

Phishing setzt auf den Leichtsinn der Opfer

Phishing-Angriffe – Teil 3

Smishing oder warum SMS-Betrug nicht ausstirbt

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46675900)