Eine Angriffsmethode krimineller Hacker, die auf Telefon- beziehungsweise Sprachanrufe setzt, mag erst einmal altmodisch anmuten. Allerdings kommt mittlerweile auch beim Phishing per Voicecall Hightech zum Einsatz. Wir sagen Ihnen, was Sie zum Thema Phishing per Sprachanruf wissen müssen und wie Sie sich schützen.
Foto: pathdoc - shutterstock.com
Vishing - Definition
Der Begriff Vishing setzt sich aus Phishing und Voicecall zusammen und bezeichnet den Versuch krimineller Hacker, per Telefon sensible Informationen zu stehlen. Dabei kommen beispielsweise Technologien zur automatischen Stimmsimulation zum Einsatz. Gängig ist auch die Nutzung von zuvor recherchierten, öffentlich verfügbaren Informationen der Opfer.
Unabhängig davon, welche Technologien zum Einsatz kommen: Der Vishing-Angriff folgt dem typischen Social-Engineering-Drehbuch. Der Angreifer schürt bei seinem Opfer Emotionen wie Angst oder Gier, damit dieser sensible Daten - etwa Kreditkartennummern oder Passwörter - herausgibt. Dabei profitieren die Kriminellen davon, dass einer menschlichen Stimme im Regelfall mehr Vertrauen entgegengebracht wird.
Deswegen ist Vishing besonders für ältere und wenig technikaffine Menschen gefährlich, die keine Erfahrungen mit solchen Attacken haben.
Voice Phishing - Zahlen
Die folgenden Zahlen und Statistiken verdeutlichen, dass Phishing per Sprachanruf schon recht gut etabliert ist:
Vishing-Angriffe vermehren sich seit Jahren - 2018 waren rund 30 Prozent aller eingehenden Anrufe betrügerischer Natur.
Laut Proofpoints Report "State of the Phish 2020" können 25 Prozent der befragten Angestellten den Begriff korrekt definieren.
75 Prozent der Vishing-Opfer gaben an, dass die Angreifer im Besitz persönlicher Informationen über sie waren, die genutzt wurden, um den Angriff weiter voranzutreiben.
Von den in den USA gemeldeten Vishing-Fällen, kam es nur in sechs Prozent zu Auszahlungen. Wenn das der Fall war, dann aber richtig: Der durchschnittliche Schaden durch betrügerische Anrufe liegt bei circa 960 Dollar.
Vishing vs. Phishing vs. Smishing
Traditionelles Phishing plagt Internetnutzer bereits seit den 1990er Jahren. Damals versuchten Hacker AOL-Nutzer dazu zu bringen, ihre Login-Daten preiszugeben. Die Schreibweise mit "ph" könnte ein Verweis auf das sogenannte "phone phreaking" sein - eine frühe Form des Hackings, bei der man sich mit Hilfe von bestimmten Geräuschen, die ins Telefon gespielt wurden, kostenlose Anrufe erschleichen konnte.
Vishing (Phishing per Voice Call) bezeichnet ebenfalls eine Phishing-Variante - allerdings basiert diese Angriffsmethode auf Sprachanrufen. So wie Phishing als Subkategorie des Spam gilt, ist Vishing ein Auswuchs von VoIP Spam, auch bekannt unter der Bezeichnung SPIT (Spam over Telephony). Der Begriff Vishing tauchte erstmals im Laufe der 2000er-Jahre auf. Smishing ist ebenfalls ein Phänomen der 2000er-Jahre und beschreibt Phishing per SMS, beziehungsweise Textnachricht.
Vishing-Techniken
Vishing-Anrufe werden in der Regel über VoIP Services abgesetzt. So können die Angreifer leichter automatisieren und ihre Aktivitäten besser vor den Strafverfolgungsbehörden verschleiern. Das Ziel der Cyberkriminellen ist Profit, den sie sich über erschlichene Zugangsdaten zu Bank- und Kreditkartendaten sichern oder durch die unter irgendeinem Aufwand erteilte Aufforderung, einen Betrag zu überweisen.
Die Angriffstechnik, die im Reich der Vishing Scams die weiteste Verbreitung findet ist das sogenannte Wardialing. Der Begriff bezeichnet die Durchführung hunderter oder tausender automatisierter Anrufe in einem bestimmten Gebiet - zum Beispiel einem Rufnummernbereich. Die potenziellen Opfer - oder ihre Anrufbeantworter - werden mit aufgezeichneten Sprachnachrichten belästigt, die entweder direkt Infos abgreifen oder einen Rückruf provozieren sollen.
Dabei geben die Angreifer häufig vor, sie kämen von der Polizei oder dem Finanzamt. Eine Abwandlung des Wardialing sieht zudem das Installieren von Malware vor: Per Popup-Fenster warnt Sie in einem solchen Fall Ihr Betriebssystem vor vermeintlichen technischen Problemen - und bittet darum, etwa den Microsoft Support unter der angegebenen Telefonnummer zu kontaktieren, die direkt zu den Cyberkriminellen führt.
Noch besorgniserregender ist es allerdings, ins Visier einer zielgerichteten Vishing-Attacke zu geraten - dem sogenannten Spear Vishing. Wie beim Spear Phishing setzt diese Taktik beim Angreifer ein gewisses Vorwissen über sein Opfer voraus. Beispielsweise kennt der Angreifer bereits die Wohnadresse und die Hausbank seines Opfers, jetzt gilt es nur noch, Kontodaten und PIN zu entlocken.
Stellt sich die Frage, woher die Angreifer so gut Bescheid wissen. "Ein großer Teil dieser Informationen stammt aus dem Darkweb beziehungsweise ist Bestandteil der Beute von großen Data Breaches", weiß Paige Schaffer, CEO für Global Identity und Cyber Protection Services bei Generali Global Assistance. Ein Spear-Vishing-Angriff ist zwar wesentlich aufwändiger als einer per Wardialing, kann für die Angreifer aber auch einen deutlich höheren Ertrag bedeuten.
Gerade die profitablen Ziele sind im Regelfall jedoch technikaffin und durchschauen automatisierte Massen-Scams schnell. Wenn dicke Beute in Aussicht steht, nehmen Cyberkriminelle deshalb auch den Aufwand auf sich, gefälschte Online-Identitäten über längere Zeiträume hinweg aufzubauen, um ihre Opfer nachhaltig zu täuschen. Richten sich solche zielgerichteten Angriffe gegen Menschen mit dickem Geldbeutel, spricht man dabei von Whaling. Der technische Fortschritt in der Simulation von Stimmen kommt den Kriminellen dabei entgegen: Inzwischen ist es ohne weiteres möglich, die Stimmen einzelner Personen authentisch zu simulieren.
Vishing-Angriffe - Beispiele
Das Portal HashedOut kategorisiert Vishing-Attacken in vier wesentliche Bereiche:
Telemarketing-Betrug: Telefonbetrug gab es schon lange vor der Vishing-Ära, und viele der dafür angewandten Taktiken wurden für das Phishing per Telefonanruf übernommen. Vishing-Anrufe solcher Art kommen scheinbar aus dem Nichts und halten überraschende Gewinne aus Verlosungen bereit, an denen ihre Opfer nie teilgenommen haben. Tolle Reisen, Autos oder Fernseher erwarten angeblich die Getäuschten, sofern sie die fällige "Auftragsgebühr" entrichtet haben.
Behörden-Fakes: Ein gängiges Betrugsmuster besteht darin, dass Vishing-Angreifer sich als Mitarbeiter von Behörden und Institutionen ausgeben, die angeblich eine Auszahlung an ihr Opfer planen. Leider gibt es da ein Problem mit den vorliegenden Informationen, die unvöllständig sind und ergänzt werden müssten. Bei der etwas aggressiveren Variante dieses Schwindels versuchen vermeintliche Steuerfahnder unter Strafandrohung ausstehende Steuerbeiträge einzutreiben. Was passiert, wenn die Polizei solche Betrüger zurückruft, zeigt folgendes Video:
Tech-Support-Schwindel: Besonders nicht-technikaffine Menschen sind von dieser Art des Vishings bedroht. Hier wird, wie bereits erwähnt, Malware eingeschleust. Darüber hinaus warnt Kaspersky vor einer Vishing-Variante, die Ransomware mit einbezieht. Ein Kryptolocker verschlüsselt den Rechner des Opfers, stellt allerdings statt einer Lösegeldforderung eine "Tech-Support-Telefonnummer" zur Verfügung, unter der das Opfer angeblich einen "Techniker" erreichen kann, der den Rechner repariert - gegen eine entsprechende Gebühr, versteht sich.
Bank-Vishing: Der heilige Gral für Vishing-Akteure besteht darin, sich Zugang zu Banking-Daten zu verschaffen. Ist ein Angreifer bereits in Besitz von persönlichen Daten seiner Opfer, kann er einen Anruf fingieren, der so tatsächlich von der Bank kommen könnte. Auf diese Weise lassen sich auch technisch versierte Nutzer immer wieder täuschen.
Das gilt zum Beispiel für Caleb Sasser, Gründer von Panic Inc., der auf Krebs On Security seine ganz persönliche Vishing-Geschichte preisgab, die beinahe erfolgreich verlaufen wäre. Dabei konnten die Angreifer erfolgreich die Telefonnummer von Sassers Bank (Wells Fargo) fälschen und vorgeben, potenziell betrügerischen Aktivitäten nachgehen zu wollen. Sie boten an, eine neue Bankkarte an Sasser senden zu wollen - doch dafür bräuchten sie seine "alte" PIN-Nummer, die er bitte in die Telefontastatur eingeben solle. Gerade noch rechtzeitig meldete sich Sassers Security-Verstand.
Angreifer dieser Klasse konzentrieren sich im Regelfall auf Whaling - nehmen also besonders lohnenswerte Opfer zielgerichtet ins Visier. Eine beliebte Masche ist dabei der sogenannte "friday afternoon scam": Vishing-Angrifer versuchen ihr Glück am Freitagnachmittag bei Investment-Firmen oder anderen monetär attraktiven Zielen und hoffen auf leichtes Spiel, weil die Person am anderen Ende der Leitung mit ihren Gedanken bereits im Wochenende ist.
Phishing-Attacken per Telefon verhindern
Die US-Behörde FTC gibt auf ihrer Webseite einige Tipps, wie Menschen Vishing-Angriffe erkennen und verhindern können:
Seien Sie misstrauisch bei Anrufen von Behörden, in denen Sie nach Geld oder persönlichen Informationen gefragt werden. Keine staatliche Institution operiert auf diese Art und Weise. Im Zweifel beenden Sie das Gespräch und rufen bei der offiziellen Nummer der Behörde an, um sich rückzuversichern.
Bezahlen Sie niemals per Telefon in Form von Guthaben-, Geschenkkarten oder Banküberweisungen.
Vertrauen Sie den Anruferinformationen nicht - diese sind leicht zu fälschen.
Um Ihr Unternehmen vor Phishing-Angriffen per Telefon zu schützen, empfiehlt es sich, Vishing zum Teil Ihres Security-Awareness-Programms zu machen. Diverse Anbieter arbeiten mit Vishing-Simulationsplattformen, die Ihnen dabei helfen können, Schwachstellen im Mitarbeiterverhalten fest- beziehungsweise abzustellen.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten