Vishing

Wie Phishing per Telefon funktioniert

24.08.2020
Von  und
Josh Fruhlinger ist freier Autor in Los Angeles.


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Phishing per Telefon beziehungsweise Sprachanruf – auch als Vishing bekannt – ist eine Gefahr für Ihre Daten und Ihr Bankkonto. Wir sagen Ihnen, was Sie zu dieser Angriffsmethode krimineller Hacker wissen müssen.

Eine Angriffsmethode krimineller Hacker, die auf Telefon- beziehungsweise Sprachanrufe setzt, mag erst einmal altmodisch anmuten. Allerdings kommt mittlerweile auch beim Phishing per Voicecall Hightech zum Einsatz. Wir sagen Ihnen, was Sie zum Thema Phishing per Sprachanruf wissen müssen und wie Sie sich schützen.

Phishing per Telefon - auch als Vishing bekannt - hat zum Ziel, Ihre Daten zu stehlen und/oder Ihr Bankkonto zu plündern. Das sollten Sie jetzt wissen!
Phishing per Telefon - auch als Vishing bekannt - hat zum Ziel, Ihre Daten zu stehlen und/oder Ihr Bankkonto zu plündern. Das sollten Sie jetzt wissen!
Foto: pathdoc - shutterstock.com

Vishing - Definition

Der Begriff Vishing setzt sich aus Phishing und Voicecall zusammen und bezeichnet den Versuch krimineller Hacker, per Telefon sensible Informationen zu stehlen. Dabei kommen beispielsweise Technologien zur automatischen Stimmsimulation zum Einsatz. Gängig ist auch die Nutzung von zuvor recherchierten, öffentlich verfügbaren Informationen der Opfer.

Unabhängig davon, welche Technologien zum Einsatz kommen: Der Vishing-Angriff folgt dem typischen Social-Engineering-Drehbuch. Der Angreifer schürt bei seinem Opfer Emotionen wie Angst oder Gier, damit dieser sensible Daten - etwa Kreditkartennummern oder Passwörter - herausgibt. Dabei profitieren die Kriminellen davon, dass einer menschlichen Stimme im Regelfall mehr Vertrauen entgegengebracht wird.

Deswegen ist Vishing besonders für ältere und wenig technikaffine Menschen gefährlich, die keine Erfahrungen mit solchen Attacken haben.

Voice Phishing - Zahlen

Die folgenden Zahlen und Statistiken verdeutlichen, dass Phishing per Sprachanruf schon recht gut etabliert ist:

Vishing vs. Phishing vs. Smishing

Traditionelles Phishing plagt Internetnutzer bereits seit den 1990er Jahren. Damals versuchten Hacker AOL-Nutzer dazu zu bringen, ihre Login-Daten preiszugeben. Die Schreibweise mit "ph" könnte ein Verweis auf das sogenannte "phone phreaking" sein - eine frühe Form des Hackings, bei der man sich mit Hilfe von bestimmten Geräuschen, die ins Telefon gespielt wurden, kostenlose Anrufe erschleichen konnte.

Vishing (Phishing per Voice Call) bezeichnet ebenfalls eine Phishing-Variante - allerdings basiert diese Angriffsmethode auf Sprachanrufen. So wie Phishing als Subkategorie des Spam gilt, ist Vishing ein Auswuchs von VoIP Spam, auch bekannt unter der Bezeichnung SPIT (Spam over Telephony). Der Begriff Vishing tauchte erstmals im Laufe der 2000er-Jahre auf. Smishing ist ebenfalls ein Phänomen der 2000er-Jahre und beschreibt Phishing per SMS, beziehungsweise Textnachricht.

Vishing-Techniken

Vishing-Anrufe werden in der Regel über VoIP Services abgesetzt. So können die Angreifer leichter automatisieren und ihre Aktivitäten besser vor den Strafverfolgungsbehörden verschleiern. Das Ziel der Cyberkriminellen ist Profit, den sie sich über erschlichene Zugangsdaten zu Bank- und Kreditkartendaten sichern oder durch die unter irgendeinem Aufwand erteilte Aufforderung, einen Betrag zu überweisen.

Die Angriffstechnik, die im Reich der Vishing Scams die weiteste Verbreitung findet ist das sogenannte Wardialing. Der Begriff bezeichnet die Durchführung hunderter oder tausender automatisierter Anrufe in einem bestimmten Gebiet - zum Beispiel einem Rufnummernbereich. Die potenziellen Opfer - oder ihre Anrufbeantworter - werden mit aufgezeichneten Sprachnachrichten belästigt, die entweder direkt Infos abgreifen oder einen Rückruf provozieren sollen.

Dabei geben die Angreifer häufig vor, sie kämen von der Polizei oder dem Finanzamt. Eine Abwandlung des Wardialing sieht zudem das Installieren von Malware vor: Per Popup-Fenster warnt Sie in einem solchen Fall Ihr Betriebssystem vor vermeintlichen technischen Problemen - und bittet darum, etwa den Microsoft Support unter der angegebenen Telefonnummer zu kontaktieren, die direkt zu den Cyberkriminellen führt.

Noch besorgniserregender ist es allerdings, ins Visier einer zielgerichteten Vishing-Attacke zu geraten - dem sogenannten Spear Vishing. Wie beim Spear Phishing setzt diese Taktik beim Angreifer ein gewisses Vorwissen über sein Opfer voraus. Beispielsweise kennt der Angreifer bereits die Wohnadresse und die Hausbank seines Opfers, jetzt gilt es nur noch, Kontodaten und PIN zu entlocken.

Stellt sich die Frage, woher die Angreifer so gut Bescheid wissen. "Ein großer Teil dieser Informationen stammt aus dem Darkweb beziehungsweise ist Bestandteil der Beute von großen Data Breaches", weiß Paige Schaffer, CEO für Global Identity und Cyber Protection Services bei Generali Global Assistance. Ein Spear-Vishing-Angriff ist zwar wesentlich aufwändiger als einer per Wardialing, kann für die Angreifer aber auch einen deutlich höheren Ertrag bedeuten.

Gerade die profitablen Ziele sind im Regelfall jedoch technikaffin und durchschauen automatisierte Massen-Scams schnell. Wenn dicke Beute in Aussicht steht, nehmen Cyberkriminelle deshalb auch den Aufwand auf sich, gefälschte Online-Identitäten über längere Zeiträume hinweg aufzubauen, um ihre Opfer nachhaltig zu täuschen. Richten sich solche zielgerichteten Angriffe gegen Menschen mit dickem Geldbeutel, spricht man dabei von Whaling. Der technische Fortschritt in der Simulation von Stimmen kommt den Kriminellen dabei entgegen: Inzwischen ist es ohne weiteres möglich, die Stimmen einzelner Personen authentisch zu simulieren.

Vishing-Angriffe - Beispiele

Das Portal HashedOut kategorisiert Vishing-Attacken in vier wesentliche Bereiche:

Telemarketing-Betrug: Telefonbetrug gab es schon lange vor der Vishing-Ära, und viele der dafür angewandten Taktiken wurden für das Phishing per Telefonanruf übernommen. Vishing-Anrufe solcher Art kommen scheinbar aus dem Nichts und halten überraschende Gewinne aus Verlosungen bereit, an denen ihre Opfer nie teilgenommen haben. Tolle Reisen, Autos oder Fernseher erwarten angeblich die Getäuschten, sofern sie die fällige "Auftragsgebühr" entrichtet haben.

Behörden-Fakes: Ein gängiges Betrugsmuster besteht darin, dass Vishing-Angreifer sich als Mitarbeiter von Behörden und Institutionen ausgeben, die angeblich eine Auszahlung an ihr Opfer planen. Leider gibt es da ein Problem mit den vorliegenden Informationen, die unvöllständig sind und ergänzt werden müssten. Bei der etwas aggressiveren Variante dieses Schwindels versuchen vermeintliche Steuerfahnder unter Strafandrohung ausstehende Steuerbeiträge einzutreiben. Was passiert, wenn die Polizei solche Betrüger zurückruft, zeigt folgendes Video:

Tech-Support-Schwindel: Besonders nicht-technikaffine Menschen sind von dieser Art des Vishings bedroht. Hier wird, wie bereits erwähnt, Malware eingeschleust. Darüber hinaus warnt Kaspersky vor einer Vishing-Variante, die Ransomware mit einbezieht. Ein Kryptolocker verschlüsselt den Rechner des Opfers, stellt allerdings statt einer Lösegeldforderung eine "Tech-Support-Telefonnummer" zur Verfügung, unter der das Opfer angeblich einen "Techniker" erreichen kann, der den Rechner repariert - gegen eine entsprechende Gebühr, versteht sich.

Bank-Vishing: Der heilige Gral für Vishing-Akteure besteht darin, sich Zugang zu Banking-Daten zu verschaffen. Ist ein Angreifer bereits in Besitz von persönlichen Daten seiner Opfer, kann er einen Anruf fingieren, der so tatsächlich von der Bank kommen könnte. Auf diese Weise lassen sich auch technisch versierte Nutzer immer wieder täuschen.

Das gilt zum Beispiel für Caleb Sasser, Gründer von Panic Inc., der auf Krebs On Security seine ganz persönliche Vishing-Geschichte preisgab, die beinahe erfolgreich verlaufen wäre. Dabei konnten die Angreifer erfolgreich die Telefonnummer von Sassers Bank (Wells Fargo) fälschen und vorgeben, potenziell betrügerischen Aktivitäten nachgehen zu wollen. Sie boten an, eine neue Bankkarte an Sasser senden zu wollen - doch dafür bräuchten sie seine "alte" PIN-Nummer, die er bitte in die Telefontastatur eingeben solle. Gerade noch rechtzeitig meldete sich Sassers Security-Verstand.

Angreifer dieser Klasse konzentrieren sich im Regelfall auf Whaling - nehmen also besonders lohnenswerte Opfer zielgerichtet ins Visier. Eine beliebte Masche ist dabei der sogenannte "friday afternoon scam": Vishing-Angrifer versuchen ihr Glück am Freitagnachmittag bei Investment-Firmen oder anderen monetär attraktiven Zielen und hoffen auf leichtes Spiel, weil die Person am anderen Ende der Leitung mit ihren Gedanken bereits im Wochenende ist.

Phishing-Attacken per Telefon verhindern

Die US-Behörde FTC gibt auf ihrer Webseite einige Tipps, wie Menschen Vishing-Angriffe erkennen und verhindern können:

  • Seien Sie misstrauisch bei Anrufen von Behörden, in denen Sie nach Geld oder persönlichen Informationen gefragt werden. Keine staatliche Institution operiert auf diese Art und Weise. Im Zweifel beenden Sie das Gespräch und rufen bei der offiziellen Nummer der Behörde an, um sich rückzuversichern.

  • Bezahlen Sie niemals per Telefon in Form von Guthaben-, Geschenkkarten oder Banküberweisungen.

  • Vertrauen Sie den Anruferinformationen nicht - diese sind leicht zu fälschen.

Um Ihr Unternehmen vor Phishing-Angriffen per Telefon zu schützen, empfiehlt es sich, Vishing zum Teil Ihres Security-Awareness-Programms zu machen. Diverse Anbieter arbeiten mit Vishing-Simulationsplattformen, die Ihnen dabei helfen können, Schwachstellen im Mitarbeiterverhalten fest- beziehungsweise abzustellen.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.