Was ist Vishing und wie können sich Unternehmen davor schützen?

Vishing Calls - die neue Gefahr für Unternehmen?
Vishing Calls

Lesezeit: etwa 3 Minuten

Was ist Vishing?

Der Begriff „Vishing“ steht nach der Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für „Voice Phishing“ oder „Phishing via VoIP“ und bezeichnet den organisierten Datenklau via Telefon.

Benutzer werden hierbei, ähnlich wie beim Phishing durch erfundene Geschichten dazu animiert, vertrauliche oder finanzrelevante Informationen weiterzugeben. Beim Vishing kann sowohl die Angriffsvorbereitung als auch der Informationsabgriff telefonisch erfolgen.

Wie gehen Angreifer beim Vishing vor?

Es gibt unterschiedliche Formen von Vishing:

  • Die einfachste Form erfolgt automatisiert über Dialer. Es wird eine große Anzahl von gesammelten Telefonnummern angerufen. Bei Rufannahme wird eine Bandansage abgespielt, die dem Angerufenen vorgibt, dass der Anruf von einer vertrauenswürdigen Institution stammten würde. Anschließend wird versucht, sensible Informationen wie Kontonummern, PINs oder TANs abzugreifen.
  • Eine andere Form von Vishing ist das Verbreiten von Telefonnummern über E-Mails, Foren oder Soziale Medien. Die dabei eingesetzten Texte sollen den Leser dazu verleiten die Telefonnummer anzurufen. Beim Anruf werden wiederrum sensible Daten abgegriffen.
  • Die gefährlichste Form von Vishing erfolgt hoch spezialisiert. Diese Angriffe sind nicht gegen eine bestimmte Person, sondern oftmals gegen ein Unternehmen gerichtet und sind sehr gut vorbereitet. Die Angreifer betreiben vorab eine ausführliche Recherche über das Unternehmen und Mitarbeiter. Anschließend wird ein Mitarbeiter angerufen, um unter einem Vorwand sensible Informationen des Angerufenen zu erhalten. Diese Informationen können allgemein sein, um weitere Angriffe zu planen oder sehr zielgerichtet, wie bspw. Benutzernamen und Passwörter des Mitarbeiters.

Welche Ziele verfolgen die Angreifer beim Vishing?

Die Ziele der Angreifer können vielfältig sein. In erster Linie geht es darum Informationen über die Person oder das Unternehmen zu erhalten. Diese Informationen werden genutzt, um weitere Angriffe zu planen oder diese auszuführen.

Mit Kontoinformationen und Zugangsdaten können Angreifer Überweisungen tätigen. Mittels Zugangsdaten eines Administrators sogar ein komplettes Unternehmensnetzwerk übernehmen. Informationen über Kunden und Projekte werden an Konkurrenten verkauft. Genauso wie die Pläne für ein neues Produkt oder das abgegebene Angebot auf eine Ausschreibung.

Beispiele für Vishing

Der Support Anruf

Bereits seit einigen Jahren warnt die Polizei vor gefälschten Microsoft Support Anrufen.

Die Masche hat sich dabei nicht großartig verändert. Das zukünftige Opfer wird in der Regel zufällig per Telefon kontaktiert. Die Anrufer, oft englischsprachig, geben vor von Microsoft zu stammen. Angeblich hätte man auf dem Windows-Computer Fehler, Schadsoftware oder ähnliches gefunden. Man müsse nun schnell handeln und man benötige über das Internet Zugriff auf den betroffenen Computer.

Willigt das Opfer ein, wird es zur Installation einer Fernwartungssoftware angeleitet. Anschließend haben die Angreifer unbegrenzten Zugriff auf den Computer und können weitere Programme (Spyware, Schadsoftware, Keylogger usw.) installieren. Die Täter deaktivieren hierfür auch gern bereits installierte Antivirensoftware, um weitere Gefahrenmeldungen zu unterdrücken.

Im Jahr 2018 hat das BSI über eine neue Betrugsmasche gewarnt. Die Angreifer streuen irreführende Informationen und falsche Telefonnummern auf Internetseiten oder sozialen Medien. Das Ziel der Angreifer ist dabei, dass hilfesuchenden Nutzer selbst bei den Angreifern anrufen und sensible Daten preisgeben.

Dabei werden die gefälschten Einträge und Nummern möglichst so auf den Seiten eingebunden, dass sie ganz oben bei den Suchmaschinen erscheinen.

 

Die Kundenbefragung

Ein anderes Beispiel der Vergangenheit richtete sich gegen Vodafone Kunden. Durch eine vorgetäuschte Kundenbefragung und dem Versprechen auf zusätzliches Datenvolumen, versuchten die Angreifer das Kundenkennwort des Opfers zu erhalten.

Dieses Vorgehen ist üblich bei den Angreifern. Bevor die direkte Frage nach sensiblen Daten gestellt wird, werden die potentielle Opfer in ein Gespräch verwickelt. Das kann eine Umfrage, ein Gewinnspiel oder ein Interview sein. Die Fragen nach den sensiblen Daten erfolgt erst, wenn der Angreifer sicher ist, dass das Opfer ihm traut.

 

Der falsche Polizist

Auch das Vorspielen eines Polizeibeamten wird aktuell häufig genutzt, um Vishing Calls durchzuführen. Über eine neue Masche berichtet die Polizei Niedersachsen:

Die Angreifer rufen beim vermeintlichen Opfer an und geben sich als Polizeibeamte aus. Im Gespräch behaupten die Angreifer, dass man in der Wohngegend einen Einbrecher geschnappt hätte. Dieser Einbrecher hätte eine Liste von Namen mit sich geführt, auf der sich auch der Name der angerufenen Person befände. Leider ist der Komplize des Einbrechers entkommen, weshalb ein möglicher Überfall nicht ausgeschlossen wird. Um auf der sicheren Seite zu sein, sollte der Angerufene seine Wertsachen an einen verdeckt arbeitenden Polizisten übergeben, der in Kürze bei dem potentiellen Opfer erscheint.

Dieses Szenario richtet sich vor allem gegen Privatperson und sollte für Unternehmen normalerweise keine Gefahr darstellen.

Die Mitarbeiter müssen jedoch für das Vorgehen der Angreifer sensibilisiert werden. Heute gibt sich der Angreifer als Polizist aus und morgen ist er ein Buchautor, der an einer authentischen Geschichte schreibt und deshalb Informationen über das Unternehmen benötigt.

Wie können sich Unternehmen gegen Vishing schützen?

Vishing zu erkennen ist nicht einfach. Jedoch gibt es einzelne Warnzeichen, wie Vishing-Angriffe erkannt werden können.

Häufig geben sich die Angreifer als Spezialisten oder Profis aus. Dabei geben Sie sich oft als Computerspezialisten, Bankiers oder Polizisten aus. Teilweise wird auch die Rolle eines Journalisten vorgespielt, der um ein Interview bittet.

Fragen Sie die anrufende Person nach ihren Kontaktdaten und validieren Sie diese anschließend. Sollte die Person keine Kontaktdaten angeben wollen, ist es ein Hinweis auf möglichen Betrug.

Während des Gesprächs versuchen die Betrüger häufig Druck aufzubauen und ein Anliegen möglichst dringlich darzustellen. Lassen Sie sich dabei nicht aus der Ruhe bringen. Versuchen möglichst viele Informationen über den Anrufenden zu erhalten ohne selbst Informationen preiszugeben.

Übrigens: Layer8 bietet Vishing Calls zur Unterstützung Ihrer Security Awareness Kampagne. Social Engineering Pentester rufen Mitarbeiter Ihres Unternehmens an, um Ihre unternehmenskritischen Informationen mit Hilfe des Telefons zu gewinnen. Weitere Informationen zu Vishing-Calls auf Layer8.

 

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 4,67 von 5 Sternen, basierend auf 3 Bewertungen.
Loading...

Kategorisiert in: ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*