Vishing: Schützen Sie sich vor Phishing per Telefon
Phishing ist nach wie vor eine der häufigsten Methoden für Cyberangriffe, aber eine Variante gewinnt schnell an Bedeutung: Vishing.
Vishing, auch als Voice Phishing oder Telefon-Phishing bezeichnet, besteht darin, ein Opfer am Telefon zu manipulieren, um ihm sensible Informationen zu entlocken.
Obwohl die Nutzung des Telefons zu betrügerischen Zwecken nichts Neues ist, lassen sich seit einigen Jahren immer ausgefeiltere Methoden beobachten, die zu einer echten Veränderung der Dimension führen.
Dieses Phänomen lässt sich durch den technologischen Fortschritt und die zunehmende Verbreitung persönlicher Daten im Internet erklären. Cyberkriminelle nutzen diese Daten, um ihre Angriffe zu personalisieren, wodurch ihre Vorgehensweise immer überzeugender und damit gefährlicher wird.
Der Erfolg von Voice Phishing beruht auf seiner einfachen Umsetzung und seiner enormen Wirksamkeit. Indem sie mit Vertrauen, Dringlichkeit oder Angst spielen, manipulieren die Angreifer ihre Opfer psychologisch, um an vertrauliche Informationen wie Benutzernamen, Passwörter oder Bankdaten zu gelangen.
Es ist daher unerlässlich, die Mechanismen dieser wachsenden Bedrohung zu verstehen, um sich davor zu schützen und zu vermeiden, das nächste Opfer zu werden.
Vocal Phishing: Definition und Hintergrund
Was ist Vishing?
Der Begriff „Vishing“ ist eine Zusammenziehung der englischen Wörter „voice“ (Stimme) und „phishing“ (Phishing). Vishing ist also das sprachliche Äquivalent zum Phishing, das auf E-Mail-Nachrichten basiert. Aus diesem Grund wird es manchmal auch als Telefon-Phishing bezeichnet.
Aber was genau ist Voice Phishing? Das Ziel bleibt dasselbe: persönliche Daten, Finanzinformationen oder sensible Zugänge zu IT-Systemen zu stehlen.
Um dies zu erreichen, bedienen sich Hacker Techniken des Social Engineering. Diese Methode basiert auf der psychologischen Manipulation des Opfers, indem Emotionen wie Angst, Respekt vor Autoritäten, Dringlichkeit, Empathie oder Vertrauen ausgenutzt werden.
Im Allgemeinen hängt der Erfolg von Vishing davon ab, dass der Angreifer Vertrauen erwecken kann. Zu diesem Zweck sammelt der Betrüger Informationen über sein Opfer, um seine Aussagen glaubwürdig zu machen und keinen Verdacht zu erregen.
Phisher geben sich oft als Fachleute oder Vertreter von Behörden aus, was die scheinbare Legitimität ihrer betrügerischen Handlungen verstärkt.
Tatsächlich sind die häufigsten Angriffe durch Voice-Phishing Betrugsfälle mit gefälschtem technischen Support und gefälschten Bankberatern.
Warum nimmt Voice Phishing so schnell zu?
Die Akteure im Bereich Cybersicherheit stellen seit mehreren Jahren einen starken Anstieg von Phishing-Angriffen über Telefon fest.
Allerdings lassen sich Statistiken zu Telefon-Phishing nur schwer von anderen Social-Engineering-Angriffen unterscheiden und werden oft mit Phishing-Angriffen zusammengefasst. Dies gilt umso mehr, als Vishing-Angriffe oft hybride Angriffe sind und als Einstiegspunkt eine Phishing-E-Mail nutzen.
Die COVID-19-Pandemie hat wahrscheinlich eine bedeutende Rolle bei der Entwicklung und Verbreitung von Voice Phishing gespielt. Mit der massiven Einführung von Telearbeit mussten sich viele Unternehmen und Privatpersonen schnell anpassen, oft ohne angemessene Sicherheitsmaßnahmen zu ergreifen.
Cyberkriminelle haben diesen Übergang ausgenutzt und sich die Schwachstellen zunutze gemacht, die mit der Isolation der Mitarbeiter und der Dezentralisierung der Sicherheitssysteme einhergehen.
Die Entwicklung der Kommunikationsgewohnheiten und der technologische Fortschritt sind ebenfalls Ursachen für die Zunahme von Voice Phishing. Betrüger haben heute viel leichteren Zugang zu hochentwickelten Tools. Diese Tools werden gleichzeitig immer leistungsfähiger, benutzerfreundlicher und kostengünstiger.
Darüber hinaus ermöglicht die Verbreitung persönlicher Daten im Internet, die oft aus Datenlecks oder sozialen Netzwerken stammen, Cyberkriminellen, ihre Angriffe individuell anzupassen, um glaubwürdiger zu wirken.
Wenn sich Phishing-Angriffe per Telefon jedoch immer weiter verbreiten, dann deshalb, weil sie sehr effektiv sind. Sie erfordern zwar mehr Aufwand für die Angreifer, die glaubwürdige Szenarien entwickeln und sich über ihr Opfer informieren müssen, aber die Mühe lohnt sich.
Die US-amerikanische Federal Trade Commission stellt fest, dass Angriffe durch Voice-Phishing für die Opfer fast dreimal so hohe finanzielle Verluste verursachen wie Phishing-Angriffe.
Der typische Ablauf eines Vishing-Angriffs
Vishing umfasst eine Vielzahl unterschiedlicher Methoden und Mittel. Ein typischer Angriff verläuft jedoch in vier Schritten.
1. Identifizierung des Opfers: Betrüger sammeln Informationen über ihr Opfer über soziale Netzwerke, online zugängliche Unternehmens- oder Vereinsverzeichnisse oder durch Datenlecks.
2. Kontaktaufnahme: Der Anruf kann automatisiert oder von einem Hacker persönlich getätigt werden. In einigen Fällen senden die Betrüger zuvor eine Phishing-E-Mail, in der sie das Opfer auffordern, eine bestimmte Nummer anzurufen.
3. Emotionale Manipulation: Der Gesprächspartner beruft sich häufig auf einen Notfall (unbezahlte Rechnungen, Sicherheitsproblem, Software-Update) oder gibt sich als vertrauenswürdige Instanz aus (Bank, Behörde, IT-Dienstleister), um an die gewünschten Daten zu gelangen.
4. Nutzung der Informationen: Die gewonnenen Daten werden für sofortige oder spätere Betrugsdelikte, Geldtransfers oder komplexere Angriffe verwendet.4
Wer kann Opfer von Vishing werden?
Privatpersonen, historische Zielgruppe von Voice Phishing
Privatpersonen sind bevorzugte Ziele für Voice-Phishing. Sie sind oft wenig sensibilisiert für die Risiken und haben per Definition direkten Zugriff auf ihre persönlichen Daten, insbesondere Bankdaten.
Laut dem Jahresbericht 2023 von Cybermalveillance.gouv.fr machen Angriffe durch gefälschten technischen Support fast 10 % der Meldungen von Privatpersonen aus.
Betrugsfälle durch falsche Bankberater nahmen zwischen 2022 und 2023 um 78 % zu, nachdem sie 2022 noch zu den „neuen Formen der Cyberkriminalität” gezählt wurden.
Vishing beschränkt sich jedoch nicht nur auf den privaten Bereich, sondern betrifft heute ebenso die Arbeitswelt, auch wenn sich nur wenige Unternehmen dessen ausreichend bewusst sind.
Die Arbeitswelt: neues Eldorado für Vishing
Fachkräfte, insbesondere diejenigen, die in Organisationen Funktionen mit Zugang zu Finanz- oder strategischen Daten ausüben, sind besonders gefährdet.
Behörden, lokale Gebietskörperschaften und andere öffentliche Einrichtungen sind aufgrund der kritischen Informationen, über die sie verfügen, und der Gelder, die sie verwalten, ebenfalls attraktive Ziele, zumal ihre Sicherheitsvorkehrungen mitunter weniger streng sind.
Angreifer geben sich häufig als Lieferanten aus und bitten um eine Änderung der Zahlungsdaten für Rechnungen oder als Führungskräfte oder Unternehmensleiter, um unter dem Vorwand eines Notfalls betrügerische Banküberweisungen zu genehmigen.
Auch IT-Dienste werden missbraucht, wobei Betrüger versuchen, Passwörter oder sensible Zugangsdaten zu erlangen, um in die Unternehmenssysteme einzudringen und dort später gezielte Angriffe durchzuführen.
KI und Vishing: Wenn Ihre Stimme zur Bedrohung wird
Wie erkennt man einen Vishing-Versuch?
Niemand kann sich sicher sein, vor Voice Phishing geschützt zu sein. Die Angriffe sind heute so präzise und professionell durchgeführt, dass potenziell jeder zum Opfer werden kann.
Um nicht in die Falle zu tappen, sollten Sie bei einem Anruf auf bestimmte Warnsignale achten.
1. Unterdrückte, externe oder unbekannte Nummer
Der Anruf kommt oft von einer unterdrückten, unbekannten Nummer, einer Nummer außerhalb des Unternehmens oder einer gefälschten Nummer, die der eines legitimen Unternehmens ähnelt. Es ist wichtig, beim Abheben skeptisch zu bleiben.
2. Gefühl der Dringlichkeit, des Drucks, der Angst, …
Der Betrüger nutzt Social-Engineering-Techniken, um Sie zu einer schnellen Reaktion zu bewegen und Sie am Nachdenken zu hindern (er gibt beispielsweise vor, ein technisches Problem lösen zu müssen, das schnellstmöglich behoben werden muss).
3. Anfrage nach sensiblen oder ungewöhnlichen Informationen
Der Angreifer fragt unter dem Vorwand einer Überprüfung nach vertraulichen Daten wie Ihren Passwörtern, PIN-Codes oder Ihrer Kreditkartennummer. Denken Sie daran, dass diese Informationen niemals am Telefon weitergegeben (und daher auch nicht am Telefon abgefragt) werden dürfen.
4. Vertrauen des Gesprächspartners gewinnen
Um Ihr Vertrauen zu gewinnen, kann der Angreifer persönliche Informationen verwenden, die er in sozialen Netzwerken, in Unternehmensorganigrammen oder durch Datenlecks gefunden hat. Halten Sie Abstand zu Ihrem Gesprächspartner und betrachten Sie diese Informationen nicht als Vertrauensbeweis.
Was tun bei einem Versuch von Voice-Phishing?
Die während eines Gesprächs festgestellten Warnsignale lassen Sie vermuten, dass es sich um einen Vishing-Versuch handelt? Beenden Sie das Gespräch sofort und informieren Sie Ihre Kollegen und Ihre Sicherheitsabteilung über den Versuch. Im Zweifelsfall setzen Sie das Gespräch mit Vorsicht fort und beachten Sie dabei die folgenden Grundprinzipien:
1. Überprüfen Sie die Identität Ihres Gesprächspartners.
Versuchen Sie herauszufinden, wer Sie anruft, indem Sie Ihrem Gesprächspartner Fragen stellen. Wenn es sich um jemanden handelt, der Sie wirklich kennt, wird er im Gegensatz zu einem Betrüger präzise Fragen beantworten können.
Im Zweifelsfall können Sie auch vorschlagen, den Gesprächspartner unter einer zuverlässigen und bekannten Nummer zurückzurufen, vorzugsweise von einem anderen Telefon aus.
2. Bleiben Sie ruhig und überlegen Sie
Betrüger setzen oft auf Panik oder Überstürzung. Nehmen Sie sich Zeit zum Nachdenken, bevor Sie antworten oder handeln. Ihr Instinkt und das Hören auf Ihre Emotionen sind Ihre Verbündeten im Kampf gegen Vishing. Wenn Sie das Gefühl haben, dass etwas verdächtig ist, nehmen Sie Abstand, um Ihren Eindruck zu überprüfen.
3. Vermeiden Sie es, spontan Informationen weiterzugeben.
Im Zweifelsfall sollten Sie so wenig wie möglich sprechen und Ihren Gesprächspartner sich selbst offenbaren lassen. Geben Sie niemals Ihre persönlichen Daten weiter, auch wenn der Gesprächspartner viel über Sie zu wissen scheint und auch wenn er auf der Dringlichkeit der zu ergreifenden Maßnahmen besteht.
4. Lehnen Sie jede Handlung ab, die Ihnen verdächtig erscheint.
Im Zweifelsfall sollten Sie verdächtige Aktionen wie das Anklicken eines Links, die Eingabe Ihres Benutzernamens oder Passworts, das Ändern einer Konfiguration auf Ihrem Computer usw. ablehnen. Nehmen Sie auch hier die nötige Distanz, bevor Sie etwas tun.
Fazit: Wie kann man sich vor Voice-Phishing schützen?
Wie wir gesehen haben, ist Vishing eine relativ einfach durchzuführende, aber sehr wirksame Art von Angriff, die sich in besorgniserregender Weise ausbreitet.
Wie bei jedem Social-Engineering-Angriff ist das beste Schutzmittel ein Bewusstsein für die Gefahren von Vishing. Wenn Sie Abstand nehmen, skeptisch und vorsichtig sind, können Sie einen Versuch von Voice-Phishing vereiteln.
Beachten Sie, dass der Erfolg dieses Angriffs weitgehend von den Informationen abhängt, die der Angreifer gesammelt hat, um sein Vorgehen zu legitimieren und Ihr Vertrauen zu gewinnen.
Vermeiden Sie daher möglichst, Ihre persönlichen oder beruflichen Daten in sozialen Netzwerken und im Internet (Newsletter, Treuekonto usw.) zu veröffentlichen, und beschränken Sie die weitergegebenen Informationen auf das unbedingt Notwendige (beispielsweise sollte die Anmeldung zu einem Newsletter nicht mit der Angabe Ihrer Telefonnummer oder Postanschrift verbunden sein).
Wenn Sie diesen Rat befolgen, trocknen Sie die Informationsquelle aus, die eine böswillige Person möglicherweise über Sie sammeln könnte, und reduzieren Sie de facto Ihre Anfälligkeit für Social-Engineering-Techniken.
Der beste Weg, um das Risiko Ihrer Organisation in Bezug auf Vishing zu ermitteln, ist schließlich eine Simulationsübung, bei der Sie die Reflexe Ihrer Mitarbeiter unter realen Bedingungen testen können. Auf diese Weise können Sie Ihre Verfahren entsprechend den Empfehlungen anpassen, die Sie nach der Vishing-Simulation erhalten.
