Was ist Vishing?
Vishing ist definiert als ein Angriff auf die Cybersicherheit, bei dem eine böswillige Organisation das Opfer telefonisch kontaktiert und versucht, das Vertrauen des Opfers durch Social-Engineering-Praktiken zu gewinnen, um an vertrauliche Daten zu gelangen, Gelder abzuschöpfen oder der Person anderweitig zu schaden.
Dabei handelt es sich im Wesentlichen um eine Art von Phishing-Angriff, der über Sprachmedien durchgeführt wird, weshalb er auch als Vishing-Angriff bezeichnet wird.
Vishing-Angriffsmechanismus
Vishing erfolgt in der Regel in Form eines dringenden oder beunruhigenden Anrufs. Der Anrufer behauptet zum Beispiel, dass das Konto des Opfers gehackt wurde und er eine PIN-Nummer benötigt, um seine Identität zu bestätigen oder das Konto wieder zu öffnen.
Sie können auch behaupten, im Namen einer Regierungsbehörde anzurufen, z. B. des Internal Revenue Service (IRS) oder der Social Security Administration. Sie können sogar darauf bestehen, dass das Opfer Geld schuldet oder einen Wettbewerb gewonnen hat.
Dies sind alles Fälle von "Vishing" (wie bereits erwähnt, eine Mischung aus "Voice" und "Phishing", um einen Telefonbetrug zu bezeichnen). Der Begriff "Phishing" bezeichnet alle Versuche von Cyberkriminellen, Menschen zur Herausgabe von Geld, persönlichen Daten oder geheimen Informationen zu verleiten. In ähnlicher Weise können auch E-Mails und Kurznachrichten- oder Textnachrichtensysteme ("Smishing") für Betrügereien genutzt werden.
Beim Vishing handelt es sich um eine Internet-Kriminalität, bei der Kriminelle die Telefone der Opfer benutzen, um an Informationen zu gelangen, die der Person schaden oder dem Täter in irgendeiner Weise nützen würden.
Cyberbetrüger verwenden ausgefeilte Social-Engineering-Techniken, um Opfer davon zu überzeugen, persönliche Daten und sogar Zugang zu Bankkonten oder Geschäftsgeheimnissen zu geben. Wie beim Smishing und Phishing geht es auch beim Vishing darum, die Opfer davon zu überzeugen, dass es die richtige Reaktion ist, den Forderungen des Anrufers nachzugeben. Die Anrufer geben sich oft als Regierungsbehörden, Steuerbehörde, Finanzinstitut des Opfers oder als Polizei aus.
Der Erfolg dieser Taktik hängt von einem effektiven Social Engineering ab, d. h. der Ausnutzung der Psychologie einer Person, um eine überzeugende Wirkung zu erzielen. Vishing-Täter verwenden Drohungen oder positive Überredung, um den Opfern das Gefühl zu geben, dass sie die angeforderten Informationen bereitstellen müssen. Die Opfer können auch bedrohliche Sprachnachrichten erhalten, in denen ihnen mitgeteilt wird, dass sie eine strafrechtliche Verfolgung oder die Sperrung ihres Bankkontos riskieren, wenn sie nicht korrekt zurückrufen.
Wie funktioniert das Vishing?
Phishing-Angreifer nutzen häufig die Fälschung der Anrufer-ID, um den Opfern vorzugaukeln, dass ein Anruf von einem vertrauenswürdigen Unternehmen oder einer lokalen Vorwahl kommt.
Sie geben sich oft als vertrauenswürdige Einrichtungen aus, um die Opfer zur Weitergabe ihrer Daten zu bewegen. So geben sie sich beispielsweise als Mitarbeiter einer Bank oder einer Kreditkartenagentur, als Gläubiger oder als Vertreter des Finanzamtes aus. Die Betrüger erwecken ein Gefühl der Dringlichkeit, wenn das gewünschte Opfer ans Telefon geht, um dessen Gefühle auszunutzen und es zu zwingen, auf die Forderungen einzugehen.
Vishing kann viele Formen annehmen, aber das Ziel ist immer dasselbe: das Opfer soll dazu gebracht werden, persönliche Daten preiszugeben, entweder um einen finanziellen Gewinn zu erzielen oder um andere Straftaten zu begehen, z. B. Identitätsdiebstahl.
Einer der Gründe, warum diese Angriffe so überzeugend sein können, ist, dass Betrüger persönliche Informationen aus anderen Quellen verwenden können, um Vishing-Versuche als legitim erscheinen zu lassen.
Die häufigsten Arten des Vishings
1. die Kriegswahl
2. VoIP-basierte Angriffe
3. die Fälschung der Anrufer-ID
4. Spülung in Containern
1. die Kriegswahl
Beim Wardialing werden verschiedene Technologien eingesetzt, um automatisch eine große Anzahl von Telefonnummern in schneller Folge anzuwählen, in der Regel, um Schwachstellen in der Sicherheits- und IT-Infrastruktur zu entdecken.
Hacker verwenden häufig Wardialing-Tools, um ungesicherte Modems zu finden, die manchmal auch als "Wardialer" oder "Demon Dialer" bezeichnet werden. Es braucht nur sehr wenig Zeit
zu tun, wenn der Betrüger die Liste der mit den Modems verbundenen Nummern ausfindig macht.
2. VoIP-basierte Angriffe
Die Übertragung von Sprach- und Multimedia-Inhalten über eine Internetverbindung wird als Voice over Internet Protocol (VoIP) bezeichnet. Nutzer können mit VoIP über ihre Computer, Smartphones, andere digitale Plattformen wie VoIP-Telefone und Web Real Time Communication (WebRTC)-fähige Websites telefonieren.
VoIP ist sowohl für Privatpersonen als auch für Unternehmen eine vorteilhafte Technologie, da sie oft zusätzliche Funktionen bietet, die in herkömmlichen Telefonsystemen nicht vorhanden sind. Auch für Unternehmen ist es ein nützliches Mittel zur Vereinheitlichung der Kommunikation.
Leider kann VoIP von Betrügern ausgenutzt werden, um Vishing-Angriffe zu starten. Der Angreifer registriert eine Domäne und erstellt Phishing-Seiten, die der Anmeldeseite des Netzwerks des Unternehmens ähneln. Infolgedessen scheinen die vom Angreifer initiierten VoIP-Anrufe aus demselben Netzwerk zu stammen. Da bei VoIP häufig eine Multi-Faktor-Authentifizierung erforderlich ist, kann der Anrufer das Opfer außerdem auffordern, die betrügerische Seite zu besuchen und seine Daten anzugeben.
3. die Fälschung der Anrufer-ID
Spoofing liegt vor, wenn ein Anrufer die Informationen auf dem Bildschirm des eingehenden Anrufs absichtlich verfälscht, um seine Identität zu verschleiern. Betrüger verwenden häufig die Technik des "Spoofing Neighbour", um die Anrufer-ID so aussehen zu lassen, als käme sie von einer lokalen Nummer oder um sich als Unternehmen oder staatliche Einrichtung auszugeben, der das Opfer bereits vertraut.
Wird ein solcher Anruf entgegengenommen, versucht der Angreifer, Geldmittel oder wichtige Daten zu stehlen, die dann für betrügerische Aktivitäten verwendet werden können. Betrugsskripte sind ein wichtiger Bestandteil von Spoofing-Angriffen auf die Anrufer-ID, da sie die Annahme verstärken, dass der Anrufer legitim ist.
4. Spülung in Containern
Das Durchstöbern von - physischen und digitalen - Mülleimern von Banken, Firmengebäuden und anderen Einrichtungen ist ein einfaches und beliebtes Mittel, um an die Kontaktdaten von Vishing-Opfern zu gelangen.
Kriminelle können aus geschredderten Dokumenten, weggeworfenen Speichermedien, alten Kalendern, Fotokopien usw. genügend Informationen sammeln, um einen zielgerichteten Spearphishing-Angriff durchzuführen.
Verhinderung von Phishing-Angriffen: Acht bewährte Praktiken für 2022
Ist eine Person erst einmal Opfer eines Vishing-Angriffs geworden, ist es schwierig, die Folgen rückgängig zu machen und Schadenersatz zu erhalten. Selbst wenn die Strafverfolgungsbehörden den Täter ausfindig machen, ist es eine Herausforderung, den Schaden zu ersetzen. Deshalb ist es wichtig, proaktiv Maßnahmen zur Verhinderung von Vishing-Angriffen zu ergreifen, indem Sie diese bewährten Verfahren befolgen:
Gute Praktiken zur Verhinderung von Vishing
1. eine VPN-Verbindung haben
Ein virtuelles privates Netzwerk (VPN) schützt die über das Internet ausgetauschten Informationen und macht es Betrügern schwerer, an Ihre Kontaktdaten zu gelangen.
Das VPN verschlüsselt den Netzwerkverkehr und sendet ihn durch einen sicheren Tunnel, bevor er einen VPN-Server erreicht, der seine IP-Adresse verschleiert. Folglich kennen die Bedrohungsakteure Ihren Standort nicht, was die Durchführung von Social-Engineering-Angriffen erschwert. Das beabsichtigte Opfer kann den Anrufer einfach nach seinem Standort fragen, um zu prüfen, ob der Anruf legitim ist.
2. Halten Sie Ausschau nach "dringenden" Anrufen.
Wenn ein Anrufer ein Gefühl der Dringlichkeit vermittelt, sollten Sie dies als ein Warnsignal betrachten. Zum Beispiel können Vishers versuchen, das Opfer davon zu überzeugen, dass es negative Folgen haben könnte, wenn sie nicht sofort ihre Bankdaten herausgeben oder eine unbezahlte Rechnung bezahlen.
Sie können auflegen oder nach den Kontaktdaten des Anrufers fragen und ihm sagen, dass Sie später zurückrufen werden. Wenn es sich um einen Betrug handelt, wird der Anrufer normalerweise mehr Druck ausüben oder auflegen.
3. Robocall-Blockierungstools verwenden
Robocall-Blocker, im Volksmund auch als Anruffilter bekannt, sind Computerprogramme, die automatisierte Anrufe erkennen. Wenn eine dritte Partei Wardialing-Techniken verwendet hat, wird der Robocall-Blocker dies erkennen und sofort blockieren.
4. Interne Prozesse umsetzen
Wer nimmt den Hörer ab, wenn die allgemeine Rufnummer des Unternehmens klingelt? Könnte er leicht in den Händen des falschen Mitarbeiters landen?
Die Weitergabe des Telefons von einem Benutzer zum anderen kann Verwirrung stiften und dazu führen, dass die Mitarbeiter im Unternehmen nicht mehr wissen, wer am anderen Ende des Anrufs sitzt.
Die Einstellung einer speziellen Empfangsdame, die die guten von den schlechten Anrufen trennt, kann im Bedarfsfall nützlich sein und sicherstellen, dass alle Mitarbeiter prüfen, wer anruft, wenn sie an jemand anderen weitergegeben werden.
Eine andere Möglichkeit besteht darin, ein Verfahren zu schaffen, bei dem der Empfänger den "Antragsteller" direkt über einen anderen offiziellen Kanal bestätigt, bevor er ihm das Telefon übergibt.
5. Stellen Sie sicher, dass alle Geräte über eine Multi-Faktor-Authentifizierung verfügen.
Die Verwendung von hochsicheren Passwörtern ist schön und gut, aber die Multi-Faktor-Authentifizierung bietet zusätzliche Sicherheitsebenen, die sicherstellen, dass Ihr Konto nicht mit einem einzigen Passwort kompromittiert werden kann.
Google kündigte an, dass die Multi-Faktor-Authentifizierung bis 2021 für 150 Millionen Nutzer verpflichtend sein wird, um eine höhere Sicherheitsebene gegen Bedrohungen zu schaffen und so die Zahl der kompromittierten Konten um 50% zu reduzieren.
Schlussfolgerung
Vishing ist vielleicht kein großes Problem für Ihr Unternehmen, sollte es aber sein. Unabhängig davon, wie intelligent oder fähig Ihr Unternehmen und Ihre Kollegen sind, sind Social-Engineering-Taktiken mächtig genug, um jeden unvorbereitet zu treffen.
Da Sie nun über Vishing Bescheid wissen, ist es wichtig, dass Sie diese Informationen an Ihre Mitarbeiter weitergeben.
Lassen Sie sie wissen, dass die Befragung des Anrufers und die Überprüfung der Informationen über offizielle Kanäle den Unterschied zwischen sicheren Daten und dem Risiko eines Cybervorfalls oder einer Datenverletzung ausmachen können.
