Vishing ist keine alternative Schreibweise des bekannten „Phishings“, sondern die Abkürzung für „Voice Phishing“ oder „Phishing via VoIP“ . Gemeint ist damit der Datenklau über das Telefon.
Wie sich Unternehmen vor Vishing schützen können und warum die Sensibilisierung der eigenen Mitarbeiter so wichtig ist, erfahren Sie bei uns.
Wenn Anrufer böse Absichten haben
Während wohl mittlerweile jeder Mitarbeiter weiß, dass E-Mails eines nigerianischen Prinzen oder der Hausbank mit Bitte um Bestätigung der Login-Daten gefährliche Phishing-Methoden darstellen können, ist das Vertrauen bei Telefonanrufen in das Gegenüber am anderen Ende der Leitung durchaus noch existent. Und genau diesen Umstand machen sich Betrüger zunutze.
Mit fingierten Geschichten und netten Worten versuchen sie, via Telefon an wichtige Informationen und Daten zu gelangen, die sie dann weiterverwenden, um dem Unternehmen finanziellen Schaden zuzufügen und sich selbst zu bereichern. Alternativ stellt der Anruf „nur“ die Basis für den eigentlichen Angriff dar, der dann beispielsweise klassisch via E-Mail erfolgt.
Aber warum ist Vishing gerade für Unternehmen eine große Bedrohung? Wie lässt sich Vishing erkennen? Und warum ist das Problem mit Beginn der Corona-Krise noch schlimmer geworden? Wir geben Antworten.
Voice Phishing: allgemeine Angriffsformen
Um ihr Ziel zu erreichen, nutzen die Betrüger verschiedene Methoden. Die erste und simpelste erfolgt über sogenannte Dialer, also automatisierte Einwählprogramme. Diese Programme rufen eine Vielzahl zuvor eingekaufter oder aus Telefonverzeichnungen ausgelesener Rufnummern an.
Nimmt am anderen Ende jemand ab, wird eine Bandansage abgespielt. Diese gaukelt vor, von einer vertrauenswürdigen Quelle zu stammen wie beispielsweise einer Bank, einem großen Online-Händler oder einer Versicherung. Die Ansage bittet darum, sensible Daten wie PINs, Kontonummern oder Zugangsdaten zu Bezahldiensten aufzusprechen oder über die Tastatur einzugeben. Diese Form des Vishings ruft jedoch selbst bei Laien Misstrauen und Skepsis hervor, sodass sie immer weniger zum Einsatz kommt.
Betrüger, die auf keine große Telefonnummern-Datenbank zugreifen können, drehen den Spieß jetzt einfach um und lassen sich anrufen. Dazu platzieren sie Anzeigen oder Postings in sozialen Medien oder Foren, die den Leser dazu bringen sollen, die angegebene Telefonnummer anzurufen. Was immer gut funktioniert: falsche Gewinnspiele. Ruft ein Optimist die Nummer an, erfolgt ebenfalls eine Aufforderung, sensible Informationen herauszurücken.
Unternehmen im Visier: gezielte Vishing-Angriffe
Während die ersten beiden Formen vornehmlich auf gutgläubige Privatpersonen abzielen, widmet sich die wohl gefährlichste Form des Phishing via VoIP gezielt ausgesuchten Unternehmen. Derartige Attacken sind in der Regel extrem gut vorbereitet, indem beispielsweise Namen und Durchwahl-Nummern von bestimmten Ansprechpartnern recherchiert werden und die Betrüger ein auf den ersten Blick authentisches Anliegen haben.
Häufig geben sich die Anrufer als Journalisten, Bankberater oder Partnerunternehmen aus. In besonders heimtückischen Fällen tarnen sich die Angreifer als Vorgesetzte oder sogar als CEO und versuchen auf diese Weise Mitarbeitende zu schädlichen Handlungen zu bewegen. Diese Taktik wird als CEO-Fraud bezeichnet.
Das eigentliche Ziel ist und bleibt aber identisch. Nur geht es in diesem Fall häufig um viel mehr als „nur“ Omas Sparbuch. Die Betrüger versuchen durch das persönliche Gespräch und im Rahmen ihrer erfundenen Geschichte an wichtige Daten und Informationen zu kommen. Besonders gefragt sind dabei Zugangsdaten, also Benutzernamen und Passwörter.
Vishing: Welche Konsequenzen drohen?
Fallen die Mitarbeiter auf den Trick herein, haben Kriminelle leichtes Spiel. Von der Verschiebung von Unternehmensgeldern auf ausländische Konten bis hin zur Infiltrierung des Unternehmensnetzwerks oder Industriespionage kann alles dabei sein. Ein bekanntes Beispiel für Vishing waren im Jahr 2020 die Anrufe bei Twitter-Mitarbeitenden von angeblichen Kollegen aus der IT-Abteilung. Ziel war es hier, die 2-Faktor-Authentifizierung auszuhebeln und Zugriff auf die Twitter-Accounts zahlreicher Prominenten zu erhalten.
Insbesondere seit der Corona-Krise sind die Zahlen von Vishing-Angriffen übrigens noch einmal mehr in die Höhe geschossen. Der Grund: das Home Office. Experten vermuten, dass Mitarbeiter durch die Corona-Situation weitaus gestresster und unsicherer sind. Zudem sind Mitarbeiter im Home Office auf sich gestellt und können meist keine Kollegen hinzuziehen, um einen Anruf zu verifizieren – einfaches Spiel für die Angreifer. So oder so: Die „Sicherheitslücke Mensch“ ist hierbei einmal mehr das Einfallstor.
Vishing Calls erkennen: IT-Fachleute helfen
Dass Mitarbeiter auf Vishing Calls hereinfallen, lässt sich nur verhindern, wenn diese in der Lage sind, das Vishing als solches zu erkennen. In diesem Zusammenhang ist eine Sensibilisierung beziehungsweise Erhöhung der so genannten Security Awareness unabdingbar.
Idealerweise führen Sie in Ihrem Unternehmen in regelmäßigen Abständen Schulungen durch, in denen Ihre Mitarbeiter auf alle drohenden Gefahren – von Ransomware bis zu Vishing – hingewiesen werden. Denn: Mit Blick auf die jüngsten Vishing-Angriffe ist eine Entwarnung derzeit nicht angebracht, egal ob im Home Office oder am Arbeitsplatz. Die Experten aus dem IT-SERVICE.NETWORK vermitteln Ihnen gern entsprechende Training, teilweise bieten unsere IT-Partner solche Trainings sogar selbst an.
Ist das Kind schon in den Brunnen gefallen und ein Mitarbeiter berichtet erst im Nachgang von einem merkwürdigen Anruf, sollten Sie keine Zeit verlieren. Je nachdem, an welche Informationen der Anrufer gelangt ist, gilt es, Kreditkarten zu sperren, die Bank zu informieren oder Zugangsdaten sofort zu ändern. Sollten Sie hierbei Unterstützung benötigen, können Sie sich ebenfalls an unsere IT-Fachleute wenden.
Weiterführende Links:
Inside-Digital, IT-Business
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung