Vishing – bei Anruf Gefahr

Wie sich Unternehmen vor Vishing Calls schützen können

Von in IT-Sicherheit
28
Jan
'20

Vishing ist keine alternative Schreibweise des bekannten „Phishings“, sondern die Abkürzung für „Voice Phishing“ oder „Phishing via VoIP“ . Gemeint ist damit nichts anderes als der Datenklau über das Telefon.

Wie sich Unternehmen vor Vishing schützen können und warum die Sensibilisierung der eigenen Mitarbeiter so wichtig ist, erfahren Sie bei uns.

vishing

Vishing ist der organisierte Datendiebstahl am Telefon. Bild: Pixabay/niekverlaan

Vishing – organisierter Datendiebstahl am Telefon

Während wohl mittlerweile jeder Mitarbeiter weiß, dass E-Mails eines nigerianischen Prinzen oder der Hausbank mit Bitte um Bestätigung der Login-Daten gefährliche Phishing-Methoden darstellen können, ist das Vertrauen bei Telefonanrufen in das Gegenüber am anderen Ende der Leitung durchaus noch existent. Und genau diesen Umstand machen sich Betrüger zunutze.

Mit fingierten Geschichten und netten Worten versuchen sie, via Telefon an wichtige Informationen und Daten zu gelangen, die sie dann weiterverwenden, um dem Unternehmen finanziellen Schaden zuzufügen und sich selbst zu bereichern. Alternativ stellt der Anruf „nur“ die Basis für den eigentlichen Angriff dar, der dann beispielsweise klassisch via E-Mail erfolgt. So oder so: Die „Sicherheitslücke Mensch“ ist hierbei einmal mehr das Einfallstor.

Allgemeine Angriffsformen des Voice Phishings

Um ihr Ziel zu erreichen, nutzen die Betrüger verschiedene Methoden. Die erste und simpelste erfolgt über sogenannte Dialer, also automatisierte Einwählprogramme. Diese Programme rufen eine Vielzahl zuvor eingekaufter oder aus Telefonverzeichnungen ausgelesener Rufnummern an.

Nimmt am anderen Ende jemand ab, wird eine Bandansage abgespielt. Diese gaukelt vor, von einer vertrauenswürdigen Quelle zu stammen wie beispielsweise einer Bank, einem großen Online-Händler oder einer Versicherung. Die Ansage bittet darum, sensible Daten wie PINs, Kontonummern oder Zugangsdaten zu Bezahldiensten aufzusprechen oder über die Tastatur einzugeben. Diese Form des Vishings ruft jedoch selbst bei Laien Misstrauen und Skepsis hervor, sodass sie immer weniger zum Einsatz kommt.

Betrüger, die auf keine große Telefonnummern-Datenbank zugreifen können, drehen den Spieß jetzt einfach um und lassen sich anrufen. Dazu platzieren Sie Anzeigen oder Postings in sozialen Medien oder Foren, die den Leser dazu bringen sollen, die angegebene Telefonnummer anzurufen. Was immer gut funktioniert: Falsche Gewinnspiele. Ruft ein Optimist die Nummer an, erfolgt ebenfalls eine Aufforderung, sensible Informationen herauszurücken.

vishing calls

Nicht jeder Angriff kommt via E-Mail. Bild: Pixabay/websubs

Gezielte Vishing-Angriffe

Während die ersten beiden Formen vornehmlich auf gutgläubige Privatpersonen abzielen, widmet sich die wohl gefährlichste Form des Phishing via VoIP gezielt ausgesuchten Unternehmen. Derartige Attacken sind in der Regel extrem gut vorbereitet, indem beispielsweise Namen und Durchwahl-Nummern von bestimmten Ansprechpartnern recherchiert werden und die Betrüger ein auf den ersten Blick authentisches Anliegen haben. Häufig geben sich die Anrufer als Journalisten, Bankberater oder Partnerunternehmen aus.

Das eigentliche Ziel ist und bleibt aber identisch. Nur geht es in diesem Fall häufig um viel mehr als „nur“ Omas Sparbuch. Die Betrüger versuchen durch das persönliche Gespräch und im Rahmen ihrer erfundenen Geschichte an wichtige Daten und Informationen zu kommen. Besonders gefragt sind dabei Zugangsdaten, also Benutzernamen und Passwörter.

Fallen die Mitarbeiter auf den Trick herein, haben die Kriminellen leichtes Spiel. Von der Verschiebung von Unternehmensgeldern auf ausländische Konten bis hin zur Infiltrierung des Unternehmensnetzwerks oder Industriespionage kann alles dabei sein. Ein bekanntes Beispiel für Vishing waren im Jahr 2015 die Anrufe von angeblichen Microsoft-Mitarbeitern. Andere Ansätze sind angebliche Kundenbefragungen oder Anrufe von falschen Polizisten. Letztere zielen allerdings vornehmlich auf Senioren und nicht auf Unternehmen ab.

Vishing Calls erkennen

Vishing Calls sollten sofort von jedem Mitarbeiter als solche erkannt werden. In diesem Zusammenhang ist eine Sensibilisierung bzw. Erhöhung der so genannten Security Awareness unabdingbar. Idealerweise führen Sie in regelmäßigen Abständen Schulungen durch, in denen Ihre Mitarbeiter auf alle drohenden Gefahren – von Ransomware bis zu Vishing – hingewiesen werden.

Ist das Kind schon in den Brunnen gefallen und ein Mitarbeiter berichtet Ihnen erst im Nachgang von einem merkwürdigen Anruf, sollten Sie keine Zeit verlieren. Je nachdem, an welche Informationen der Anrufer gelangt ist, gilt es, Kreditkarten zu sperren, die Bank zu informieren oder Zugangsdaten sofort zu ändern. Weitere Unterstützung im Fall des Falles erhalten Sie natürlich auch von unseren Experten aus dem IT-SERVICE.NETWORK.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.