IT-Sicherheit

Vishing – bei Anruf Gefahr

Wie sich Unternehmen vor Vishing Calls schützen

von 28.01.2020
vishing

Vishing ist keine alternative Schreibweise des bekannten „Phishings“, sondern die Abkürzung für „Voice Phishing“ oder „Phishing via VoIP“ . Gemeint ist damit der Datenklau über das Telefon.

Wie sich Unternehmen vor Vishing schützen können und warum die Sensibilisierung der eigenen Mitarbeiter so wichtig ist, erfahren Sie bei uns.

Wenn Anrufer böse Absichten haben

Während wohl mittlerweile jeder Mitarbeiter weiß, dass E-Mails eines nigerianischen Prinzen oder der Hausbank mit Bitte um Bestätigung der Login-Daten gefährliche Phishing-Methoden darstellen können, ist das Vertrauen bei Telefonanrufen in das Gegenüber am anderen Ende der Leitung durchaus noch existent. Und genau diesen Umstand machen sich Betrüger zunutze.

Mit fingierten Geschichten und netten Worten versuchen sie, via Telefon an wichtige Informationen und Daten zu gelangen, die sie dann weiterverwenden, um dem Unternehmen finanziellen Schaden zuzufügen und sich selbst zu bereichern. Alternativ stellt der Anruf „nur“ die Basis für den eigentlichen Angriff dar, der dann beispielsweise klassisch via E-Mail erfolgt.

Aber warum ist Vishing gerade für Unternehmen eine große Bedrohung? Wie lässt sich Vishing erkennen? Und warum ist das Problem mit Beginn der Corona-Krise noch schlimmer geworden? Wir geben Antworten.

Vishing. Bild: Andrea Piacquadio/Pexels

Nicht jeder Angriff kommt via E-Mail. Bild: Andrea Piacquadio/Pexels

Voice Phishing: allgemeine Angriffsformen

Um ihr Ziel zu erreichen, nutzen die Betrüger verschiedene Methoden. Die erste und simpelste erfolgt über sogenannte Dialer, also automatisierte Einwählprogramme. Diese Programme rufen eine Vielzahl zuvor eingekaufter oder aus Telefonverzeichnungen ausgelesener Rufnummern an.

Nimmt am anderen Ende jemand ab, wird eine Bandansage abgespielt. Diese gaukelt vor, von einer vertrauenswürdigen Quelle zu stammen wie beispielsweise einer Bank, einem großen Online-Händler oder einer Versicherung. Die Ansage bittet darum, sensible Daten wie PINs, Kontonummern oder Zugangsdaten zu Bezahldiensten aufzusprechen oder über die Tastatur einzugeben. Diese Form des Vishings ruft jedoch selbst bei Laien Misstrauen und Skepsis hervor, sodass sie immer weniger zum Einsatz kommt.

Betrüger, die auf keine große Telefonnummern-Datenbank zugreifen können, drehen den Spieß jetzt einfach um und lassen sich anrufen. Dazu platzieren sie Anzeigen oder Postings in sozialen Medien oder Foren, die den Leser dazu bringen sollen, die angegebene Telefonnummer anzurufen. Was immer gut funktioniert: falsche Gewinnspiele. Ruft ein Optimist die Nummer an, erfolgt ebenfalls eine Aufforderung, sensible Informationen herauszurücken.

Unternehmen im Visier: gezielte Vishing-Angriffe

Während die ersten beiden Formen vornehmlich auf gutgläubige Privatpersonen abzielen, widmet sich die wohl gefährlichste Form des Phishing via VoIP gezielt ausgesuchten Unternehmen. Derartige Attacken sind in der Regel extrem gut vorbereitet, indem beispielsweise Namen und Durchwahl-Nummern von bestimmten Ansprechpartnern recherchiert werden und die Betrüger ein auf den ersten Blick authentisches Anliegen haben.

Häufig geben sich die Anrufer als Journalisten, Bankberater oder Partnerunternehmen aus. In besonders heimtückischen Fällen tarnen sich die Angreifer als Vorgesetzte oder sogar als CEO und versuchen auf diese Weise Mitarbeitende zu schädlichen Handlungen zu bewegen. Diese Taktik wird als CEO-Fraud bezeichnet.

Das eigentliche Ziel ist und bleibt aber identisch. Nur geht es in diesem Fall häufig um viel mehr als „nur“ Omas Sparbuch. Die Betrüger versuchen durch das persönliche Gespräch und im Rahmen ihrer erfundenen Geschichte an wichtige Daten und Informationen zu kommen. Besonders gefragt sind dabei Zugangsdaten, also Benutzernamen und Passwörter.

Vishing ist der organisierte Datendiebstahl am Telefon. Bild: Nordwood Themes/Unsplash

Vishing ist der organisierte Datendiebstahl am Telefon. Bild: Nordwood Themes/Unsplash

Vishing: Welche Konsequenzen drohen?

Fallen die Mitarbeiter auf den Trick herein, haben Kriminelle leichtes Spiel. Von der Verschiebung von Unternehmensgeldern auf ausländische Konten bis hin zur Infiltrierung des Unternehmensnetzwerks oder Industriespionage kann alles dabei sein. Ein bekanntes Beispiel für Vishing waren im Jahr 2020 die Anrufe bei Twitter-Mitarbeitenden von angeblichen Kollegen aus der IT-Abteilung. Ziel war es hier, die 2-Faktor-Authentifizierung auszuhebeln und Zugriff auf die Twitter-Accounts zahlreicher Prominenten zu erhalten.

Insbesondere seit der Corona-Krise sind die Zahlen von Vishing-Angriffen übrigens noch einmal mehr in die Höhe geschossen. Der Grund: das Home Office. Experten vermuten, dass Mitarbeiter durch die Corona-Situation weitaus gestresster und unsicherer sind. Zudem sind Mitarbeiter im Home Office auf sich gestellt und können meist keine Kollegen hinzuziehen, um einen Anruf zu verifizieren – einfaches Spiel für die Angreifer. So oder so: Die „Sicherheitslücke Mensch“ ist hierbei einmal mehr das Einfallstor.

Vishing Calls erkennen: IT-Fachleute helfen

Dass Mitarbeiter auf Vishing Calls hereinfallen, lässt sich nur verhindern, wenn diese in der Lage sind, das Vishing als solches zu erkennen. In diesem Zusammenhang ist eine Sensibilisierung beziehungsweise Erhöhung der so genannten Security Awareness unabdingbar.

Idealerweise führen Sie in Ihrem Unternehmen in regelmäßigen Abständen Schulungen durch, in denen Ihre Mitarbeiter auf alle drohenden Gefahren – von Ransomware bis zu Vishing – hingewiesen werden. Denn: Mit Blick auf die jüngsten Vishing-Angriffe ist eine Entwarnung derzeit nicht angebracht, egal ob im Home Office oder am Arbeitsplatz. Die Experten aus dem IT-SERVICE.NETWORK vermitteln Ihnen gern entsprechende Training, teilweise bieten unsere IT-Partner solche Trainings sogar selbst an.

Ist das Kind schon in den Brunnen gefallen und ein Mitarbeiter berichtet erst im Nachgang von einem merkwürdigen Anruf, sollten Sie keine Zeit verlieren. Je nachdem, an welche Informationen der Anrufer gelangt ist, gilt es, Kreditkarten zu sperren, die Bank zu informieren oder Zugangsdaten sofort zu ändern. Sollten Sie hierbei Unterstützung benötigen, können Sie sich ebenfalls an unsere IT-Fachleute wenden.


Weiterführende Links:
Inside-Digital, IT-Business

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Verschlüsselungstrojaner sind Gefahr Nr. 1

Alle 11 Sekunden erfolgt ein Ransomware-Angriff

von • 18.05.2022

Verschlüsselungstrojaner stellen mittlerweile die größte Bedrohung für deutsche Unternehmen dar. Neben der Anzahl an Attacken steigt aber auch die Aggressivität, mit der die Hacker vorgehen.  ...

Weiterlesen
IT-Sicherheit

Fakecall Trojaner

Banking-Malware leitet auf falsches Callcenter um

von • 11.05.2022

Der Trojaner Fakecall treibt bislang nur in Asien sein Unwesen, aber höchstwahrscheinlich ist es nur eine Frage der Zeit, bis auch hierzulande Nutzer von der neuen Banking-Malware betroffen sind. ...

Weiterlesen
IT-Sicherheit

Data Protection Report 2022

Besserer Schutz vor Datenverlust gefordert

von • 04.05.2022

Der Data Protection Report 2022 wird jährlich durch den Sicherheitssoftware-Anbieter Veeam veröffentlicht. Darin zeichnen sich die aktuellen Entwicklungen und Trends rund um die Datensicherheit ab. ...

Weiterlesen