Was ist ein Vishing-Angriff?
Vishing ist die Praxis, Menschen durch Telefonanrufe zur Weitergabe sensibler Informationen zu verleiten. Vishing-Opfern wird vorgegaukelt, dass sie sensible Informationen an eine vertrauenswürdige Stelle weitergeben, z. B. an die Steuerbehörde, ihren Arbeitgeber, eine von ihnen genutzte Fluggesellschaft oder eine Person, die sie persönlich kennen. Vishing ist auch als „Voice-Phishing“ bekannt.
Phishing ist die allgemeine Bezeichnung für den Versuch, sensible Informationen zu stehlen, indem man sich als seriöse Partei ausgibt. Es gibt verschiedene Formen des Phishings, darunter E-Mail-Phishing (das manchmal nur als „Phishing“ bezeichnet wird), Voice-Phishing oder Vishing, Whaling und Spear-Phishing.
Während Vishing-Angriffe schwieriger zu erkennen oder zu überwachen sind, ist es wichtig zu verstehen, dass Angreifer oft versuchen, an Informationen über verschiedene Medien gleichzeitig zu gelangen. Daher kann ein signifikanter Anstieg von E-Mail-Phishing-Angriffen als ein Zeichen dafür gewertet werden, dass auch Voice-Phishing-Versuche stattfinden könnten. Unternehmen sollten ihre Mitarbeiter über solche Vorfälle aufklären, denn wachsame Mitarbeiter sind bei diesen Angriffen der beste Schutz.
Wie hängen Vishing und Social Engineering zusammen?
Vishing ist eine Form des Social Engineering. Die Angreifer bringen ihr Opfer dazu, etwas zu tun, was es sonst nicht tun würde, wie z. B. Kreditkartendaten in einem unaufgeforderten Telefonanruf preiszugeben. Die Angreifer spielen mit fundamentalen menschlichen Gefühlen, wie z. B. Gier, Angst oder dem Wunsch zu helfen. Die Angreifer könnten sich als Freunde in einer Notsituation ausgeben und das Opfer auffordern, Geld zu überweisen. Oder sie geben sich als Mitarbeiter der IT-Abteilung des Arbeitgebers aus, um Benutzernamen und Passwort für den Zugang zum Firmennetzwerk zu erhalten.
Wie funktionieren Vishing-Angriffe?
Vishing-Angriffe können ganz unterschiedliche Formen annehmen, aber sie beinhalten oft einige der folgenden Taktiken:
- Ein Überraschungsmoment: Der Anrufer kann vorgeben, zu einer Einrichtung zu gehören, die normalerweise nicht anruft, z. B. Steuerbehörden, ein Unternehmen oder die staatliche Lotterie. Er könnte sich auch als jemand ausgeben, der dem Opfer bekannt ist und der unter ungewöhnlichen Umständen anruft.
- Ein Gefühl der Dringlichkeit und Angst: Der Anrufer kann negative Konsequenzen andeuten oder androhen, sollte eine bestimmte Maßnahme nicht schnell ergriffen werden. Zu diesen Konsequenzen könnte eine Strafe gehören – z. B. die Angst vor einer Verhaftung, wenn eine Steuerschuld nicht sofort beglichen wird – oder eine verpasste Gelegenheit – z. B. kein Zugang zu einem Lottogewinn, wenn personenbezogene Informationen nicht sofort weitergegeben werden.
- Eine Bitte um Informationen: Der Anrufer fragt nach persönlichen oder sensiblen Informationen, wie z. B. dem vollen Namen, der Adresse, dem Geburtsdatum, der Reisepassnummer oder den Kreditkartendaten. Der Angreifer verfügt möglicherweise bereits über einige der Informationen und versucht, sie zu vervollständigen oder zu verifizieren.
- Ein Element der Aktualität: Vishing-Angriffe sind oft mit aktuellen Ereignissen verbunden. Zu Beginn der Covid-19-Pandemie zum Beispiel riefen Angreifer Mitarbeiter an, die gerade angefangen hatten, von zu Hause aus zu arbeiten, und gaben sich als Mitarbeiter ihrer IT-Abteilung aus. Sie verlangten Benutzernamen und Passwörter, um Zugang zu Unternehmensanwendungen und -daten zu erhalten. Diese Angriffe erfolgten international und betrafen eine Vielzahl von Organisationen. Regierungsbehörden und Nichtregierungsorganisationen waren ebenso das Ziel wie Produktionsunternehmen, Softwareentwickler und Fluggesellschaften.
Wie Sie kein Opfer von Vishing werden
Einzelpersonen können sich durch eine Reihe von Maßnahmen vor Phishing-Angriffen schützen. Dazu gehören:
- Seien Sie misstrauisch, wenn jemand am Telefon nach Geld oder sensiblen Informationen fragt: (seien es personenbezogene Informationen oder Informationen über eine Organisation, der der Empfänger angehört). Die meisten Behörden würden solche Informationen nicht am Telefon erfragen.
- Seien Sie sich bewusst, dass es technisch möglich ist, bei Anrufen eine falsche Identität herzustellen: Es ist nicht schwer, Telefonnummern zu fälschen oder eine bestimmte regionale Nummer mit Hilfe der VoIP-Technologie zu verwenden. Aus diesem Grund sollten Sie eingehenden Anrufen, die auf Anrufer-IDs oder regionalen Nummern basieren, nicht unbedingt vertrauen.
- Seien Sie skeptisch in Bezug auf Dringlichkeit: Es ist ratsam, niemandem zu trauen, der ein Gefühl der Dringlichkeit zu vermitteln scheint oder zu sofortigem Handeln auffordert. Bleiben Sie stattdessen ruhig und bedenken Sie die möglichen Konsequenzen.
- Vertrauen Sie nicht stillschweigend auf die Identität des Anrufers: Es ist wichtig, die Identität des Anrufers zu überprüfen, indem Sie nach einer öffentlich zugänglichen Telefonnummer des Unternehmens suchen und dort anrufen. Hat der Anrufer eine Rückrufnummer angegeben, sollten Sie diese nicht verwenden, da sie Teil des Betrugs sein könnte. Wenn der Anrufer behauptet, ein Freund oder ein Familienmitglied zu sein, sollten Sie sich mit dieser Person über andere Kommunikationsmittel in Verbindung setzen oder gemeinsame Kontakte kontaktieren, um die Behauptung zu verifizieren.
Wie man ein Unternehmen vor Vishing-Angriffen schützen kann
Es gibt mehrere Maßnahmen, die Unternehmen auf kultureller und technischer Ebene ergreifen können, um sich vor Vishing-Angriffen zu schützen.
Aufklärung: Sie sollten Ihre Mitarbeiter über die aktuellen Vishing-Trends und ihre allgemeinen Merkmale aufklären. Auf diese Weise können Mitarbeiter Angriffe erkennen, wenn sie ein bestimmtes Szenario kennen, oder Vorsicht walten lassen, wenn sie das Gefühl haben, dass Merkmale von Vishing-Angriffen vorliegen. Es ist auch hilfreich, wenn Führungskräfte ihre Mitarbeiter daran erinnern, in welchen Fällen sie sich mit ihnen in Verbindung setzen werden und in welchen nicht. Zum Beispiel würde ein CEO seine Mitarbeiter nicht anrufen, um sie nach privaten Informationen zu fragen oder um eine Überweisung zu tätigen. So offensichtlich dies auch erscheinen mag, ist es dennoch gut, wenn der CEO dies regelmäßig erklärt.
Kultur: Unternehmen sollten dafür sorgen, dass sich ihre Mitarbeiter nicht scheuen, zu melden, dass sie Opfer eines Vishing-Angriffs geworden sind. Idealerweise haben sie ein Verfahren für solche Fälle eingerichtet, stellen sicher, dass die Mitarbeiter dieses Verfahren kennen und schaffen eine vertrauensvolle Atmosphäre, in der die Mitarbeiter keine Konsequenzen fürchten müssen, wenn sie einen Vorfall umgehend melden.
Technologie: Vishing-Angriffe, die über Telefonanrufe erfolgen, sind schwieriger zu erkennen und zu verhindern als Phishing-Angriffe in E-Mails. Sie können aber bestimmte Schritte zur Schadensbegrenzung und Überwachung unternehmen.
- Multi-Faktor-Authentifizierung: Wenn für den Zugriff auf interne Systeme und Informationen zwei oder mehr Verifizierungsfaktoren erforderlich sind, wird es für Angreifer schwierig sein, sich Zugang zu verschaffen, indem sie einfach Anmeldedaten am Telefon stehlen.
- Principle of least privilege: If an employee falls victim to a vishing attack and their device gets compromised, ensure that the damage will be as minimal as possible. Make sure employees only have access to the systems and information they need for their role is key. Zero Trust network access technology, such as Cloudflare’s Zero Trust services, can help manage this access.
- Zugriffsprotokolle: Es ist wichtig, Systeme einzurichten, die ungewöhnliche Aktivitäten erkennen und überwachen. Zero Trust Technologie hilft Unternehmen auch bei dieser Aufgabe.
- E-Mail-Sicherheit als Sensor nutzen: Angreifer nutzen meist mehrere Formen des Social Engineering gleichzeitig. Die E-Mail-Sicherheitstechnologie von Cloudflare hält E-Mail-Phishing-Versuche an und alarmiert das Unternehmen bei einem Anstieg der Versuche. Ein Anstieg von E-Mail-Phishing bedeutet oft auch einen Anstieg von Voice-Phishing.