Was ist Vishing?

Die meisten Menschen kennen Phishing. Vishing ist eine weitere Angriffstaktik, der unter den allgemeinen Phishing-Schirm fällt, aber die gleichen Ziele verfolgt. „Vishing“ ist die Abkürzung für „Voice Phishing“ und bezeichnet Phishing-Anrufe per Telefon. Visher verwenden gefälschte Telefonnummern, stimmverändernde Software, Textnachrichten und Social Engineering, um ihre Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Dabei nutzt Vishing i. d. R. die Stimme. (Aber auch beim Smishing, einer weiteren Form des Phishings, bei der vorwiegend SMS-Textnachrichten verwendet werden, werden diese ggf. mit Sprachanrufen kombiniert).

Phishing und Vishing verfolgen das gleiche Ziel: an sensible Benutzerdaten zu gelangen, die für Identitätsdiebstahl, finanziellen Gewinn oder die Übernahme von Nutzerkonten verwendet werden können. Der Hauptunterschied zwischen Phishing und Vishing ist das Medium, das verwendet wird, um potenzielle Opfer anzusprechen. Während Phishing in erster Linie ein E-Mail-basierter Angriff ist, nutzt Vishing typischerweise Sprachanrufe an die Handynummer einer Zielperson.

Sowohl Vishers als auch Phishers senden – meist in großen Mengen ­– Nachrichten an ihre Opfer. Phishing-Angreifer nutzen dazu E-Mail-Listen attraktiver Zieler. Hat es der Angreifer auf ein bestimmtes Unternehmen abgesehen, werden möglicherweise nur E-Mail-Adressen hoch privilegierter Benutzer des Zielunternehmens verwendet. Phisher versuchen mit überzeugenden Nachrichten Benutzer dazu zu verleiten, mit sensiblen Informationen zu antworten oder auf einen Link zu klicken, hinter dem sich Malware verbirgt. Bei einigen Phishing-Angriffen werden auch bösartige Anhänge verschickt.

Visher senden beispielsweise Massen-SMS-Nachrichten mithilfe langer Telefonlisten an ihre potenziellen Opfer und fordern diese auf, eine Nummer (des Angreifers) anzurufen. Bei einer anderen Methode wird eine automatisierte Nachricht verfasst und die Zielpersonen per Robodial angerufen. Dabei werden computergenerierte Sprachnachrichten verwendet, um Akzente zu entfernen und Vertrauen aufzubauen. Die Voice Message bringt den Benutzer dann dazu, sich mit einem vermeintlichen Mitarbeiter verbinden zu lassen, der den Betrug fortsetzt, oder fordert den Benutzer auf, eine vom Angreifer kontrollierte Website zu besuchen.

Obwohl es kleine Unterschiede zwischen einer Phishing- und einer Vishing-Attacke gibt, verfolgen sie immer das gleiche Ziel: Zugangsdaten, persönliche Daten und finanzielle Informationen. Benutzer, die mit Phishing vertraut sind, kennen sich möglicherweise nicht mit Vishing aus, sodass Bedrohungsakteure ihre Erfolgschancen damit erhöhen können.

Smishing ist mit dem Phishing-Angriff eng verwandt, der ebenfalls Mobilfunknummern verwendet. Statt Sprachnachrichten werden beim Smishing jedoch Textnachrichten verwendet. Diese Nachrichten könnten eine Telefonnummer enthalten, die ein anvisierter Benutzer anrufen soll, oder einen Link zu einer vom Angreifer kontrollierten Website, die Malware oder eine Phishing-Seite hostet.

Smishing beruht hauptsächlich darauf, dass Nutzer Textnachrichten stärker vertrauen. Die Nachrichten versprechen in der Regel Preisgelder, Gutscheine oder drohen mit der Löschung von Konten, wenn sich der Benutzer nicht authentifiziert und seine Anmeldedaten zurücksetzt. Da Textnachrichten informeller sind, vertrauen Opfer ihnen oft mehr als einer E-Mail.

Es ist schwieriger, einen Vishing-Angriff zu erkennen als Phishing bzw. Smishing. Vishing-Attacken beginnen mit einer Textnachricht und enthalten meist eine Telefonnummer.

Das folgende Bild zeigt ein Beispiel:

Betrüger versuchen, den Benutzer mit Einschüchterungsmethoden davon zu überzeugen, einen Anruf zu tätigen. In dieser Nachricht gibt der Angreifer vor, vom Finanzamt zu sein. Ein Großteil der Betroffenen hat Angst vor Bußgeldern und Gebühren des Finanzamtes, daher wird jedem, der diese Telefonnummer anruft, gesagt, dass er Geld schuldet. Der Angreifer überredet sein Opfer, seine Kreditkarte zu belasten oder Geld direkt von dessen Konto zu überweisen. Betrügereien mit dem Finanzamt gehören zu den gängigsten Angriffen auf Benutzer.

Das nachfolgende Bild zeigt ein weiteres Beispiel für einen Vishing-Angriff, der mit einer Textnachricht beginnt:

In obigem Bild werden ebenfalls Drohungen und Verängstigungen eingesetzt, um Benutzer zum Anruf zu bewegen. Reagiert der anvisierte Benutzer mit STOP, gehen die Meldungen jedoch weiter. Indem er dem Angreifer antwortet, bestätigt die Zielperson, dass die Telefonnummer gültig ist und damit weiterhin ein Ziel darstellt.

Beachten Sie, dass in beiden Bildern die in der Anrufer-ID aufgelistete Nummer eine kurze 6-stellige Kontaktnummer ist. Diese Nummern werden von Telekommunikationsanbietern verwendet, um Benutzern Nachrichten zu senden, weist aber auch darauf hin, dass die Nachricht von einer automatischen Wähl-API oder einem E-Mail-Konto gesendet wurde. Seien Sie immer misstrauisch, wenn eine Nachricht von einer solchen Nummer kommt: Es könnte sich um einen Smishing- oder Vishing-Betrug handeln.

Nicht jede Nachricht mit einer ungültigen Nummer in der Anrufer-ID ist jedoch bösartig. Diese Nummern werden auch bei Anfragen zur Multi-Faktor-Authentifizierung verwendet, wenn dem Benutzer eine PIN gesendet wird, um den Authentifizierungsprozess abzuschließen. Social-Engineering-Angreifer tricksen den Benutzer aus, indem sie ihn kontaktieren und ihn zur Preisgabe der PIN verleiten. Vishing, Phishing und Smishing können mit Social Engineering für groß angelegte Angriffe auf hoch privilegierte Konten kombiniert werden.

Bei Angreifern, die per Telefon anrufen, wird die Verwendung von Computerprogrammen immer beliebter, um Stimmen und geografische Akzente zu maskieren. Sie verwenden mitunter sogar eine andere geschlechtsspezifische Stimme für ihr Vorhaben. Oft sind diese Stimmen hörbar computergeneriert und offensichtliche Vishing-Versuche. Seien Sie dennoch immer auf der Hut vor Anrufen, in denen nach privaten Informationen gefragt wird.

Der beste Weg, um zu vermeiden, ein Opfer von Vishing zu werden, ist, die Nachrichten zu ignorieren. Telekommunikationsunternehmen verfügen über Betrugssysteme, die „Betrugsrisiko“ (oder ähnliches) auf der Anrufer-ID anzeigen, wenn ein bekanntermaßen missbräuchlicher Anruf eingeht. Sie können sich jedoch nicht darauf verlassen, dass die Telekom alle bösartigen Anrufe abfängt. Nutzer können aber ihre eigenen Vorsichtsmaßnahmen treffen, um nicht zum Opfer zu werden.

SIM-Swapping und Social Engineering machen Ihre Nummer anfällig für Angreifer. Beim SIM-Swapping wird ein Telekom-Mitarbeiter durch Social Engineering dazu gebracht, einem Angreifer Zugriff auf Ihre Telefonnummer zu geben. Wenn Sie eine seltsame Nachricht über eine Multi-Faktor-PIN oder Änderungen an Ihrem Handy-Konto erhalten, wenden Sie sich immer an die Telekom, um sicherzustellen, dass Sie nicht Opfer von SIM-Swapping und Hijacking geworden sind.

Hier sind ein paar Schritte, die Sie vor Vishing- und ähnlichen Angriffen schützen:

• Seien Sie sich über Vishing bewusst. In Unternehmen hilft die Schulung der Mitarbeiter zu allgemeiner Cybersicherheit und Handy-Sicherheit im Speziellen dabei, Vishing-Angriffe zu erkennen, damit sie diese ignorieren und Telefon-Phishing melden können. Für Privatpersonen gilt: Geben Sie niemals private Informationen an jemanden weiter, der Sie per Textnachricht oder Anruf kontaktiert. Eine legitime Institution wird Ihnen eine legitime Rufnummer nennen, damit Sie überprüfen können, ob es sich um einen offiziellen Anruf handelt.
• Erkennen Sie die Methoden der Druckausübung und Einschüchterung. Die Scammer drängen die potenziellen Opfer, sofort Geld zu senden, entweder per Kreditkarte, Banküberweisung oder auch per Geschenkkarte. Eine beliebte Methode, mit der Benutzer beispielsweise auf die Finanzamt-Masche hereinfallen, ist die Androhung von Gefängnisstrafen, wenn das Geld nicht sofort überwiesen wird.
• Ignorieren Sie Anrufe von unbekannten Nummern. Wenn Sie die Nummer nicht erkennen, lassen Sie den Anrufer auf die Voicemail gehen.
• Seien Sie skeptisch gegenüber jedem Anrufer, der sensible Informationen wünscht. Geben Sie einem Anrufer niemals sensible Informationen, unabhängig davon, wo der Anrufer behauptet, zu arbeiten.