Was ist Vishing?
Vishing ist eine Form des Angriffs, bei der versucht wird, Opfer über das Telefon zur Preisgabe sensibler persönlicher Daten zu verleiten. Auch wenn das nach einem altmodischen Betrug klingt, haben Vishing-Angriffe High-Tech-Elemente: Sie verwenden beispielsweise eine automatisierte Sprachsimulationstechnologie, oder der Betrüger nutzt persönliche Informationen über das Opfer, die er bei früheren Cyberangriffen gesammelt hat, um es zu beruhigen.
Unabhängig davon, welche Technologie verwendet wird, folgt das Setup für den Angriff einem bekannten Social-Engineering-Skript: Ein Angreifer entwirft ein Szenario, um menschliche Emotionen, meist Gier oder Angst, auszunutzen, und bringt das Opfer dazu, sensible Informationen wie Kreditkartennummern oder Passwörter preiszugeben. In diesem Sinne ähneln die Vishing-Techniken den Phishing-Betrügereien, die es seit den 1990er Jahren gibt. Vishing-Anrufe machen sich jedoch die Tatsache zunutze, dass wir einer menschlichen Stimme eher vertrauen – und zielen möglicherweise auf ältere und technikfeindliche Menschen ab, die naiv sind und keine Erfahrung mit dieser Art von Betrug haben.
Vishing-Statistiken
Diese bemerkenswerten Zahlen geben einen Eindruck von der Situation des Vishings und davon, warum es für Angreifer ein lukratives Geschäft sein kann.
- Vishing-Angriffe haben in den letzten Jahren zugenommen. Im Jahr 2018 machten Betrugsanrufe fast 30 % aller eingehenden Mobilfunkanrufe aus.
- Es sollte also nicht überraschen, dass dieser seltsame Begriff allmählich bekannter wird. Der Proofpoint-Bericht „2020 State of the Phish“ ergab, dass 25 % der weltweit befragten Mitarbeiter den Begriff korrekt definieren konnten.
- 75 % der Betrugsopfer berichten, dass die Betrüger bereits über persönliche Informationen über sie verfügten, die sie dann nutzten, um sie anzusprechen und noch mehr Informationen zu erhalten.
- Nur 6 % der Personen, die der FTC Vishing-Betrügereien der Regierung gemeldet haben, haben tatsächlich Geld verloren – aber die, die Geld verloren haben, haben im Durchschnitt 960 Dollar verloren.
Vishing vs. Phishing vs. Smishing. smishing: Was ist der Unterschied?
Phishing ist der größte aller Betrugsversuche, und CSO hat eine vollständige Erklärung mit allen Details, aber im Wesentlichen geht es darum, gezielte E-Mail-Nachrichten zu versenden, um die Empfänger zu täuschen. „Phish“ wird genauso ausgesprochen wie es geschrieben wird, nämlich wie das Wort „Fisch“ – die Analogie ist die eines Anglers, der einen Köder auswirft (die Phishing-E-Mail) und hofft, dass Sie anbeißen. Der Begriff entstand Mitte der 1990er Jahre unter Hackern, die AOL-Benutzer dazu bringen wollten, ihre Anmeldedaten preiszugeben. Das „ph“ ist Teil einer Tradition skurriler Hacker-Schreibweisen und wurde wahrscheinlich von dem Begriff „Phreaking“ beeinflusst, der für „Phone Phreaking“ steht, eine frühe Form des Hackens, bei der Töne in Telefonhörer eingespielt wurden, um kostenlose Anrufe zu erhalten.
Vishing ist im Wesentlichen Phishing per Telefonanruf. So wie Phishing als eine Untergruppe von Spam angesehen wird, ist Vishing ein Auswuchs von VoIP-Spam, auch bekannt als Spam over Telephony (SPIT). Der Begriff „Vishing“ selbst ist seit den späten 00er Jahren bekannt.
„Smishing“ ist eine ähnliche Art von Angriff, bei dem Textnachrichten anstelle von E-Mails oder Sprachanrufen verwendet werden; das Wort ist ein Portmanteau aus „SMS“ und „Phishing“. Mehr über Smishing erfahren Sie in unserer Erklärung zu diesem Thema.
Vishing-Techniken
Fast alle Vishing-Angriffe haben ein paar Dinge gemeinsam. Die Anrufe werden zunächst über Voice-over-IP-Dienste (VoIP) getätigt, was es den Vishern erleichtert, den Vorgang ganz oder teilweise zu automatisieren, und es den Opfern oder den Strafverfolgungsbehörden erschwert, sie zurückzuverfolgen. Und das eigentliche Ziel der Angreifer ist es, auf irgendeine Art und Weise von Ihnen zu profitieren – entweder durch das Abgreifen von Bankdaten oder anderen persönlichen Angaben, mit denen sie auf Ihre Bankkonten zugreifen können, oder indem sie Sie dazu bringen, direkt an sie zu zahlen.
Aber innerhalb des Universums der Vishing-Betrügereien gibt es eine breite Palette von Techniken und Strategien. Sie reichen von weitgehend automatisierten „Schrotflinten“-Angriffen, die auf viele potenzielle Opfer abzielen, in der Hoffnung, ein paar Bisse zu bekommen, bis hin zu gezielten Betrügereien, die auf ein bestimmtes hochwertiges Ziel abzielen.
Die vielleicht am weitesten verbreitete Form des Vishings beginnt mit dem so genannten „Wardialing“, d. h. Hunderte oder Tausende von automatischen Anrufen an Hunderte oder Tausende von Nummern. Das potenzielle Opfer (oder sein Anrufbeantworter) erhält eine Aufnahme, die ihm Angst machen oder es dazu bringen soll, selbst einen Anruf bei den Betrügern zu tätigen. Oft geben sich die Betrüger als Vertreter des Finanzamtes oder einer anderen Behörde, einer Bank oder einer Kreditgenossenschaft aus. In der Hoffnung, tatsächliche Kunden zu finden, konzentrieren sich die Betrüger auf eine bestimmte Vorwahl und verwenden den Namen eines lokalen Instituts.
Eine Variante dieser Technik besteht darin, Popup-Fenster auf dem Computer zu verwenden, die oft von Malware platziert werden, um eine Warnung des Betriebssystems über ein technisches Problem vorzutäuschen. Dem Opfer wird gesagt, dass es den „Microsoft-Support“ oder etwas Ähnliches anrufen soll, und es erhält eine Telefonnummer. Dadurch wird das Opfer mit dem Angreifer verbunden, der während des Gesprächs eine Kombination aus echten und automatisierten Sprachansagen verwendet – auch hier ist das Ziel, mit wenig Aufwand möglichst viel zu erreichen.
Spear Vishing
Bei dieser Art von Schrotflintenangriffen wissen die Angreifer in der Regel so gut wie nichts über Sie und müssen Sie mit einem Bluff dazu bringen, dass Sie sie für die Person halten, die sie vorgeben zu sein; deshalb können sie relativ leicht entdeckt werden. Viel beunruhigender sind jedoch Vishers, die sich gezielt an Sie wenden. Diese Technik wird als „Spear Vishing“ bezeichnet; wie beim Spear Phishing müssen die Angreifer bereits einige Daten über ihr Ziel haben. Ein Spear Visher kennt beispielsweise bereits Ihre Adresse und Ihre Bankverbindung, bevor er Sie anruft, was es ihm erleichtert, Sie zur Eingabe Ihrer PIN zu verleiten.
Aber woher wissen die Angreifer bereits so viel über Sie? „Ein Großteil dieser Daten stammt aus dem Dark Web, das oft aus Datenschutzverletzungen stammt“, sagt Paige Schaffer, CEO von Global Identity and Cyber Protection Services bei Generali Global Assistance (GGA). Wenn Sie also von großen Datenschutzverletzungen lesen, sollten Sie sich darüber im Klaren sein, dass diese das Vishing erheblich erleichtern können. Es mag seltsam erscheinen, dass ein Angreifer, der bereits im Besitz Ihrer persönlichen Daten ist, noch mehr bekommen will, aber wie Schaffer betont, „je mehr Informationen ein Betrüger hat, desto mehr Schaden kann er anrichten. Warum sollten sie sich mit den letzten vier Ziffern der SSN zufrieden geben, wenn sie Sie möglicherweise dazu bringen können, die anderen fünf Ziffern herauszugeben? Eine vollständige SSN ermöglicht es ihnen, betrügerische Kreditkarten, Darlehen und vieles mehr zu eröffnen.“
Wenn sich das alles nach viel mehr Arbeit anhört, als jemanden anzusprechen und ihm zu sagen, dass man vom Finanzamt ist, dann stimmt das. Aber die meisten Menschen – vor allem hochrangige Zielpersonen, die oft gebildeter und internetaffiner sind – durchschauen diese einfacheren Betrügereien sofort. Wenn die Belohnung groß genug ist, kann es die Zeit wert sein, eine überzeugende Identität aufzubauen, um Informationen aus dem Opfer herauszubekommen. „Ein Hacker hat vielleicht geduldig daran gearbeitet, über Phishing-E-Mails oder Malware an Informationen des Opfers zu gelangen“, sagt Schaffer. „Wenn Speerangreifer es auf größere ‚Fische‘ (sozusagen) wie CEOs abgesehen haben, nennen wir das ‚Whaling‘.“ Und mit der Verbesserung der Stimmsimulationstechniken haben die Speerfischer sogar noch mehr Werkzeuge in ihrem Arsenal, mit denen sie bestimmte Personen imitieren können, um ihre Opfer auszutricksen.
Vishing-Beispiele
Bislang waren wir etwas vage, was die spezifischen Betrügereien angeht, die Speerfischer durchführen, um an Ihr Geld oder Ihre persönlichen Daten zu gelangen. HashedOut unterteilt diese in vier große Kategorien:
Telemarketing-Betrug. Diese Art von Betrug ist zwar älter als die Vishing-Ära, hat aber viele ihrer Techniken übernommen. Der Angreifer ruft Sie kalt an, ohne wirklich zu wissen, wer Sie sind, und macht Ihnen ein Angebot, das zu schön ist, um wahr zu sein: Sie haben in einer Lotterie gewonnen, an der Sie nie teilgenommen haben, Ihnen wurde ein kostenloser Marriott-Urlaub angeboten, Sie können die Zinsen für Ihre Kreditkarte senken usw. In der Regel ist das „kostenlose“ Geld mit Vorabkosten verbunden, und natürlich kommt der versprochene Köder nie an.
Behördenimitationen. Eine häufige Betrugsmasche besteht darin, dass dem Opfer unterstellt wird, ein Problem blockiere Leistungen, die es eigentlich erhalten sollte, z. B. Medicare- oder Sozialversicherungszahlungen; das Angebot, das Problem zu „beheben“, öffnet Tür und Tor, um das Opfer zur Herausgabe persönlicher Daten wie Sozialversicherungs- oder Bankkontonummern zu bewegen. Eine aggressivere Version dieser Masche kommt von gefälschten IRS-„Ermittlern“, die oft behaupten, dass die Opfer Steuern schulden, und ihnen mit Geld- oder Gefängnisstrafen drohen. Dieses Video zeigt einen Polizeibeamten, der mit einem dieser Betrüger interagiert.
Es ist nicht ungewöhnlich, dass diese Art von Betrügern verlangt, dass das Opfer Amazon-Geschenkkarten kauft und ihnen dann die Nummern von der Rückseite vorliest, da die Kartenkäufe nicht zurückverfolgt werden können. Dies ist ein guter Hinweis darauf, dass Sie es nicht mit einer Regierungsbehörde zu tun haben!
Betrug beim technischen Support. Wir haben dies bereits weiter oben besprochen – Betrüger können die technologische Naivität und die Sorge, gehackt zu werden, ausnutzen, indem sie Popup-Anzeigen oder Malware verwenden, die sich als Warnung des Betriebssystems ausgeben, um die Opfer dazu zu bringen, die Betrüger anzurufen. Kapersky warnt vor einer Variante dieses Betrugs, bei der es sich im Grunde um eine Art Ransomware handelt: Malware sperrt den PC, bietet aber eine „technische Support“-Nummer an, unter der ein freundlicher „Techniker“ – der in Wirklichkeit zu der Bande gehört, die die Malware installiert hat – den Computer gegen eine Gebühr reparieren wird, so dass Sie glauben, dass Ihnen tatsächlich geholfen wurde.
Vishing-Angriffe auf Bankkonten. Sich Zugang zu Ihren Bankdaten zu verschaffen, ist natürlich der heilige Gral eines Vishers. Und wenn ein Angreifer bereits Zugang zu einigen Ihrer persönlichen Daten aus einer anderen Quelle hat, wie wir bereits besprochen haben, kann er leicht die Art von legitimen Anrufen nachahmen, die man von seinem Finanzinstitut erwarten würde, und zwar auf eine Art und Weise, die selbst die Erfahrensten unter uns täuschen kann. Der Gründer von Panic Inc., Caleb Sasser, erzählte Krebs on Security eine erschütternde Geschichte über einen beinahe erfolgreichen Vishing-Angriff. Dem Angreifer gelang es, seine Telefonnummer so zu fälschen, dass sie mit der von Wells Fargo, der Bank von Sasser, übereinstimmte, und er gab vor, einige potenziell betrügerische Abbuchungen überprüfen zu wollen. Da die „Bank“ anbot, eine neue Geldautomatenkarte zu schicken, ging Sasser fast so weit, eine neue PIN in sein Telefon einzugeben, bevor er in letzter Minute einen Rückzieher machte; hätte er dies getan, hätten die Betrüger seine Karte klonen und ungehindert benutzen können.
Diese Art von Betrügern geht am ehesten auf Walfang und sucht nach sehr wertvollen Zielen, mit denen sie schnell reich werden können. Eine Variante ist als „Freitagnachmittagsbetrug“ bekannt geworden, bei dem die Betrüger eine Investmentfirma oder ein anderes wohlhabendes Ziel am Ende der Arbeitswoche anrufen und darauf zählen, dass die Person, die den Anruf entgegennimmt, müde und abgelenkt ist und ihre Wachsamkeit vernachlässigt.
Wie Sie Vishing verhindern können
Wenn Sie Vishing erkennen und vermeiden wollen, hilft Ihnen das bisher behandelte Material hoffentlich dabei, zu wissen, worauf Sie achten müssen. Die FTC bietet eine gute Zusammenfassung der wichtigsten Punkte, die jeder kennen sollte:
- Seien Sie misstrauisch bei Anrufen, die vorgeben, von einer Regierungsbehörde zu kommen und Geld oder Informationen zu verlangen. Behörden rufen nie aus heiterem Himmel an und fordern Geld – oder bieten es an. Legen Sie im Zweifelsfall auf, suchen Sie selbstständig die richtige Nummer der Behörde heraus und rufen Sie sie an, um herauszufinden, ob sie versuchen, Sie zu erreichen.
- Bezahlen Sie niemals für etwas mit einer Geschenkkarte oder einer Überweisung. Das ist ein deutliches Zeichen für einen Betrug.
- Vertrauen Sie der Anrufer-ID nicht. Sie ist sehr leicht zu fälschen.
Kapersky hat noch eine weitere gute Faustregel: Eine Gemeinsamkeit aller Vishing-Betrügereien ist der Versuch, ein falsches Gefühl der Dringlichkeit zu erzeugen, so dass Sie denken, Sie seien in Schwierigkeiten oder würden eine Gelegenheit verpassen und müssten jetzt sofort handeln. Es schadet nie, einen Moment innezuhalten, sich Informationen über den Anrufer zu notieren, ohne selbst etwas anzubieten, und dann nach einer Recherche zurückzurufen.
Wenn Sie proaktive Maßnahmen zum Schutz Ihres Unternehmens ergreifen wollen, sollten Sie das Thema Vishing in eine Schulung zum Sicherheitsbewusstsein aufnehmen. Mehrere Anbieter bieten simulierte Vishing-Plattformen an, die Ihnen helfen können, Schwachstellen in der Einstellung Ihrer Mitarbeiter zu entdecken und ihnen die Art der Bedrohung zu demonstrieren.