Dass wir es tagtäglich mit einer Flut von mehr oder weniger gut gemachten Phishing Mails zu tun haben, ist uns mittlerweile sehr bewusst und viele Unternehmen trainieren ihre Mitarbeitenden regelmäßig, diese Angriffe zu erkennen und angemessen darauf zu reagieren. Die E-Mail ist mit Abstand der gefährlichste Angriffsvektor, mit dem wir es in der Cyber Crime Welt zu tun haben. Insbesondere Spear-Phishing Mails, also konkret auf den Empfänger abgestimmte und ausgerichtete Mails, stellen eine große Bedrohung dar.

Was der Angreifende alles so weiß...

Aber, ist es nicht manchmal erstaunlich, wie gut diese Mails gemacht sind und welches Wissen Angreifende bereits über ihr Zielunternehmen hat? Woher bekommt er diese Informationen? Über OSINT (Informationsgewinnung durch offene Quellen)? Bestimmt. Im Darknet gekauft? Vielleicht auch. Es gibt diverse Möglichkeiten für Kriminelle an Informationen zu gelangen. Doch wie wäre es einfach mal nach den gewünschten Informationen zu fragen? Das klingt erschreckend einfach und das ist es meistens auch.

Der Angriff über das Telefon ist ein leider noch viel zu unterschätzter Angriffsvektor. Beim sogenannten VISHING, das steht für Voice-Phishing, also dem Angriff via Telefon mit Hilfe der Stimme, versuchen Angreifende ihre Opfer zu einer Aussage oder Handlung zu verleiten, welche einzig im Sinne der Angreifenden ist.

Das Vishing, wie auch das E-Mail Phishing, sind Social Engineering Methoden, mit denen die Angreifenden durch gezielte soziale Reize ihre Opfer so manipulieren, dass diese unbewusst unzulässig handeln.

Die Parameter erfolgreicher Manipulation durch VISHING

Der Social Engineer, welcher das VISHING nutzt, hat noch viele weitere Möglichkeiten das Opfer zu manipulieren. Diese gehen viel weiter als der gekonnte Gebrauch der Stimme, Intonation und die Wahl der Worte. Er kann zum Beispiel Hintergrundgeräusche während des Telefonats nutzen, um bei seinem Opfer ein bestimmtes Bild im Kopf entstehen zu lassen, welches sein Anliegen oder den Grund des Anrufs zu legitimieren scheint. Möglich wären Hintergrundgeräusche eines Großraumbüros, eines Callcenters, eines Bahnhofs oder Flughafen, spielende und weinende Kinder usw.

Angreifende haben noch eine weitere Möglichkeit realistische Szenarien darzustellen. Durch das so genannte Spoofing, also das Simulieren der Anrufer-Telefonnummer, ist es möglich sich zum Beispiel als Polizei oder Feuerwehr, Kunde oder Geschäftspartner, IT-Support oder als Kolleg*in des eigenen Unternehmens auszugeben.

Die Ziele eines VISHING Angriffs 

Angreifende könnten ihr Opfer zum Beispiel dazu bringen wollen:

• Zugangsdaten für eine Web-Anwendung herauszugeben.
  
  
• Zu erzählen, welche Firewall oder welche Antivirus Software im Unternehmen z. Z. im Einsatz ist. Insbesondere die Versionsnummern und Updates sind hier spannend.
  
  
• Den Namen und die Kontaktdaten der IT-Leitung, Kunden und Partnern zu verraten.
  
  
• Sensible Dokumente per Mail zu verschicken
  
  
• Fehlinformationen innerhalb des eigenen Unternehmens zu verteilen.

Warum wird so wenig über VISHING berichtet?

VISHING ist technisch nicht messbar. Anders als eine E-Mail, welche in einer forensischen Untersuchung nach einem IT-Sicherheitsvorfall als Einfallstor für eine Schadsoftware identifiziert werden kann, ist das bei einem VISHING Angriff so nicht möglich. Ein Problem ist auch, dass Angerufene oftmals gar nicht mitbekommen, dass sie unwissend zum Opfer eines Social Engineering Angriffs geworden sind.

Schützen von VISHING-Angriffen

Es gibt aber auch eine gute Nachricht, es gibt genügend Möglichkeiten, um sich und sein Unternehmen vor VISHING Angriffen zu schützen.

1. Technisch, wenn möglich das Telefon-Spoofing unterbinden.
   
   
2. Mitarbeitende im Umgang mit dem Angriffsvektor Telefon schulen – live Trainings.
   
   
3. Online Trainings zum Sensibilisieren und Vertiefen der Thematik durchführen.
   
   
4. Handlungsempfehlungen an die Mitarbeitenden herausgeben.
   
   
5. Meldewege beim Verdacht eines VISHING-Angriffs bekanntgeben.
   
   

Wie hoch schätzen Sie die Möglichkeit ein, dass Sie oder Ihre Mitarbeitenden über das Telefon manipulierbar sind?