Vishing – So täuschen Kriminelle die Opfer am Telefon!

Die größte Gefahr im Internet ist das sogenannte Phishing. Etwa 90% aller Cyber-Angriffe starten durch eine Phishing- bzw. Spear-Phishing-Mail. Neben dem „phishen“ per Email gibt es verwandte Angriffsmethoden, die das gleiche Ziel verfolgen wie Phishing. Wir schauen uns heute das Vishing an, welches nicht über eine Email stattfindet, sondern direkt in einem Telefonat.


Jetzt eintragen für unser kostenfreies Webinar!

Oops i leaked it again – So gelingt der sichere Umgang mit sensiblen Daten!

Jetzt kostenfrei anmelden
25.06.2021 von 10:00 – 10:30 Uhr
Unverbindlich, kostenfrei und jederzeit stornierbar!



Absichten der Kriminelle

Eine Phishing-Mail verfolgt das Ziel, das Opfer zu einer bestimmten Aktivität zu bringen. Diese Aktivität könnte aus dem Klicken eines Links bestehen, aber auch dem Downloaden eines Anhangs. Dies sind zwei Einfallsvektoren, wie Malware auf das System des Opfers gelangen kann.

Diese beiden Ziele können nicht bei einem Telefonat erreicht werden, daher sind die Absichten bei einem Vishing-Angriff nicht offensichtlich. Doch genau wie jeder anderen Phishing-Art versucht der Angreifer auch beim Vishing, an Informationen zu kommen, die er durch eine falsche Identität erlangt. Sie würden nicht den Anhang einer Email herunterladen, wenn dieser ohne Betreff und von einem Unbekannten Absender geschickt worden ist.

Doch eine Email von Ihrem Vorgesetzten mit einem plausiblen Inhalt würden Sie deutlich eher vertrauen und womöglich den Anhang herunterladen. Genau dieses Vertrauen wird auch beim Vishing missbraucht, indem die Telefonnummer gefälscht wird, von der Sie angerufen werden.

Somit denken Sie, dass Sie mit einer bekannten Person telefonieren, in der Realität wurde jedoch die Telefonnummer gefälscht und Sie reden mit einem unbekannten Kriminellen. Doch was versucht der Angreifer nun durch diese Täuschung zu erhalten? Vertrauen!

In solch einem Telefonat kann der Angreifer versuchen, Informationen zu erhalten oder eine zukünftige Phishing-Mail anzukündigen, sodass diese an Vertrauen gewinnt. Wenn Sie mit einem angeblichen Vorgesetzten aus Ihrem Unternehmen telefonieren und dieser eine Email ankündigt, in der ein wichtiger Anhang enthalten ist, hat der Angreifer Vertrauen geschaffen und bringt Sie dazu, den Anhang ohne weitere Vorsichtsmaßnahmen zu öffnen.

Vhishing - 110
Häufig geben sich Kriminelle als die Polizei, doch es gilt zu beachten, dass die echte Polizei niemals mit der 110 anruft!

 




Schutz gegen Vishing

Es gibt keine direkten Schutzmöglichkeiten, sich vor gefälschten Telefonnummern zu schützen, denn jeder technisch interessierte Mensch kann die Absendernummer beliebig fälschen. Sie sollten darauf achten, dass Sie Ihre Handynummer nur dann angeben, wenn es wirklich notwendig ist. Viele Online-Portale bieten die Möglichkeit, eine Handynummer anzugeben. Sobald dieses Portal die Daten verlieren würde, wäre Ihre Handynummer öffentlich und jeder Angreifer könnte diese womöglich nutzen.

Im nächsten Schritt sollten Sie mit gesundem Menschenverstand die Telefonate führen. Kann es überhaupt sein, dass mein Vorgesetzter diese Handynummer kennt? Warum ruft mich ein Kollege an, der mich nie zuvor angerufen hat?

Es besteht keine Gefahr darin, solch ein Telefonat anzunehmen, jedoch sollte Sie aufmerksam bleiben. Kriminelle versuchen Sie schnell in eine außergewöhnliche Situation zu bringen, damit Sie nicht rational denken. Häufig gesehene Betrugsmaschen beinhalten: Angebliche Gewinne, Unfall eines Familienmitglieds oder der klassische Enkeltrick.

Eine gute Möglichkeit, einen Vishing Angriff schnell zu erkennen, ist das direkte Zurückrufen der Nummer. Wenn Sie ein Anzeichen dafür entdecken, dass Ihr Gesprächspartner nicht der ist, der er zu sein scheint, sollten Sie das Gespräch beenden und sofort zurückrufen. Denn wenn der Kriminelle die Nummer gefälscht hat, landen Sie bei einem Rückruf nicht beim Kriminellen, sondern bei dem wirklichen Besitzer der Telefonnummer. So können Sie schnell und ungefährlich feststellen, ob Sie Opfer eines Vishing-Angriffs geworden sind.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast


Schreibe einen Kommentar