Vorsicht vor Phishing-Attacken mit Sprachnachrichten namens Vishing

Hacker und Betrüger haben in den letzten Monaten mit “Vishing” experimentiert, einer Unterform des Phishings.

Herkömmliche Phishing-Taktiken beruhen auf dem Versand von E-Mails, die eine Vielzahl von Social-Engineering-Tricks anwenden, um ahnungslose Empfänger davon zu überzeugen, vertrauliche Informationen bis hin zu Anmeldedaten weiterzugeben.

Vishing fügt jedoch einen neuen Aspekt hinzu: Sprache, entweder über eine aufgezeichnete Nachricht oder über eine E-Mail, die eine Telefonnummer mit einer Live-Person am anderen Ende enthält, die versucht, dem Anrufer die gewünschten Informationen live und persönlich zu entlocken.

Schlimmer noch: Wenn sie aufgezeichnete Nachrichten verwenden, können die Betrüger einen verteilten Ansatz wählen und Tausende oder sogar Zehntausende von E-Mails generieren. Diese E-Mails verweisen auf eine ziemlich überzeugend klingende aufgezeichnete Nachricht und fälschen dabei sogar ihre Anrufer-IDs, damit sie wie legitime Unternehmen wirken.

Die Internet-Sicherheitsfirma Armorblox hat das Problem untersucht und kürzlich zwei Fallstudien zu diesem Phänomen veröffentlicht. In beiden Studien wird sich als Amazon ausgegeben, mit dem Ziel, ahnungslose Nutzer dazu zu bringen, ihre Kreditkartendaten preiszugeben.

In der ersten Fallstudie ging es um eine Kampagne, die auf mehr als neuntausend E-Mail-Adressen abzielte und von einem Gmail-Konto mit der Betreffzeile “Invoice: ID”, gefolgt von einer Rechnungsnummer und einem Inhalt, der den Anschein erweckte, als stamme die Kommunikation von Amazon, versendet wurde.

Laut der E-Mail wurde vom Empfänger eine Bestellung für irgendein technisches Gerät (Fernseher, Computer, Spielkonsole usw.) aufgegeben, und er wird gebeten, das Unternehmen unter der angegebenen Nummer zu kontaktieren, falls es Fragen oder Probleme mit den Details gibt. In diesem Fall ist die beigefügte Telefonnummer die “Nutzlast”, oder zumindest das Tor zur Nutzlast.

Die zweite Kampagne, die das Unternehmen verfolgte, war funktional ähnlich, wurde aber nur an etwa 4.000 Posteingänge gesendet. In beiden Fällen gibt es jedoch keine vergifteten Anhänge, so dass die Spam-Filter der E-Mail-Systeme nichts erkennen können, was “Vishing” zu einem so gefährlichen Phänomen macht.

Seien Sie wachsam

Das ist mal wieder ein gutes Beispiel, warum auch die besten technischen Sicherheitslösungen wohl nicht ausreichen und es immer wieder auch darauf ankommt, dass Ihre Mitarbeiter geschult werden. Und zwar laufend. Nutzen Sie doch dazu automatisierte Cyber-Awareness-Schulungen. Gerne bieten wir Ihnen da etwas an, sprechen Sie uns an.

Jens Hagel
Folge mir

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.