Wie Vishing funktioniert
Eine gängige Taktik ist der Einsatz von Autorität. Der Angreifer kann beispielsweise vorgeben, vom IRS zu sein und vorzugeben, anzurufen, um unbezahlte Steuern einzutreiben. Die Angst vor einer Festnahme kann dazu führen, dass Opfer tun, was der Angreifer ihnen sagt. Diese Art von Angriffen beinhaltet häufig auch die Zahlung per Geschenkkarte und kostete die Opfer im Jahr 2020 allein in den USA 124 Millionen US-Dollar.
Was ist der Unterschied zwischen Vishing und Phishing?
Während Vishing und Phishing beide Arten von Social-Engineering-Angriffen sind und viele der gleichen Taktiken nutzen, besteht der Hauptunterschied zwischen ihnen in dem Medium, das zur Durchführung der Angriffe verwendet wird.
Wie oben erwähnt, nutzt Vishing das Telefon, um einen Angriff durchzuführen. Der Angreifer ruft das Opfer an – oder bringt das Opfer dazu, es anzurufen – und versucht verbal, es zu etwas zu verleiten. Phisher hingegen nutzen für ihre Angriffe elektronische, textbasierte Kommunikationsformen. Während E-Mail das häufigste und bekannteste Phishing-Medium ist, können Angreifer auch Textnachrichten (sogenanntes Smishing), Unternehmenskommunikations-Apps (Slack, Microsoft Teams usw.), Messaging-Apps (Telegram, Signal, WhatsApp usw.) verwenden. oder soziale Medien (Facebook, Instagram usw.), um ihre Angriffe durchzuführen.
Arten von Vishing-Betrug
Vishing-Angriffe können ebenso vielfältig sein wie Phishing-Angriffe. Zu den häufigsten Vorwänden beim Vishing gehören:
- Kontoproblem: Ein Visher kann vorgeben, von einer Bank oder einem anderen Dienstleister zu kommen und behaupten, dass ein Problem mit dem Konto eines Kunden besteht. Sie werden dann nach persönlichen Informationen fragen, um „die Identität des Kunden zu überprüfen“.
- Regierungsvertreter: Ein Vishing-Angriff kann darin bestehen, dass sich ein Angreifer als Vertreter einer Regierungsbehörde ausgibt, beispielsweise des Internal Revenue Service (IRS) oder der Social Security Administration (SSA). Diese Angriffe zielen in der Regel darauf ab, persönliche Daten zu stehlen oder das Opfer dazu zu verleiten, Geld an den Angreifer zu senden.
- Technischer Support: Social Engineers geben möglicherweise vor, technischer Support von großen und bekannten Unternehmen wie Microsoft oder Google zu sein. Diese Angreifer geben vor, bei der Behebung eines Problems auf dem Computer oder Browser des Opfers zu helfen, installieren jedoch tatsächlich Malware.
So verhindern Sie Vishing-Angriffe
Wie bei anderen Social-Engineering-Angriffen ist die Sensibilisierung der Benutzer für die Prävention und den Schutz von entscheidender Bedeutung. Einige wichtige Punkte, die in Schulungen zur Sensibilisierung für Cybersicherheit einbezogen werden sollten, sind:
- Geben Sie niemals personenbezogene Daten preis: Vishing-Angriffe zielen häufig darauf ab, das Ziel dazu zu verleiten, personenbezogene Daten preiszugeben, die für Betrug oder andere Angriffe verwendet werden können. Geben Sie niemals am Telefon ein Passwort, eine MFA-Nummer (Mehrstufige Authentifizierung), Finanzdaten oder ähnliche Informationen an.
- Telefonnummern immer überprüfen: Visher rufen unter dem Vorwand an, von einer seriösen Organisation zu stammen. Bevor Sie persönliche Daten preisgeben oder etwas tun, was der Angreifer sagt, notieren Sie sich den Namen des Anrufers und rufen Sie ihn unter der offiziellen Nummer auf der Website des Unternehmens zurück. Wenn der Anrufer versucht, Sie davon abzubringen, handelt es sich wahrscheinlich um Betrug.
- Niemand möchte Geschenkkarten: Visher verlangen häufig die Zahlung unbezahlter Steuern oder anderer Gebühren in Geschenkkarten oder Prepaid-Visa-Karten. Keine legitimen Organisationen verlangen als Zahlungsmittel eine Geschenkkarte oder ein Prepaid-Guthaben.
- Bieten Sie niemals Remote-Computerzugriff an: Visher fordern möglicherweise Remote-Zugriff auf Ihren Computer an, um „Malware zu entfernen“ oder ein anderes Problem zu beheben. Gewähren Sie niemandem außer verifizierten Mitgliedern der IT-Abteilung Zugriff auf Ihren Computer.
- Verdächtige Vorfälle melden: Visher versuchen häufig, denselben Betrug auf mehrere verschiedene Ziele anzuwenden. Melden Sie jeden vermuteten Vishing-Angriff der IT oder den Behörden, damit diese Maßnahmen ergreifen können, um andere davor zu schützen.
Ebenso wie Phishing-Angriffe ist auch die schulungsbasierte Vishing-Prävention unvollkommen. Es besteht immer die Möglichkeit, dass ein Angriff durchschlüpft. Im Gegensatz zu Phishing lässt sich Vishing jedoch nur schwer mithilfe von Technologie verhindern. Da Vishing über das Telefon erfolgt, müssten zur Erkennung potenzieller Angriffe alle Telefongespräche abgehört und auf Warnzeichen geachtet werden.
Aus diesem Grund sollten Unternehmen Vishing-Angriffen begegnen, indem sie eine umfassende Verteidigung implementieren und sich auf die Ziele des Angreifers konzentrieren. Im Unternehmenskontext kann ein Vishing-Angriff darauf abzielen, das System eines Mitarbeiters mit Malware zu infizieren oder dem Angreifer Zugriff auf sensible Unternehmensdaten zu verschaffen. Die Auswirkungen eines Vishing-Angriffs können durch die Einführung von Lösungen abgemildert werden, die einen Angreifer daran hindern, diese Ziele zu erreichen, selbst wenn der ursprüngliche Angriffsvektor (z. B. der Vishing-Anruf) nicht erkennbar ist.
Check Point bietet eine Reihe von Lösungen, die Unternehmen dabei helfen können, Vishing-, Phishing- und andere damit verbundene Angriffe einzudämmen. Harmony Email and Office von Check Point verfügt über Anti-Phishing- Schutz und kann dabei helfen, versuchte Datenexfiltration zu erkennen, die durch einen Vishing-Angriff ausgelöst wurde. Um mehr darüber zu erfahren, wie Check Point Ihr Unternehmen vor Social-Engineering-Bedrohungen schützen kann, können Sie noch heute eine kostenlose Demo anfordern.
Feedback