Vishing-Angriffe – eine Kombination aus Voice- und Phishing-Angriffen – werden über das Telefon ausgeführt und gelten als eine Art Social-Engineering-Angriff, da sie mithilfe der Psychologie Opfer dazu verleiten, vertrauliche Informationen preiszugeben oder im Namen des Angreifers eine Aktion auszuführen.
Eine gängige Taktik ist der Einsatz von Autorität. Der Angreifer kann beispielsweise vorgeben, vom IRS zu sein und vorzugeben, anzurufen, um unbezahlte Steuern einzutreiben. Die Angst vor einer Festnahme kann dazu führen, dass Opfer tun, was der Angreifer ihnen sagt. Diese Art von Angriffen beinhaltet häufig auch die Zahlung per Geschenkkarte und kostete die Opfer im Jahr 2020 allein in den USA 124 Millionen US-Dollar.
Während Vishing und Phishing beide Arten von Social-Engineering-Angriffen sind und viele der gleichen Taktiken nutzen, besteht der Hauptunterschied zwischen ihnen in dem Medium, das zur Durchführung der Angriffe verwendet wird.
Wie oben erwähnt, nutzt Vishing das Telefon, um einen Angriff durchzuführen. Der Angreifer ruft das Opfer an – oder bringt das Opfer dazu, es anzurufen – und versucht verbal, es zu etwas zu verleiten. Phisher hingegen nutzen für ihre Angriffe elektronische, textbasierte Kommunikationsformen. Während E-Mail das häufigste und bekannteste Phishing-Medium ist, können Angreifer auch Textnachrichten (sogenanntes Smishing), Unternehmenskommunikations-Apps (Slack, Microsoft Teams usw.), Messaging-Apps (Telegram, Signal, WhatsApp usw.) verwenden. oder soziale Medien (Facebook, Instagram usw.), um ihre Angriffe durchzuführen.
Vishing-Angriffe können ebenso vielfältig sein wie Phishing-Angriffe. Zu den häufigsten Vorwänden beim Vishing gehören:
Wie bei anderen Social-Engineering-Angriffen ist die Sensibilisierung der Benutzer für die Prävention und den Schutz von entscheidender Bedeutung. Einige wichtige Punkte, die in Schulungen zur Sensibilisierung für Cybersicherheit einbezogen werden sollten, sind:
Ebenso wie Phishing-Angriffe ist auch die schulungsbasierte Vishing-Prävention unvollkommen. Es besteht immer die Möglichkeit, dass ein Angriff durchschlüpft. Im Gegensatz zu Phishing lässt sich Vishing jedoch nur schwer mithilfe von Technologie verhindern. Da Vishing über das Telefon erfolgt, müssten zur Erkennung potenzieller Angriffe alle Telefongespräche abgehört und auf Warnzeichen geachtet werden.
Aus diesem Grund sollten Unternehmen Vishing-Angriffen begegnen, indem sie eine umfassende Verteidigung implementieren und sich auf die Ziele des Angreifers konzentrieren. Im Unternehmenskontext kann ein Vishing-Angriff darauf abzielen, das System eines Mitarbeiters mit Malware zu infizieren oder dem Angreifer Zugriff auf sensible Unternehmensdaten zu verschaffen. Die Auswirkungen eines Vishing-Angriffs können durch die Einführung von Lösungen abgemildert werden, die einen Angreifer daran hindern, diese Ziele zu erreichen, selbst wenn der ursprüngliche Angriffsvektor (z. B. der Vishing-Anruf) nicht erkennbar ist.
Check Point bietet eine Reihe von Lösungen, die Unternehmen dabei helfen können, Vishing-, Phishing- und andere damit verbundene Angriffe einzudämmen. Harmony Email and Office von Check Point verfügt über Anti-Phishing- Schutz und kann dabei helfen, versuchte Datenexfiltration zu erkennen, die durch einen Vishing-Angriff ausgelöst wurde. Um mehr darüber zu erfahren, wie Check Point Ihr Unternehmen vor Social-Engineering-Bedrohungen schützen kann, können Sie noch heute eine kostenlose Demo anfordern.