Vishing (Voice Phishing)

Vishing oder Voice Phishing ist eine Betrugsmethode, bei der sprachbasierte Taktiken eingesetzt werden, um persönliche Informationen zu stehlen.

Vishing ist ähnlich wie Phishing und Smishing eine Form der Täuschung, die Cyberkriminelle nutzen, um Kreditkartendaten oder andere sensible Informationen zu stehlen. Während beim Smishing (auch SMS-Phishing genannt) Textnachrichten verwendet werden und beim Phishing hauptsächlich E-Mails oder gefälschte Websites zum Einsatz kommen, um die Opfer zu täuschen, tarnen sich Vishing-Angreifer in der Sprachkommunikation als vertrauenswürdige Organisationen oder seriöse Personen.

Beim Vishing verwenden Cyberkriminelle dringende oder alarmierende Skripte, um potenzielle Opfer dazu zu bringen, ihre persönlichen Daten preiszugeben. Angreifer verwenden häufig irreführende Taktiken, beispielsweise das Spoofing von Anrufer-ID-Angaben, um den Anschein zu erwecken, dass Interaktionen von legitimen Organisationen oder Unternehmen stammen.

Vishing ist eine beliebte Methode von Cyberkriminellen zur Beschaffung von Bankverbindungen und personenbezogenen Daten, ohne die Sicherheitsvorkehrungen eines Computers oder Netzwerks umgehen zu müssen.

• Vishing oder Voice-Phishing ist eine Form des Betrugs, bei der sich Angreifer per Telefonanruf als vertrauenswürdige Organisationen ausgeben und die Opfer zur Preisgabe vertraulicher Informationen verleiten.
• Häufige Vishing-Szenarien umfassen das Vorspiegeln, ein Bankmitarbeiter zu sein, technische Support-Betrügereien und den Einsatz von Stimmklonung, wobei oft Dringlichkeit und Angstmacherei genutzt werden, um die Opfer zu manipulieren.
• Die Verhinderung von Vishing-Angriffen erfordert eine umfassende Schulung zur Stärkung des Risikobewusstseins, klare Kommunikationsvorschriften und die Implementierung fortschrittlicher Technologien zur Überprüfung der Anrufer-ID und zur Stimmauthentifizierung.

Phishing und Vishing sind allesamt Social-Engineering-Angriffe, die darauf abzielen, Personen dazu zu bringen, sensible Informationen preiszugeben oder schädliche Aktionen durchzuführen. Die Hauptunterschiede liegen im Angriffsmedium:

• Phishing: Eine der häufigsten E-Mail-Bedrohung. Beim Phishing handelt es sich um einen Cyberangriff, bei dem sich Angreifer als legitime Entitäten ausgeben, um Personen dazu zu verleiten, vertrauliche Informationen wie Zugangsdaten, Finanzdaten oder persönliche Daten preiszugeben. Sie benutzen in der Regel E-Mails oder betrügerische Websites, um ihre Opfer zu täuschen. 
• Vishing: Vishing ist eine Form von Social Engineering, das Sprachkommunikation (normalerweise Telefonanrufe) nutzt, um Personen so zu manipulieren, dass sie vertrauliche Informationen preisgeben oder Maßnahmen ergreifen, die die Sicherheit gefährden. Angreifer geben sich oft als Vertreter von Unternehmen wie Banken oder Regierungsbehörden aus.
• Smishing: Diese Cybersecurity-Bedrohung kombiniert SMS- (Textnachrichten) und Phishing-Techniken. Angreifer versenden Textnachrichten, die vorgeben, von seriösen Absendern zu stammen. Sie enthalten häufig Links zu bösartigen Websites oder fordern die Empfänger auf, betrügerische Telefonnummern anzurufen.

Selbst die Mitarbeiter Ihres Teams mit dem größten Sicherheitsbewusstsein können durch Voice-Phishing getäuscht werden. Um diesen Angriffen stets einen Schritt voraus zu sein, müssen Führungskräfte ihre Sicherheitsmaßnahmen an vorderster Front sorgfältig überwachen. Hier sind einige häufige Vishing-Szenarien, vor denen Sie sich in Acht nehmen sollten: 

Bank-Identitätsmissbrauch

Ein Angreifer, der sich als hochrangiger Mitarbeiter einer Finanzaufsichtsbehörde ausgibt, ruft den Chief Financial Officer (CFO) einer Bank nach Geschäftsschluss an und behauptet, dass dringend Maßnahmen wegen des Verdachts auf Geldwäsche bei internationalen Transaktionen ergriffen werden müssen. Der Anrufer bittet um die sofortige Überprüfung von großen Transaktionen und Kontonummern und betont die Vertraulichkeit und die möglichen Auswirkungen auf den Ruf, wenn nicht gehandelt wird. Sie schaffen Glaubwürdigkeit, indem sie sich auf Branchenkenntnisse beziehen und den CFO unter Druck setzen, indem sie mit dem Einfrieren des Betriebs bei Nichteinhaltung drohen. Ziel ist es, die Autorität und die Dringlichkeit des CFO auszunutzen, um an sensible Finanzinformationen zu gelangen oder nicht autorisierte Überweisungen zu veranlassen.

Betrug mit technischem Support

Der Angreifer, der sich als Leiter der IT-Sicherheitsabteilung einer großen Cybersecurity-Firma ausgibt, mit der das Unternehmen zusammenarbeitet, ruft den direkten Anschluss des CEO an. Er behauptet, eine ausgeklügelte, laufende Cyberattacke auf die Konten der Führungskräfte des Unternehmens entdeckt zu haben. Der Anrufer macht geltend, dass sofortige Maßnahmen erforderlich sind, um Datendiebstahl zu verhindern, und fordert Fernzugriff auf den Computer des CEO, um „kritische Sicherheits-Patches zu installieren“. Er erweckt den Eindruck von Dringlichkeit, indem mögliche Datenschutzverletzungen bei Konkurrenzunternehmen und das Risiko von Geldstrafen erwähnt werden.

Der Betrüger versucht, Fernzugriff auf das Gerät der Führungskraft zu erhalten, um möglicherweise Malware zu installieren oder sensible Unternehmensdaten zu stehlen. Dieses Szenario nutzt die Befugnisse der Führungskraft und ihre begrenzten technischen Kenntnisse aus, um in vermeintlichen Notfällen Standard-IT-Protokolle zu umgehen.

Betrug mit dem Klonen von Stimmen

Bei einem Vishing-Betrug durch Voice-Cloning, der auf Führungskräfte der obersten Führungsebene abzielt, klont ein Angreifer mithilfe künstlicher Intelligenz die Stimme des CEO und ruft den CFO an. Dabei behauptet er, es gebe eine dringende, vertrauliche Akquisitionsmöglichkeit, die sofortiges Handeln erfordere. Der falsche CEO besteht aufgrund von Bedenken wegen Insidergeschäften auf Diskretion und setzt den CFO unter Druck, eine große Überweisung zu veranlassen, um das Geschäft zu sichern. Der Angreifer liefert plausible Details und verweist auf aktuelle Ereignisse im Unternehmen, um glaubwürdig zu erscheinen. 

Diese Angriffsmethode nutzt das Vertrauen in die Stimme des CEO, die Dringlichkeit einer lukrativen Gelegenheit und die Befugnisse des CFO, normale Finanzkontrollen zu umgehen, aus. Dadurch ist sie äußerst überzeugend und schwer zu erkennen.

Lieferbetrug

Ein Cyberkrimineller ruft den Chief Operating Officer (COO) eines Unternehmens an und gibt vor, von einem Premium-Kurierdienst zu sein und ein dringendes, vertrauliches Paket für den CEO zu befördern. Der Anrufer sagt, dass der Zoll das Paket, das sensible Dokumente im Zusammenhang mit einer bevorstehenden Fusion enthält, wegen unvollständiger Papiere zurückhält. Er behauptet, es müsse sofort gehandelt werden, um Verzögerungen zu vermeiden, die den Deal gefährden könnten. 

Der Betrüger fordert die Kreditkartendaten des COO an, um eine kleine „Bearbeitungsgebühr“ zu zahlen, damit die Freigabe beschleunigt wird. Er betont die Diskretion und warnt davor, dass die Einbeziehung anderer Mitarbeiter gegen Vertraulichkeitsvereinbarungen verstoßen könnte. Ziel ist es, die Autorität der Führungskraft und die Angst, wichtige Geschäftsabläufe zu stören, auszunutzen, um Finanzinformationen zu stehlen oder betrügerische Abbuchungen genehmigen zu lassen.

Sozialversicherungs- oder Medicare-Betrug

Ein Vishing-Betrüger gibt sich als hochrangiger Beamter der Sozialversicherungsbehörde oder von Medicare aus. Er behauptet, dass die persönlichen Daten des Opfers bei einer kürzlichen Datenschutzverletzung kompromittiert wurden, wodurch die Gefahr besteht, dass die Leistungen ausgesetzt werden. Der Anrufer bittet dringend um die Überprüfung der Sozialversicherungsnummer oder der Medicare-ID des Opfers, um dessen Konto zu „schützen“, und beruft sich dabei auf kürzlich bekannt gewordene Betrugsfälle, um glaubwürdig zu sein. Er sagt, dass die Leistungen des Opfers ausgesetzt werden könnten oder potenzielle rechtliche Probleme drohen, wenn nicht sofort gehandelt wird. 

Dieser Betrug nutzt die Sorge des leitenden Angestellten um seine persönlichen Finanzen und seinen beruflichen Ruf aus, um an sensible Informationen zu gelangen, die dann für Identitätsdiebstahl oder finanziellen Fraud verwendet werden.

Finanzbehörden-Identitätsmissbrauch

Bei einem Vishing-Betrug mit Finanzbehörden-Identitätsmissbrauch gibt sich ein Angreifer als Mitarbeiter der Finanzbehörde aus. Er behauptet, die Zielperson schulde Steuern, die sofort bezahlt werden müssten, um schwerwiegende Konsequenzen wie Verhaftung oder Abschiebung zu vermeiden. Der Betrüger erzeugt Dringlichkeit und Angst und gibt eine falsche Dienstnummer an, um glaubwürdig zu erscheinen. Sie geben auch durch Spoofing eine Telefonnummer des Finanzamtes vor und erwähnen bestimmte steuerbezogene Details. 

Der Anrufer verlangt eine sofortige Zahlung über unkonventionelle Methoden wie Geschenkkarten oder Überweisungen und erfragt sensible persönliche Informationen. Dieser Betrug nutzt die Angst der Menschen vor dem Finanzamt und Steuerangelegenheiten aus. Beachten Sie jedoch, dass die echte Finanzbehörde in der Regel per Post und nicht per Telefon Kontakt aufnimmt und niemals eine sofortige Zahlungen verlangt oder mit rechtlichen Schritten droht.

Oberflächlich betrachtet scheinen Vishing-Angriffe vor allem ein Ärgernis zu sein. Aber sie sind ernst zu nehmen und stellen ein erhebliches Risiko für die digitale Infrastruktur eines Unternehmens dar. Hier eine Auswahl der Schäden, die ein Vishing-Angriff verursachen kann:

• Finanzieller Verlust: Vishing-Angriffe können zu erheblichen finanziellen Verlusten führen, da Angreifer Mitarbeiter oft dazu verleiten, Geld zu überweisen oder sensible Finanzinformationen bereitzustellen.
• Datenverlust: Angreifer können sich Zugriff auf sensible Geschäftsdaten verschaffen, einschließlich Zugangsdaten, firmeneigener Informationen und Kundendaten. Diese Informationen können sie dann ausnutzen oder im Dark Web verkaufen.
• Schädigung des Rufs: Vishing-Angriffe können den Ruf eines Unternehmens schädigen, das Vertrauen der Kunden untergraben und das Unternehmen potenzielle Geschäftsmöglichkeiten kosten.
• Betriebliche Unterbrechungen: Erfolgreiche Vishing-Angriffe können den Geschäftsbetrieb stören, indem sie kritische Systeme kompromittieren. Hinzu kommen Produktivitätsverluste, da die Mitarbeiter Zeit damit verbringen, sich mit den Folgen des Angriffs zu befassen, anstatt ihren regulären Aufgaben nachzugehen.
• Rechtliche und regulatorische Konsequenzen: Unternehmen können mit rechtlichen und regulatorischen Konsequenzen konfrontiert werden, wenn Vishing-Angriffe zu Datenschutzverletzungen oder zur Nichteinhaltung von Datenschutzgesetzen führen. Dies kann Geldstrafen und eine verstärkte Kontrolle durch die Aufsichtsbehörden nach sich ziehen.

Für Sie als Unternehmensleiter ist die Durchführung bahnbrechender Schulungsprogramme für Ihre Manager und Mitarbeiter eine der besten Investitionen, die Sie in Ihre Bemühungen um Cybersecurity tätigen können. Selbst mit einem Arsenal der neuesten und besten Security-Tools ist Früherkennung der beste Schutz vor Vishing. Hier sind einige Anzeichen, auf die Sie achten sollten:

Dringlichkeit und/oder Angstmacherei

Dringlichkeits- und Angstmacherei sind typische Merkmale von Vishing-Angriffen. Angreifer erzeugen oft beängstigende Szenarien, wie die Androhung rechtlicher Schritte oder die Sperrung von Konten, um ihre Opfer dazu zu bringen, schnell zu handeln..

Das Gegenmittel gegen diese Taktiken besteht darin, ruhig zu bleiben und keine persönlichen Informationen preiszugeben. Legen Sie stattdessen auf und überprüfen Sie die Behauptungen des Anrufers unabhängig, indem Sie die Organisation direkt mit den offiziellen Kontaktdaten kontaktieren.

Anforderung von persönlichen Informationen

Cyberkriminelle geben sich oft als Vertreter von Banken, Behörden oder technischen Supportunternehmen aus und fragen nach sensiblen Daten wie Sozialversicherungsnummern, Bankkontodaten, Kreditkarteninformationen, Passwörtern oder PINs. Sie können dringende Szenarien vorgeben, die eine sofortige Offenlegung dieser Informationen erfordern, wie beispielsweise die Überprüfung von Konten oder die Verhinderung von Fraud. Seriöse Organisationen fragen jedoch selten am Telefon nach derart sensiblen Daten, insbesondere bei unaufgeforderten Anrufen.

Die beste Vorgehensweise besteht darin, keine Informationen preiszugeben. Beenden Sie stattdessen den Anruf und kontaktieren Sie die Organisation direkt über ihre offiziellen Kanäle.

Zahlungsaufforderung

Die Angreifer geben oft dringende Szenarien vor und behaupten, das Opfer schulde Geld und müsse sofort zahlen, um schwerwiegende Konsequenzen zu vermeiden, wie rechtliche Schritte, Verhaftung oder Sperrung des Dienstes. Sie bestehen in der Regel auf einer sofortigen Zahlung mit unkonventionellen Methoden wie Geschenkkarten oder Überweisungen, die schwer nachzuverfolgen sind.

Die beste Abwehrmaßnahme besteht darin, Ruhe zu bewahren und voreilige Entscheidungen zu vermeiden. Denken Sie daran, dass seriöse Unternehmen in der Regel keine sofortige Zahlung am Telefon verlangen oder mit Drohungen zur Zahlung drängen.

Unaufgeforderte Anrufe

Vishing-Betrugsanrufe erfolgen oft unaufgefordert – und oft von Personen, die vorgeben, seriöse Organisationen zu vertreten. Seriöse Unternehmen nehmen in der Regel nicht durch unaufgeforderte Anrufe Kontakt auf oder fordern persönliche Daten aus heiterem Himmel an.

Die beste Reaktion besteht darin, vorsichtig zu sein und keine persönlichen oder finanziellen Informationen weiterzugeben. Wie bei anderen Warnsignalen ist es normalerweise am besten, aufzulegen und die Angaben des Anrufers selbst zu überprüfen, indem Sie die Organisation direkt kontaktieren und dabei die offiziellen Kontaktinformationen von ihrer Website oder anderen vertrauenswürdigen Quellen verwenden.

Aufforderungen zum Herunterladen von Software

Aufforderungen zum Herunterladen von Software können auf einen möglichen Vishing-Angriff hinweisen. Die Betrüger können sich als vertrauenswürdige Organisationen ausgeben, z. B. als technischer Support oder Security-Unternehmen, und behaupten, dass der Computer des Opfers gefährdet ist.

Sie behaupten möglicherweise, dass sofortiges Handeln erforderlich sei, um Datenverlust oder Sicherheitsverletzungen zu verhindern, und weisen das Opfer an, bestimmte Software herunterzuladen und zu installieren, um das Problem zu beheben. Jedoch ist diese Software oft bösartig und darauf ausgelegt, persönliche Informationen zu stehlen, Malware zu installieren oder dem Angreifer Fernzugriff auf die Geräte des Opfers zu verschaffen.

Die Mitarbeiter sollten auflegen und die Situation unabhängig überprüfen, indem sie sich direkt mit der betreffenden Organisation in Verbindung setzen und dabei die offiziellen Kontaktinformationen aus einer vertrauenswürdigen Quelle verwenden. Wenden Sie sich außerdem an Ihre interne IT-Abteilung oder an einen technischen Supportdienst Ihres Vertrauens.

Das Erkennen der Warnzeichen und das frühzeitige Erkennen von Vishing-Angriffen ist eine gute erste Verteidigungslinie. Das ist jedoch nicht narrensicher. Sollte doch einmal ein Vishing-Angriff durch die Maschen schlüpfen, gehen Sie folgendermaßen vor:

1. Melden Sie den Vorfall sofort: Benachrichtigen Sie das IT-Security-Team Ihres Unternehmens oder einen benannten Ansprechpartner und geben Sie so viele Details wie möglich an. Wenn persönliche Geräte betroffen sind, informieren Sie Ihre persönliche Bank und Ihr Kreditkartenunternehmen.
2. Ändern Sie kompromittierte Zugangsdaten: Ändern Sie sofort die Passwörter für alle Konten, die möglicherweise kompromittiert wurden. Verwenden Sie starke, einzigartige Passwörter für jedes Konto. Wenn Sie das gleiche Passwort an anderer Stelle verwendet haben, ändern Sie auch dieses.
3. Dokumentieren Sie den Vorfall: Notieren Sie alles, woran Sie sich im Zusammenhang mit dem Anruf erinnern, solange es noch frisch in Ihrem Gedächtnis ist. Halten Sie die Telefonnummer, alle verwendeten Namen und Gesprächsdetails fest. Speichern Sie alle zugehörigen E-Mails, Textnachrichten oder Voicemails.
   • Kooperieren Sie bei den Ermittlungen: Seien Sie darauf vorbereitet, Ihrem IT-Security-Team oder den Strafverfolgungsbehörden einen detaillierten Bericht vorzulegen. Beantworten Sie die Fragen ehrlich, auch wenn es Ihnen peinlich ist, auf den Betrug hereingefallen zu sein.
4. Überwachen Sie Ihre Konten: Behalten Sie Ihre Finanzkonten genau im Auge, um verdächtige Aktivitäten zu erkennen.
5. Nehmen Sie an zusätzlichen Security-Schulungen teil: Nehmen Sie an allen angebotenen Auffrischungskursen zu den besten Praktiken im Bereich der Cybersecurity teil. Denken Sie auch daran, Ihre Erfahrungen weiterzugeben (auf Wunsch anonym), um zur Aufklärung Ihrer Kollegen beizutragen.
6. Unterstützen Sie die Stärkung der Unternehmenssicherheit: Geben Sie Feedback zu den aktuellen Sicherheitsprotokollen und schlagen Sie Verbesserungen vor. Dies könnte beispielsweise die Einführung von Schutzmaßnahmen wie Sprachauthentifizierungssystemen umfassen.

Zusätzlich zu Ihren Cybersecurity-Tools und der Früherkennung können die folgenden Taktiken den Schutz Ihres Unternehmens abrunden:

• Führen Sie umfassende Schulungen zur Stärkung des Risikobewusstseins durch: Diese Schulungen sollten Beispiele aus der Praxis und Simulationen enthalten, damit die Mitarbeiter Vishing-Versuche erkennen und effektiv darauf reagieren können.
• Stellen Sie klare Kommunikationsprotokolle auf: Erstellen und setzen Sie rigoros Richtlinien durch, die festlegen, wie vertrauliche Informationen innerhalb der Organisation behandelt und überprüft werden.
• Setzen Sie technische Schutzmaßnahmen ein: Implementieren Sie fortschrittliche Systeme zur Überprüfung der Anrufer-ID und erwägen Sie den Einsatz von Sprachauthentifizierungstechnologie für vertrauliche Transaktionen oder den Zugriff auf wichtige Systeme.
• Testen und bewerten Sie regelmäßig die Schwachstellen: Führen Sie regelmäßig Vishing-Simulationen durch, um sicherzustellen, dass die Mitarbeiter auf solche Angriffe nicht hereinfallen. Führen Sie außerdem regelmäßige Security-Prüfungen der Telefonsysteme und der zugehörigen Infrastruktur durch, um sicherzustellen, dass sie auf dem neuesten Stand und sicher sind.
• Schaffen Sie eine Kultur des Sicherheitsbewusstseins: Ermutigen Sie Mitarbeiter auf allen Ebenen, ungewöhnliche Anfragen zu hinterfragen und Identitäten zu überprüfen, auch wenn dies unhöflich oder unnötig erscheinen mag.