Arbeiten im Home Office lockt Visher an
7. Oktober 2020 Veröffentlicht von Raphael DoerrUm es gleich vorweg richtig zu stellen: Visher sind keine Fischer, ein Vishing Call ist kein Anruf von einem Fischer und Vishing hat definitiv nichts mit Fischen zu tun.
Der Begriff „Vishing“ steht nach der Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für „Voice Phishing“ oder „Phishing via VoIP“ und bezeichnet den organisierten Datenklau via Telefon. Und wie beim Phishing ist es das Ziel der Angreifer, an sensible Informationen der potentiellen Opfer zu gelangen. Anders als beim Phishing ist hier jedoch nicht das Internet beziehungsweise E-Mail das bevorzugte Medium. Ein Vishing-Angriff kann per Anruf auf dem Festnetz, dem Mobiltelefon oder als Sprachnachricht durchgeführt werden. Dafür wird eben auf Seiten der Angreifer auch häufig VoIP-Technologie eingesetzt.
Es mag ein wenig altmodisch erscheinen, dennoch benutzen Kriminelle immer noch gerne das Telefon. Tatsächlich verlassen sie sich auf die Tatsache, dass viele das Telefon als eine vertrauenswürdige Kommunikationsart betrachten.
Das FBI warnt aktuell vor Vishing-Kampagnen
Pandemiebedingt arbeiten immer mehr Menschen zu Hause im Home Office und sind so oftmals unbewusst aufgrund mangelnder Sicherheitslösungen ideale Opfer für die Vishing-Betrugsmasche. In den USA informiert das FBI und die US-amerikanische Cybersecurity Infrastructure Security Agency („CISA“) im August diesen Jahres in einem Merkblatt Unternehmen vor einer Vishing Kampagne durch Cyberkrimelle:
„The COVID-19 pandemic has resulted in a mass shift to working from home, resulting in increased use of corporate virtual private networks (VPNs) and elimination of in-person verification. In mid-July 2020, cybercriminals started a vishing campaign -gaining access to employee tools at multiple companies with indiscriminate targeting—with the end goal of monetizing the access. Using vished credentials, cybercriminals mined the victim company databases for their customers’ personal information to leverage in other attacks. The monetizing method varied depending on the company but was highly aggressive with a tight timeline between the initial breach and the disruptive cashout scheme.”
Als Betrugstaktik ist Vishing kein unbeschriebenes Blatt und seit Jahren bekannt. Schon 2012 warnte der Sicherheitsexperte McAfee auf seiner Webseite davor: „Vishing” occurs when criminals cold-call victims and attempt to persuade them to divulge personal information over the phone. These scammers are generally after credit card numbers and personal identifying information, which can then be used to commit financial theft. Vishing can occur both on your landline phone or via your mobile phone.”
Doch im Gegensatz zu früher, wo sich die Angriffe meist auf ältere oder schutzbedürftige Personen richteten, geraten nun immer mehr Unternehmen und deren Mitarbeiter ins Visier der Angreifer. Cyberkriminelle nutzen dabei die Schwachstellen in den Sicherheitsprotokollen beim Remote-Working im Home Office. Dabei geht es darum, vertrauliche oder geschützte Geschäftsinformationen eines Unternehmens über das virtuelle private Netzwerk („VPN“) des Unternehmens mit Unterstützung der eigenen Mitarbeiter des Unternehmens zu erhalten, um dann das Unternehmen zu erpressen. VPNs werden in der aktuellen Telearbeitsumgebung häufig verwendet und sollen eine sichere Plattform für Remote-Mitarbeiter sein, um sich von zu Hause aus in das Netzwerk ihres Unternehmens einzuloggen.
Wie so ein Angriff aussehen kann, beschreibt das online Magazin daily-it.net auf seiner Webseite.
Datensicherheit und Vertrauensinfrastruktur mit Remote-IT
„Ein Homeoffice-Mitarbeiter des Zielunternehmens erhält eine Reihe von Anrufen. Die Kriminellen geben vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung beheben zu müssen. Damit wollen sie den Mitarbeiter dazu bringen, seine Zugangsdaten am Telefon preiszugeben oder auf einer gefälschten Internetseite einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die Adresse dieser Seite erinnert an den Namen des Unternehmens und beinhaltet zusätzlich Abkürzungen wie „vpn“, „ticket“ oder „portal“.
Auf der Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen integriert sein. Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als Neuzugänge der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So entsteht der Eindruck, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört. Bei dieser Art von Angriff kommt es für die Täter auf Schnelligkeit an. Denn viele Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung. Zusätzlich zu Benutzername und Passwort ist also eine weitere Information notwendig, um sich einzuloggen. Und diese Information – zum Beispiel ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird – ist oft nur für kurze Zeit gültig. Diese Sicherheitsmaßnahme umgehen die Kriminellen, indem sie auf ihren Phishing-Seiten diesen zusätzlichen Faktor einfach mit abfragen. Sollten die Opfer ihre Log-in-Informationen gleich am Telefon preisgeben, loggen sich die Kriminellen in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.
Voice Phishing – Zahlen
Laut Computerwoche hat sich das Phishing per Sprachanruf schon recht gut etabliert:
- Vishing-Angriffe vermehren sich seit Jahren – 2018 waren rund 30 Prozent aller eingehenden Anrufe betrügerischer Natur.
- Laut Proofpoints Report “State of the Phish 2020” können nur 25 Prozent der befragten Angestellten den Begriff korrekt definieren.
- 75 Prozent der Vishing-Opfer gaben an, dass die Angreifer im Besitz persönlicher Informationen über sie waren, die genutzt wurden, um den Angriff weiter voranzutreiben.
„Die COVID-19-Pandemie hat zu einer Massenverlagerung hin zur Arbeit von zu Hause aus geführt, was zu einer verstärkten Nutzung von virtuellen privaten Unternehmensnetzwerken (VPNs) und dem Wegfall der persönlichen Überprüfung geführt hat. Mitte Juli 2020 starteten Cyberkriminelle eine Vishing-Kampagne, um Zugang zu Mitarbeiter-Tools bei mehreren Unternehmen mit wahllosem Targeting zu erhalten, mit dem Endziel, den Zugang zu monetarisieren.“
Anrufen bis jemand abhebt
Die bequeme Möglichkeit, digitale Sprachsignale über das Internet zu senden, hat in den letzten Jahren zu einem explosiven Anstieg von Spam- und Robo-Anrufen geführt. Laut Hiya, einem Unternehmen, das Anti-Spam-Telefonlösungen anbietet, wuchs die Zahl der Spam-Anrufe 2019 sogar auf 54,6 Milliarden, was einem Anstieg von 108 % gegenüber dem Vorjahr entspricht. Da bei Robocalls ein computergestützter automatischer Dialer verwendet wird, um vorab aufgezeichnete Nachrichten wiederzugeben, können Marketingexperten und Betrüger viel mehr Anrufe tätigen, als es einer lebenden Person jemals möglich wäre. Dabei wenden sie oft Tricks an und erwecken z. B. mit einer gefälschten Vorwahl den Anschein, der Anruf käme aus der Gegend des Empfängers. Dadurch erhöht sich die Wahrscheinlichkeit, dass er den Anruf entgegennimmt, weil er glaubt, er käme von einem Familienmitglied, Freund oder Unternehmen.
So kann man sich schützen
Anwender, wie Verbraucher, können sich schützen, indem sie bei jeder unerwarteten Nachricht wachsam bleiben, ganz unabhängig davon über welches Medium oder aus welcher Quelle die sie erreicht. Die US-Behörde FTC gibt auf ihrer Webseite einige Tipps, wie Menschen Vishing-Angriffe erkennen und verhindern können:
- Seien Sie misstrauisch bei Anrufen von Behörden, in denen Sie nach Geld oder persönlichen Informationen gefragt werden. Keine staatliche Institution operiert auf diese Art und Weise. Im Zweifel beenden Sie das Gespräch und rufen bei der offiziellen Nummer der Behörde an, um sich rückzuversichern.
- Bezahlen Sie niemals per Telefon in Form von Guthaben-, Geschenkkarten oder Banküberweisungen.