Suchen

Telefon Phishing Die Rolle von VoIP in Phishing-Angriffen

Autor / Redakteur: Ed Skoudis / Peter Schmitz

Obwohl die häufigste Phishing-Methode noch immer die E-Mail ist, nutzen professionelle Daten-Angler längst schon viel modernere Methoden um an Ihre persönlichen Daten zu gelangen.

Firma zum Thema

Phishing E-Mails war gestern, jetzt kommen die ersten Phone-Phisher, die für ihre Streifzüge die Vorteile der neuen VoIP-Technik nutzen.
Phishing E-Mails war gestern, jetzt kommen die ersten Phone-Phisher, die für ihre Streifzüge die Vorteile der neuen VoIP-Technik nutzen.
( Archiv: Vogel Business Media )

In den letzten sechs Monaten ist es mir dreimal passiert. Wegen „Unregelmäßigkeiten“ auf meiner Kreditkartenabrechnung, habe ich Sprachnachrichten erhalten, die mich aufforderten, meine Bank unter einer bestimmten Telefonnummer anzurufen. Rufe ich diese Nummer an? Nicht bei dem Anstieg von Telefon-Phishing.

Phisher nutzen neue Technologien

Da die Benutzer über ursprüngliche, auf E-Mails basierende Phishingmaschen immer mehr Bescheid wissen, fügen die Angreifer immer mehr fiese Methoden hinzu, wobei die Neueste „Telefon-Phishing“ ist. Diese Techniken, haben sich aus den traditionellen Phishing-Ideen entwickelt und nutzen Telefon-basierte Social Engineering Methoden und das immer weiter verbreitete Low-Cost VoIP. Unternehmen, die Ihren Benutzern helfen mit Telefon-Phishing umzugehen, werden jetzt besser vorbereitet sein um sich zu verteidigen, wenn sich die Angriffe in ernstere, auf dem Telefon basierende Spear-Phishing-Angriffe verwandeln.

Neue Masche der Phisher: E-Mail plus Sprachcomputer

In seiner häufigsten Inkarnation, umfasst Phone Phishing einen Angreifer, der Spoofed-Spam-E-Mails schickt, die von einer Bank, einer Finanzdienstleistungseinrichtung oder einer Regierungsbehörde zu kommen scheinen. Diese behaupten, dass das Konto des Benutzers wegen betrügerischen Machenschaften eingefroren werde. Die E-Mail teilt den Benutzern eine Telefonnummer mit, die sie anrufen sollen um ihre Kreditkarten oder andere Konten zu sperren. Wenn ein Benutzer diese Nummer anruft, fordert eine freundliche Sprachnachricht den Benutzer auf, eine Kontonummer und/oder PIN einzugeben. Die beschwichtigende Stimme erklärt, dass das Konto gesperrt wurde. Unglücklicherweise, für den unwissenden Benutzer, hat ein Betrüger gerade wertvolle Kontoinformationen erhalten.

Voice over IP als Vehikel für Phishing-Anrufe

Eine andere Form von Telefon-Phishing ist sogar noch heimtückischer, die auf Phishing-E-Mails komplett verzichtet. Bei dieser Masche benutzen Angreifer automatisierte Skripte, um VoIP-Anrufe bei Telefonnummern in dem anvisierten Vorwahlbereich einzuleiten. Das Skript benutzt die weit verbreiteten Eigenschaften der meisten VoIP Dienste, um die Anrufererkennung zu umgehen, so dass jeder Anruf dem Anschein nach von einer legitimen Bank kommt. Wenn das Skript auf den Anrufbeantworter eines Benutzers stößt hinterlässt es eine Nachricht die besagt, dass das Konto des Benutzers eingefroren wurde und mahnt den Benutzer eine angegebene Nummer anzurufen, um Informationen über das Konto zu bekommen. Dadurch, dass Sprachnachrichten jetzt verbreitet werden wie Spams, bezeichnen einige Leute diesen Sprachnachrichten-Spam als SPIT (Spam over Internet Telephony).

Phisher nutzen alle möglichen Quellen um Informationen zu sammeln

Es wird sogar noch schlimmer. Angreifer können manche Kontoinformationen im Voraus sammeln, wie einen Namen, Kreditkartennummer und/oder Telefonnummern. Sie klauen diese Informationen von einer E-Commerce-Site, kaufen sie auf dem Schwarzmarkt oder beziehen sie aus anderen Quellen. Die Phishing-Angriffe die folgen dienen nun dazu, die Informationen für das Konto zu vervollständigen. Angreifer sammeln das Ablaufdatum, den Drei-Ziffern- Sicherheitscode, die PIN und/oder die Rechnungsadresse, in dem sie den Benutzer mit einem Trick dazu bringen, ihnen diese über das Telefon zu geben. Mit diesen vollständigen Kontendaten kann ein Angreifer einfacher betrügerische Aktionen durchführen und zum Beispiel eine gefälschte Kreditkarte anfertigen. Solche Karten sind eine vielfach wertvollere Ware auf dem Schwarzmarkt, als bloß eine Liste mit Kontonummern.

Warum wenden sich Angreifer dem Telefon-Phishing zu? Weil es einfach ist und funktioniert. Angreifer erfreuen sich der immer besser verfügbaren VoIP Dienste und nutzen kostenlose Open-Source-Software wie Asterisk dazu, um die nervigen, aber professionell klingenden interaktiven Sprachansagen zu konfigurieren. Somit ist Telefon-Phishing nicht nur effektiv, sondern auch billig. Mit diesen Techniken können Angreifer aus jedem Land der Welt eine virtuelle Telefonpräsenz aufbauen, indem sie eine lokale Telefonnummer mit VoIP verwenden, die Anrufe ins Ausland weiterleitet.

Unternehmens-Schutz ist Mitarbeiter-Schutz

Um Ihre Organisation vor Telefon-Phishing zu schützen, fangen Sie am besten damit an, das Bewusstsein Ihrer Mitarbeiter für die Gefahren zu schärfen. Erklären Sie, wie es jeden Mitarbeiter persönlich betrifft und wie sie sich schützen können. Sagen Sie Ihren Mitarbeitern, dass sie niemals E-Mails blind trauen sollen, vor allem gemailten Aufforderungen Telefonnummern anzurufen. Ebenso sollten Mitarbeiter Sprachnachrichten nicht blind trauen, vor allem denen nicht, die von ihrer Bank oder anderen Finanzinstituten kommen. Des Weiteren, sagen Sie Ihren Benutzern, dass sie unerwarteten Anrufern niemals sensible Informationen übers Telefon mitteilen sollen, selbst wenn sie schon einen Teil der persönlichen Informationen des Benutzers haben.

Technische Absicherung der eigenen IT & TK-Anlage

Sie sollten nachschauen, ob Ihr Unternehmenstelefonanlage oder Ihre Call-Manager-Software irgendwelche Fähigkeiten hat, um wiederholte Anrufe einer Nummer von außerhalb aufzuspüren und zu filtern. Diese Funktionen, die ursprünglich dazu entwickelt wurden, um War-Dialer und aggressive Telefonverkäufern zu bekämpfen, können nun helfen, Telefon-Phishing in Unternehmensumgebungen aufzuspüren und zu verhindern. Oft haben Telefonanlagen diese Funktionen, aber sie werden bei der Standarteinstellung abgeschaltet. Schalten Sie sie ein, zumindest versuchsweise, um zu testen, wie Sie diese Art von Angriffen gegen Ihre Organisation verhindern können.

Als nächstes aktualisieren Sie Ihre Unternehmenspolicies und schulen Sie Ihre Mitarbeiter gezielt gegen Phishing-Angriffe. Sorgen Sie dafür, dass Ihre Angestellten wissen, dass gewisse Informationen, wie Passwörter, niemals über E-Mail verschickt oder am Telefon besprochen werden sollten, ganz egal wer danach fragt. Ihre User sollten solche E-Mails oder Telefonanrufe am besten direkt an Ihr Incident Response Team melden. Weil manche Angestellten Schwierigkeiten haben, zwischen Incident-Handling-Teams und Help Desks zu unterscheiden, vergewissern Sie sich, dass das Help-Desk-Personal jedes Auftreten solcher Aktivitäten an Ihr Incidnent-Response-Team weiterleitet.

(ID:2000565)