Mobile-Menu

Vishing-Angriffe setzen auf Überraschungsmoment Wenn der CEO persönlich anruft

Autor / Redakteur: Dr. Niklas Hellemann / Peter Schmitz

Im Zuge der Pandemie hat sich vieles verändert – auch das Cyberrisiko. Telefonbasiertes Phishing, sogenanntes Vishing (Voice-Phishing) ist im Homeoffice besonders gefährlich. Auch nach der Pandemie ist keine Entwarnung in Sicht: Künstliche Intelligenz (KI) verschärft die Vishing-Bedrohungslage weiter. Organisationen sollten jetzt Maßnahmen ergreifen.

Firmen zum Thema

Für einen erfolgreichen Vishing-Angriff ist der Faktor Überraschung von hoher Bedeutung.
Für einen erfolgreichen Vishing-Angriff ist der Faktor Überraschung von hoher Bedeutung.
(© Bits and Splits - stock.adobe.com)

Die Coronakrise hat die Arbeitswelt verändert und so ist für viele Arbeitnehmerinnen und Arbeitnehmer das Homeoffice zu einem Teil des “New Normal” geworden. Gleichzeitig haben allerdings auch Cyberangriffe auf Mitarbeitende, die remote arbeiten, drastisch zugenommen. Denn wie die Studie Human Risk Review 2021 von SoSafe zeigt, haben Cyberkriminelle die “Sicherheitslücke Homeoffice” erkannt und ihr Angriffsvolumen in der Coronakrise deutlich hochgefahren. Die Pandemie lieferte nicht nur neue Narrative für Phishing-Angriffe, sondern führte auch dazu, dass viele Mitarbeitende gestresster und unsicherer sind. Das macht fehleranfälliger, besonders für Cyberattacken. Im Homeoffice sind die Mitarbeitenden außerdem auf sich gestellt und können nicht einfach Vorgesetzte oder Kolleginnen und Kollegen hinzuziehen, um einen Anruf zu verifizieren – einfaches Spiel für die Angreifer.

Aber nicht nur die Zahl der Phishing-Versuche per E-Mail ist im Zuge dessen deutlich angestiegen, sondern auch die per Telefon. Beim sogenannten Voice-Phishing versuchen Cyberkriminelle ihre Opfer am Telefon so zu manipulieren, dass sie persönliche Informationen preisgeben oder andere schadhafte Handlungen durchführen (z. B. Malware herunterladen). Vishing gehört damit zum Social Engineering, bei dem menschliche Emotionen wie Angst oder Neugier gezielt ausgenutzt werden.

Vishing-Angriffe setzen auf Überraschungsmoment

Für einen erfolgreichen Angriff ist der Faktor Überraschung von hoher Bedeutung. Die oftmals automatisierten Anrufe erfolgen ohne Ankündigung und verlangen von den Opfern schnell zu handeln. Eine beliebte Taktik ist die IT-Support-Masche, zu der unter anderem der „Microsoft-Technical-Support-Scam“ gehört. Die Kriminellen geben sich hierbei als Mitarbeitende von Microsoft aus und behaupten, eine Sicherheitslücke oder Malware auf dem Gerät des Opfers entdeckt zu haben. Unwissenheit und Angst führen dann dazu, dass sich die Opfer von den Kriminellen täuschen lassen. Sie sind für die vermeintliche Hilfe dankbar und installieren unter Anweisung der Kriminellen beispielsweise ein Programm zur „Fehlerbehebung“, welches aber einen Fernzugriff auf ihr Gerät erlaubt. Hierdurch können die Kriminellen heimlich weitere Malware installieren, sensible Daten ausspähen oder im Nachgang Lösegeld vom Opfer erpressen.

Wenn der CEO persönlich anruft: Spear-Vishing

Die IT-Support-Masche funktioniert bei einer breiten und unbekannten Personengruppe, da viele Menschen entsprechende Software nutzen. Es gibt allerdings auch Spear-Vishing-Anrufe, die gezielt auf bestimmte Personen gerichtet sind. Ein Beispiel für Spear-Vishing ist der CEO-Fraud, bei dem sich die Anrufer als CEO oder Führungskraft ausgeben, um die Mitarbeitenden zu schädlichen Handlungen zu bewegen (z. B. Überweisungen an angebliche Geschäftspartner oder Lieferanten). Damit der Vishing-Versuch möglichst realistisch wirkt, sammeln die Angreifenden im Vorfeld zahlreiche Informationen über ihr Opfer. Dabei können Social-Media-Plattformen wie LinkedIn oder Xing Details liefern, die dem Vishing-Angriff eine hohe Glaubwürdigkeit verleihen. Angriffsziele müssen nicht unbedingt hochrangige Personen wie Manager oder Politiker sein. Für die Kriminellen sind alle Mitarbeiterinnen und Mitarbeiter interessant, da potentiell jeder als unauffälliger Türöffner in die Unternehmensnetzwerke fungieren kann.

Vishing kann die Zwei-Faktor-Authentifizierung aushebeln

Spear-Vishing kann sogar eine mehrstufige Sicherheitsauthentifizierung umgehen. Durch einen überzeugenden Anruf können Cyberkriminelle auch den Schutz einer Zwei-Faktor-Authentifizierung (2FA) aushebeln. Bei einer 2FA benötigen Cyberkriminelle nicht nur die Zugangsdaten des Opfers, sondern auch einen Code, der meist als SMS auf das Smartphone gesendet wird. Die Kriminellen rufen deshalb unter einem Vorwand beim Opfer an und verlangen, dass der Code in der SMS genannt wird. Ein berühmtes Beispiel ist der große Twitter-Hack vergangenes Jahr. Die Kriminellen riefen hierbei Twitter-Mitarbeitende an und gaben sich als Kollegen der IT-Abteilung aus, um die 2FA auszuhebeln und Zugriff auf die Twitter-Konten zahlreicher prominenter Personen zu erhalten. Von den Twitter Accounts von Tesla-Chef Elon Musk, Ex-US-Präsident Barack Obama und vielen weiteren Prominenten wurden dann Phishing-Nachrichten an deren Follower versendet. Ein Spear-Vishing-Angriff mit dramatischen Folgen.

Die Vishing-Bedrohungslage verschärft sich durch KI

Eine Entwarnung ist mit Blick auf Vishing-Angriffe nicht angebracht. Ob im Homeoffice oder am Arbeitsplatz im Unternehmen: Vishing stellt eine zunehmende Bedrohung dar. Der wesentliche Grund dafür liegt in der Nutzung von Technologien aus dem Bereich der Künstlichen Intelligenz. Ein Beispiel dafür, dass Cyberkriminelle ihre Angriffe laufend weiterentwickeln, ist das Voice Cloning. Diese Deepfake-Technologie hat sich in den letzten Jahren rasant weiterentwickelt und es ermöglicht, die Stimmen realer Personen zu imitieren. Solche Audio-Deepfakes werden damit noch gefährlicher, weil Mitarbeitende kaum eine Chance haben, den Anruf als Angriff zu identifizieren. Selbst wenn der Chef also im selben Büro sitzt: Wenn die Stimme täuschend echt klingt, sind Vishing-Anrufe sehr schwer zu erkennen.

Gezieltes Awareness-Training schützt vor Cyberangriffen

Mit einem regelmäßigem Cyber-Security-Awareness-Training können Organisationen ihre Mitarbeitenden allerdings für den Umgang mit den genannten Gefahren sensibilisieren. Dem Überraschungsmoment und der Verunsicherung, die bei Vishing eine große Rolle spielen, können Organisationen so präventiv entgegenwirken. Wissen Arbeitnehmerinnen und Arbeitnehmer um die Gefahr potenzieller Attacken, können sie im Arbeitsalltag umsichtiger handeln. Zur Wissensvermittlung sind digitale Schulungen wie E-Learnings geeignet, die zum Beispiel echte Fälle beschreiben. Um das neu erlernte Wissen in der Praxis zu festigen und nachhaltig ein Bewusstsein für Cyberrisken aufzubauen, ist zusätzlich die Durchführung von Phishing- und Vishing-Simulationen sinnvoll. Durch die Konfrontation mit realistischen Angriffen lernen die Mitarbeitenden, woran sie solche Angriffe erkennen und sich so besser schützen können.

Über den Autor

Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmens­berater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung – und unterstützt Kunden wie Vattenfall, Rossmann oder auch Avira dabei, ihren „Human Layer“ abzusichern.

(ID:47720598)