Anselm Rohrer: Mitarbeitende für Vishing sensibilisieren
27. Juli 2022 | Allgeier CyRis
Ohne Sprache ist unsere moderne Gesellschaft nicht möglich. Gerade bekannte Stimmen sind im Beruflichen wie auch Privaten von großer Bedeutung, schaffen sie doch Nähe und Vertrautheit, im persönlichen Kontakt wie auch am Telefon. Doch Vorsicht: Beim Vishing nutzen Cyberkriminelle immer häufiger Sprachanrufe, um zum Beispiel an Passwörter zu gelangen oder Benutzer- bzw. Kundendaten zu erbeuten.
Anselm Rohrer, Leitung ISMS und Security Awareness, erklärt in unserer Interviewserie „3 Fragen – 3 Antworten“ was Vishing bedeutet und wie sich Unternehmen hiergegen schützen können.
Anselm, nach Phishing nun auch Vishing? Es scheint, als ob Cyberkriminelle kontinuierlich neue Angriffsvarianten entdecken. Aktuell zeichnet sich Vishing als neuer Trend ab. Erkläre uns bitte was dies genau ist und wie Hacker es einsetzen!
Beim Vishing, das auch als Voice-Phishing bekannt ist, handelt es sich um eine Betrugsmethode, die im Gegensatz zum klassischen Phishing nicht auf E-Mails oder Links setzt, sondern über das persönliche Gespräch Kontakt mit dem Opfer aufnimmt. Dies kann über Messenger-Dienste oder Kontaktinformationen auf fingierten Plattformen geschehen. Häufig rufen Angreifer auch einfach direkt an. Das Ziel ist immer gleich: Opfer sollen dazu verleitet werden, sensible Daten herauszugeben oder direkt Geld an die Kriminellen zu überweisen.
Auffällig ist, dass das Vorgehen der Cyberkriminellen hierbei immer perfider wird. So sind Angreifer per modernster Voice-over-IP-Technik mittlerweile in der Lage, eine beliebige Absender-Rufnummer anzeigen zu lassen. Beispielsweise kann beim Anruf vom scheinbaren Lieferanten tatsächlich eine Nummer aus dessen Rufnummernblock oder beim Anruf vom Vorgesetzen tatsächlich dessen Handynummer eingeblendet werden. Hinzu kommt, dass Amazon gerade eine Software entwickelt hat, die mit einer Stimmprobe von weniger als einer Minute eine Stimme komplett in Echtzeit imitieren kann. Fingierte, täuschend echte Anrufe können somit in kürzester Zeit vorbereitet werden.
Das klingt bedrohlich. Wie können sich Unternehmen gegen Vishing schützen? Wie ist Vishing zu erkennen?
Durch klare Richtlinien und eine hohe Awareness. Unternehmen müssen ihre Mitarbeitenden in die Lage versetzen, potenzielle Angriffe zu erkennen. Nur dann sind sie in der Lage, die Echtheit des Kommunikationspartners zu hinterfragen, bevor sie Informationen herausgeben oder sicherheitskritische Aktivitäten auslösen. Hierzu muss es klare, an sämtliche Mitarbeitende kommunizierte Regeln geben, wie jeder Einzelne sich konkret zu verhalten hat.
Eine ausreichende Awareness schaffen Unternehmen über eine Sensibilisierung ihrer Mitarbeitenden durch thematisch-orientierte Schulungen. Optimal sind entsprechend kompakte Einheiten, deren Inhalte in Schulungsvideos, Webinaren, interaktiven Übungen oder auch Kurztests mit einer Dauer von zwei bis vier Minuten transportiert werden. Diese sollten stetig, zum Beispiel alle vier Wochen, erfolgen.
Jetzt können wir mitverfolgen, dass Hacker ständig neue Angriffsvarianten entwickeln, um die „Schwachstelle Mensch“ auszunutzen. Was denkst du, folgt als nächstes?
Bei Vishing sind wir derzeit erst am Anfang. Wir sehen solche Angriffe zwar schon seit längerem, aber die aktuelle technische Entwicklung hebt die Methode auf ein völlig neues Niveau. Gerade in Kombination mit anderen Techniken wird es immer schwieriger, Vishing-Angriffe zu erkennen. Ein Beispiel: Die fingierte Mail, die scheinbar von Amazon stammt, wird deutlich glaubwürdiger, wenn der Support mich vorher bereits telefonisch kontaktiert hat.
Darüber hinaus sehe ich Gefahren in der OT, also der Operational Technology, auf uns zukommen. Auch diese Geräte werden immer vernetzter und damit anfällig für Cyberattacken, was allerdings vielen Benutzern nicht bewusst ist. Dies betrifft unter anderem den ganzen Bereich von Industrie 4.0. Umso wichtiger ist es für Unternehmen mit OT-Nutzung, die Security Awareness zu Themen wie Phishing oder Vishing zu stärken.