Vishing ist eine Form des Social-Engineerings, bei der Angreifer versuchen, sensible Informationen telefonisch zu erlangen. Der Begriff setzt sich aus „Voice“ (Stimme) und „Phishing“ zusammen.Beim Vishing nutzen Betrüger das Telefon als Angriffsvektor. Sie geben sich beispielsweise als Bankmitarbeiter, IT-Support oder Behördensprecher aus und täuschen Dringlichkeit oder Autorität vor, um ihr Ziel zur Herausgabe vertraulicher Daten zu bewegen – etwa Zugangsdaten, TANs oder persönliche Informationen.
Vishing-Beispiel Bankbetrug – Erschleichung von TANs
Ein Anruf von einer angeblichen Bank meldet verdächtige Aktivitäten auf dem Konto. Das Opfer soll zur „Sicherheitsüberprüfung“ TANs nennen oder sich auf einer gefälschten Website einloggen. So erlangen Angreifer direkten Zugriff auf das Konto.
Vishing ist besonders gefährlich, weil es emotional wirkt und technische Schutzmaßnahmen (z. B. Firewalls) umgeht – der Mensch selbst wird zur Schwachstelle.
Gefahren von Vishing für Unternehmen
Kompromittierung von Authentifizierungsdaten: Angreifer nutzen Vishing, um Passwörter, PINs, OTPs (One-Time Passwords) oder Zugangstoken von Mitarbeitenden zu erfragen. Diese können für Zugriff auf interne Systeme, VPN-Verbindungen oder Clud-Accounts (z. B. Microsoft-365, Google-Workspace) missbraucht werden.
Umgehung von technischen Sicherheitsmechanismen: Technische Barrieren wie Firewalls, MFA oder Zero-Trust-Modelle schützen nicht, wenn ein Mensch freiwillig Zugangsdaten preisgibt. Vishing zielt also direkt auf die „menschliche Firewall“.
Initial-Access für komplexe Angriffe: Erfolgreiches Vishing kann Angreifern den ersten Fuß in die Tür ermöglichen – z. B. durch Social Engineering eines Helpdesk-Mitarbeiters zur Rücksetzung von Passwörtern, Erschleichung temporärer Zugriffsrechte, daraus können sich Ransomware-Angriffe, Business-E-Mail-Compromise (BEC) oder APTs (Advanced-Persistent-Threats) entwickeln.
Vishing-Beispiel im Unternehmenskontext
Ein Mitarbeiter im Accounting erhält einen Anruf vom angeblichen „IT-Support“ seines Unternehmens. Dieser behauptet, es gäbe ein Problem mit der Cloud-Zugriffsrichtlinie, das dringend gelöst werden müsse. Der Mitarbeiter wird aufgefordert, seine Zugangsdaten zu bestätigen und einen Authentifizierungscode weiterzugeben.
Folge: Der Angreifer nutzt die Daten, um sich Zugang zum Finanzsystem zu verschaffen und über Wochen unbemerkt Zahlungen umzuleiten.
Schutzmaßnahmen gegen Vishing für Unternehmen
Awareness-Schulungen:
Regelmäßige Schulungen für Mitarbeitende, inklusive Rollenspiele und Fake-Anrufe zur Übung.
Regelmäßige Schulungen für Mitarbeitende, inklusive Rollenspiele und Fake-Anrufe zur Übung.
Hinweise, niemals sensible Daten telefonisch weiterzugeben.nErkennung typischer Angriffsmerkmale (z. B. Dringlichkeit, Drohungen).
Klare Kommunikationsrichtlinien etablieren:
Interne Policies sollten regeln, dass keine telefonische Abfrage sensibler Daten erfolgen oder, dass sich der interner IT-Support durch definierte Rückrufnummern oder Systeme identifiziert.
Interne Policies sollten regeln, dass keine telefonische Abfrage sensibler Daten erfolgen oder, dass sich der interner IT-Support durch definierte Rückrufnummern oder Systeme identifiziert.
Technische Validierung von Anrufen (Call-Back-Protokolle):
Bei sicherheitsrelevanten Anfragen, sollte sicher gestellt werden, dass keine spontane Informationsweitergabe erfolgt oder eine Rückrufpflicht über bekannte Nummern gewährleistet ist.
Bei sicherheitsrelevanten Anfragen, sollte sicher gestellt werden, dass keine spontane Informationsweitergabe erfolgt oder eine Rückrufpflicht über bekannte Nummern gewährleistet ist.
Zwei-Faktor-Authentifizierung (2FA) mit Push-Validierung:
2FA sollte nicht nur auf SMS oder Telefonanruf basieren, sondern beispielsweise auf App-basierten Push-Verfahren mit Nutzerinteraktion (z. B. „Zugriff zulassen“ in Authenticator-App).
2FA sollte nicht nur auf SMS oder Telefonanruf basieren, sondern beispielsweise auf App-basierten Push-Verfahren mit Nutzerinteraktion (z. B. „Zugriff zulassen“ in Authenticator-App).
Security-Incident-Response-Plan (SIRP)
Unternehmen brauchen definierte Prozesse, um Vishing-Vorfälle zu melden, Accounts schnell zu sperren und kompromittierte Systeme zu analysieren und zu isolieren.
Unternehmen brauchen definierte Prozesse, um Vishing-Vorfälle zu melden, Accounts schnell zu sperren und kompromittierte Systeme zu analysieren und zu isolieren.
powered by Borlabs Cookie 