Der aktuelle RSA Fraud Report (Q3/2018) stellt fest, dass 50 Prozent aller Cyberangriffe weltweit per Phishing erfolgten, also mittels Schadcode-infizierter oder auf Malware verlinkender E-Mails. Beim sogenannten „Vishing“ – kurz für „Voice Phishing“ – nutzen Betrüger hingegen das Telefon, um mit falscher oder irreführender Identität an persönliche Informationen der Opfer zu gelangen. Ziel ist es, diese Informationen anschließend für gefälschte Überweisungen oder andere Betrügereien zu missbrauchen.

Vishing-Akteure rufen bei einem Opfer an und geben vor, einer der Person vertrauten Organisation anzugehören, zum Beispiel einer Bank, einer Regierungsbehörde oder einem Dienstleister. Was viele Betrugsopfer nicht wissen: Betrüger können mittels des sogenannten Caller ID Spoofings die am Endgeräte-Display angezeigte Telefonnummer fälschen und die Angerufenen damit täuschen. Die direkte Ansprache via Telefon – wie auch die direkte Anrede bei klassischen Phishing-E-Mails – machen diese Angriffsweise gefährlich, da sich Opfer durch den persönlichen Touch leichter beeinflussen lassen.

Weiterentwicklung der Erfolgsformel

Obwohl Vishing heute kaum ein Prozent der gesamten Phishing-Angriffe ausmacht, zeigt die jüngste Entwicklung, dass die Bedrohung durch diese Vorgehensweise zunehmen wird. Vor allem von der Umkehr bisheriger Vishing-Methoden geht eine große Gefahr aus. Während Angreifer bis dato Voice Phishing mit einem Anruf selbst starteten, gehen Betrüger vermehrt zum „Re­verse Vishing“ über: Sie bringen Opfer dazu, selbst anzurufen.

In diesem Ausschnitt eines Forum-Chats bietet ein Betrüger für 250 Dollar an, Caller ID Spoofing zu erklären. Laut dem Kriminellen liegt die Erfolgsrate bei bis zu 95 Prozent. Bild: RSA

Dazu machen sich die Betrüger zunächst das Informationsverhalten der Menschen zunutze und platzieren falsche Informationen unter den Top-Suchmaschinenergebnissen, „SEO Poisoning“ genannt, oder bringen falsche Informa­tio­nen auf seriösen Websites, in Social-Media-Netzwerken, Online-Foren und Kommentaren zu Medienartikeln – man denke zum Beispiel an die vielen merkwürdigen kontextlosen Kommentare, die einem täglich begegnen. Diese Falschinformationen versehen sie zusätzlich mit relevanten und beliebten Keywords, um den Suchmaschinen-Traffic zu steigern.

Im zweiten Schritt können sie diese Taktiken mit anderen kriminellen Methoden kombinieren, um schneller ans Ziel zu gelangen: Sie fälschen zum Beispiel den SEO-Rang einer Betrugs-Website, indem sie Web-Crawler täuschen oder falsche Backlinks und Klicks kaufen. Viele Angreifer kreieren sogar ein Botnet, um all diese Aufgaben parallel zu erledigen und die Falschinformationen schneller an die Spitze der Suchmaschinentreffer zu bringen. Betrüger nutzen diese Methoden, um in kürzester Zeit so viele schädliche Weblinks wie nur möglich zu verbreiten und im dritten Schritt einen sogenannten „Waterhole“-Angriff zu starten, also die Fälschung und/oder Infektion einer bei der Zielgruppe beliebten Website. Statt nun zu einer gefälschten und infizierten Website zu verlinken, führen Betrüger die Nutzer bei einem Reverse-Vishing-Angriff zu einer gefälschten Telefonnummer.

Hier gibt sich ein Betrüger als Amazon-Mitarbeiter aus und versucht, über den Facebook Messenger eine Kundennummer in Erfahrung zu bringen. Bild: RSA

Ein aktuelles, von RSA identifiziertes Beispiel zeigt, dass Kriminelle verifizierte Lokationen auf Google Maps nutzen, um gefälschte Service-Nummern zu platzieren: Kunden, die nach Kontaktinformationen des jeweiligen Geschäfts suchen, werden im Internet an die Fake-Hotline verwiesen und landen somit beim Betrüger in der Leitung. Dieses Schema hat sich als sehr effektiv erwiesen, da Kunden sehr häufig die Google-Suche nutzen, um Kontaktinformationen und Orte zu suchen. Das grundlegende Vertrauen der Verbraucher in die Ergebnisse der Suchmaschinen ist derart hoch, dass sie in der Regel keinen Verdacht schöpfen und bereitwillig private Informationen preisgeben.

Social Media ist ein weiterer Kanal, der häufig Verwendung findet, um nichtsahnende Opfer mit falschen Informationen zu erreichen. So versuchen Betrüger zum Beispiel, Verbraucher auf eine gefälschte Amazon-Prime-Kundennummer zu lotsen.

Opfer rufen die Betrüger an

Betrüger profitieren von der Reverse-Phishing-Methode in vielerlei Hinsicht. Auch wenn es im Vergleich zur Erstellung einer URL, einer E-Mail-Adresse oder eines Social-Media-Accounts nicht so anonym und einfach ist, ist es ein Leichtes, Telefonnummern zu kaufen. Zudem kann man sie schnell und diskret weitergeben, insbesondere wenn man sie über einen der zahlreichen illegalen Anbieter in der cyberkriminellen Community gekauft hatte.

Außerdem ist die schnelle Zuweisung und Abschaltung einer Telefonnummer sehr schwierig und zeitintensiv, da sich die Aufsichts- und Validierungsanforderungen sowie -befugnisse in den meisten Ländern von denen anderer elektronischer Me­dien deutlich unterscheiden. In den USA zum Beispiel können Service-Provider betrügerische Websites abschalten. Die Untersuchung und Beseitigung bösartiger Telefonnummern jedoch ist Aufgabe der Überwachungsbehörde FCC (Federal Communications Commission), die über deutlich weniger finanzielle und personelle Ressourcen sowie andere Mandate als ihre Pendants aus der Wirtschaft verfügt. Weder SEO Poisoning noch Telefonbetrug sind neuartige Bedrohungen. Die Kombination und die Akzentuierung der verschiedenen Methoden sind jedoch bemerkenswert.

Die Variabilität einer nahtlosen Integration der Maßnahmen machen diese Form des Social Engineerings so gefährlich. Wie können sich die Endanwender also am besten vor Vishing schützen? Wachsamkeit und Wissen sind grundsätzlich die besten Voraussetzungen, um nicht zum Opfer zu werden. Im Hinblick auf erwähnten Taktiken gibt es einiges, das man beachten sollte.

Gegenmaßnahmen

Laut Erkenntnissen von RSA ist zumindest eine der vielen Phishing-Varianten Bestandteil der Hälfte aller Online-Betrugsfälle. Bild: RSA

Achtsamkeit bei der Suche nach Telefonnummern im Web: Der einfachste und sicherste Weg, um Kontaktinformationen zu einer Telefongesellschaft, Bank oder einem anderen Service-Provider zu finden, ist eine offizielle Korrespondenz mit dem Unternehmen. Antwortschreiben, Rechnungen und Quittungen, aber auch Kredit- oder Bankkarten enthalten Telefonnummern der Service-Hotline. Wenn Endanwender online nach Telefonnummern suchen, sollten sie zwingend die übrigen Inhalte überprüfen, die im Kontext der Nummer angezeigt werden. Dabei ist immer auf verdächtige Symbole sowie irrelevante Nachrichten zu achten, die in unmittelbarem Zusammenhang mit der Nummer dargestellt sind.

Keine Weitergabe von persönlichen Infor­mationen: Die meisten Menschen sind dar­auf konditioniert, ihre persönlichen und beruflichen Informationen wie Sicherheitsfragen, PIN und Passwörter geheimzuhalten. Doch bereits die simpelsten Social-Engineering-Tricks haben in der Vergangenheit immer wieder gezeigt, wie leicht es ist, selbst versierten Verbrauchern diese Informationen zu entlocken. Die Wahrheit ist, dass Unternehmen, die vor solchen Angriffen warnen, derartige Informationen in der Regel in einem simplen Telefonat abfragen werden.
Aktive Suche nach Hilfe: Ist man Opfer eines Betrugs geworden, ist es wichtig, so schnell wie möglich aktiv zu werden. Bei Betrugsverdacht ist der entsprechende Service-Provider, beispielsweise der Telekommunikationsanbieter oder die Bank, zu benachrichtigen. Zudem empfiehlt es sich, die zuständige Datenschutz-Aufsichtsbehörde zu informieren. Unternehmen sind sogar gesetzlich verpflichtet, die Verletzung datenschutzrechtlicher Vorschriften anzuzeigen.

Sensibilisierung und Schulung sind die wichtigsten Bausteine für die Prävention und Bekämpfung solcher Angriffe. Privatanwender wie auch Mitarbeiter im Unternehmen müssen sich des Wertes und der Bedeutung ihrer persönlichen Daten bewusst sein. Denn wer beim Datenschutz nachlässig ist, könnte sein Geld auch direkt an die Kriminellen übergeben.

Daniel Cohen ist Leiter der Fraud and Risk Intelligence Unit bei RSA Security, www.rsa.com