Während viele Unternehmen sich der Gefahr durch Phishingmails inzwischen bewusst sind, ist die Bedrohung durch sogenanntes Vishing (Zusammensetzung aus Voicecall & Phishing) häufig weniger bekannt. Da auch wir im Januar Ziel eines (erfolglosen) Vishing-Angriffs waren, möchten wir bei unseren Kunden und Partnern für erhöhte Awareness bei telefonischen Betrugsversuchen plädieren, etwa durch vermeintliche Kundenanrufe.
In unserem Fall gaben sich die kriminellen Anrufer als scheinbarer Kunde aus. Mit unterdrückter Nummer klingelten sie bei verschiedenen Mitarbeitern durch, um unter dem Vorwand von Beschwerden oder angeblich ausbleibenden Rückrufen weitere Informationen zu erschleichen.
Wie auch bei Phishing üblich, hatten die Kriminellen zuvor bereits öffentlich zugängliche Informationen eingeholt, um eine Fake-Vertrauensbasis vorzugaukeln. So bestanden die Anrufer unter anderem darauf, die Durchwahlen zu konkreten, namentlich genannten Personen zu erhalten oder den Vorgesetzten zu sprechen. Häufiger Aufhänger neben vorgeschobenen Beschwerden waren auch Anliegen, die eingeleitet wurden mit: „Ich habe bereits mit XY telefoniert, dieser verwies mich an …“ oder „XY hat das gesagt, trifft das noch zu?“ Mittels gezielter Aussagen und Fragen wollten sich die anonymen Anrufer peu è peu herantasten, um sensiblere personenbezogene Daten zu erfahren – allerdings ohne Erfolg.
Aufmerksame Mitarbeiter bemerkten kleinere Unstimmigkeiten während der Gespräche, die sich trotz Vorbereitung der Betrüger eingeschlichen hatten, und informierten daraufhin unsere interne IT-Security-Abteilung. Diese sah sich anschließend mit der Herausforderung konfrontiert, eine Lösung für die Vishing-Angriffe zu finden.
Zunächst wurden alle privaten Nummern unterdrückt, sodass keine anonymen Anrufe mehr ins Unternehmen gelangten. Problem: Somit unterband man zwar ungewollte anonyme Anrufe, aber auch Calls von Personen, die unter Umständen nicht ihre Nummer preisgeben wollen, wenn sie beispielsweise im unternehmerischen Kontext von ihrem privaten Handy aus anrufen. Mit dieser generellen Einstellung ist eine Differenzierung zwischen Anonym Spoofing / Vishing und Privater Modus Geschäftskunde nicht möglich.
Nachdem zwischenzeitlich anonyme Anrufe geblockt wurden, nutzten die Anrufer im nächsten Schritt Fakenummern. Diese konnte unser Security-Team jedoch leicht erkennen und automatisch ablehnen. Mithilfe von MS Teams ist zentrales Monitoring nicht nur möglich, sondern auch sinnvoll, um gefälschte Absender problemlos zu identifizieren.
Was kann Ihr Unternehmen tun, wenn es ins Ziel von Vishing-Angreifern gerät? Wie so oft in Security-Angelegenheiten ist Awareness bei den Mitarbeitern die Basis für mehr Sicherheit: Schaffen Sie Transparenz, indem sie offen über aktuelle Bedrohungen sprechen und Meldewege kommunizieren, wenn die Alarmglocken schrillen.
Überlegen Sie sich passende Reaktionen und Maßnahmen: Lohnt es sich für Sie, unterdrückte Nummern gänzlich zu blockieren oder riskieren Sie auf diese Weise Serviceeinbußen? Zielgerichteter wäre hier zum Beispiel die Option, alle unbekannten Nummern zentral an spezielle Mitarbeiter weiterzuleiten, die gut gebrieft sind und Vishing schnell erkennen.
Darüber hinaus kann die IT-Forensik den SIP-Traffic analysieren und so Rückschlüsse über die Absender ziehen. Gewonnene Spam-Infos sind besonders hilfreich, wenn sie an den Provider weitergeleitet werden, der die Nummern dann grundsätzlich sperrt.
