VOIP Phishing ist nicht neu. Seit dem IP-Telefonie möglich ist, versuchen Betrüger die digitale Technik für ihre Zwecke auszunutzen. Die damit einhergehenden Gefahren werden jedoch immer noch unterschätzt. Da Phishing Mails nur noch selten zum Erfolg führen, nutzen Betrüger Voice-over-IP Phishing im zunehmenden Maße. Was VOIP Phishing ist, wie es funktioniert und wie Sie sich davor schützen können, erfahren Sie im folgenden Beitrag.

Sicherheitsrisiko IP-Telefonie

VOIP Phishing, auch als Vishing bezeichnet, ist eine kriminelle Form des Social Engineering. Dabei nutzen Angreifer die menschliche Interaktion, um an vertrauliche Informationen wie beispielsweise Kontodaten, Kreditkartennummern oder Zugangsdaten zu einem Computersystem zu gelangen. Die Angreifer versuchen, den Eindruck zu erwecken als würde der Anruf von der Bank, dem Kreditkartenunternehmen oder einer Behörde erfolgen. Ziel des Angreifers ist es, die vertraulichen Informationen für kriminelle Machenschaften beispielsweise den Zugriff auf ein Bankkonto, zu verwenden. Im Jahr 2015 wurde laut einer Studie der BBC durch VOIP Phishing Kreditkartenbetrug ein Schaden in Höhe von rund 1 Milliarde US-Dollar verursacht.

Wie funktioniert VOIP Phishing?

VOIP Phishing funktioniert im Prinzip wie das Phishing per E-Mail. Beim Vishing erhalten die potenziellen Opfern eine Nachricht über ihr IP Telefon. Diese Nachrichten werden nicht selten von Sprachassistenten generiert oder die menschliche Stimme wird digital verändert. Die Nachrichten erhalten meist einen Hinweis darauf, dass eine verdächtige Aktivität auf einem Kreditkartenkonto, Bankkonto oder PayPal Account festgestellt wurde. Die Opfer werden vom Angreifer aufgefordert, direkt bestimmte Informationen abzugeben, oder eine in der Nachricht genannte Telefonnummer anzurufen und bestimmte Angaben zu machen. Diese Information werden angeblich benötigt, um „die Identität des Kontoinhabers zu überprüfen“ oder „sicherzustellen, dass kein Betrug stattfindet“.

Wie das Session Initiation Protocol (SIP) VOIP Phishing ermöglicht

Beim VOIP Phishing spielt Hackern das Session Initiation Protocol, abgekürzt SIP, in die Hände. Durch dieses weltweite Standardprotokoll für den Verbindungsaufbau bei der IP Telefonie sind Telefonnummern unabhängig vom Telefonanschluss. Das heißt, egal ob sich der Telefonanschluss in Singapur, Australien oder Mexiko befindet, kann der Anrufer eine deutsche Telefonnummer einrichten und verwenden. Dazu muss nur eine kostenlose Open Source VOIP Plattform wie beispielsweise Asterisk herunterladen, auf einem PC installieren und das System mit dem Internet verbinden. Die SIP Endpunkte können bei diesen Plattformen ohne besondere Programmierkenntnisse einfach konfiguriert und so die Anrufer-ID gefälscht werden. Diese Endpunkte werden von den meisten Systemen als Anrufer-ID weitergegeben. Das heißt, die Empfänger sehen beispielsweise eine deutsche Telefonnummer, obwohl der Anruf aus Singapur erfolgt.

VOIP Phishing – leichtes Spiel für Angreifer

VOIP Phishing hat für Hacker verschiedene Vorteile. Ein Vorteil sind die geringen Kosten für den Angreifer. Die benötigte Hardware wie IP-Telefone und Router sind mittlerweile sehr preiswert und überall erhältlich. Die benötigte Software kann bei verschiedenen Anbietern kostenlos heruntergeladen werden. Die Geräte können ohne große IT-Kenntnisse an einen PC angeschlossen werden, um eine Telefonanlage für die IP Telefonie und das VOIP Phishing einzurichten.

Die gefälschte Anrufer-ID nutzen Betrüger, um die Mitarbeiter eines Unternehmens zu kontaktieren und sensible Informationen wie Kreditkartennummer, Kontonummern oder geheime Information zu neuen Produktentwicklungen zu erfragen. Diese Informationen werden dann innerhalb kurze Zeit von den Angreifen selbst verwendet oder an andere, meist gegen Bezahlung, weitergegeben. Wenn ein Angreifer nicht genügend Informationen von einer Quelle sammeln kann, wird er oft versuchen, eine andere Person zu kontaktieren. Bei diesen Anrufen werden dann die Informationen, die der Angreifer von der ersten Person erhalten hat verwendet, um seine Geschichte und Glaubwürdigkeit zu untermauern.

Mit PC und Telefonanlage ist es Angreifern möglich, viele IP-Telefonate gleichzeitig zu führen, die Gespräche aufzuzeichnen und zu einem späteren Zeitpunkt auszuwerten. Zudem ist es kaum möglich, eine gefälschte Anrufer-ID aufzuspüren und den Angreifer zu ermitteln. Wenn die für das VOIP Phishing gefälschte Nummer vom Angreifer gelöscht wird, ist sie nicht mehr nachverfolgbar. Es gibt jedoch ein paar einfache Maßnahmen, mit denen Sie sich vor VOIP Phishing schützen können.

Maßnahmen zum Schutz

VOIP Phishing ist nicht immer leicht zu erkennen. Eine der wichtigsten Maßnahmen zum Schutz vor Phishing über das Telefon ist die Information und Aufklärung der Mitarbeiter über die möglichen Schäden, die durch verursacht werden. Grundsätzlich sollten Mitarbeiter dazu verpflichtet werden, keine vertraulichen Daten am Telefon preiszugeben. Ein Problem ist, dass die Angreifer oft über persönliche Informationen über das Opfer verfügen, die sie beispielsweise in den sozialen Medien finden.

Auffälligstes Merkmal von Phishinganrufen ist jedoch die vermeintlich hohe Dringlichkeit, mit der Anrufer versuchen, Druck auszuüben. Die vermeintliche Dringlichkeit soll das Opfer zur unüberlegten Preisgabe der geforderten Informationen verleiten. Trotz des Stresses, den solche Anrufe auslösen können, sollten die vom Anrufer gemachten Angaben durch einen Rückruf bei dem vom Anrufer genannten Institut überprüft werden. Beispielsweise steht auf der Rückseite von Kreditkarten eine offizielle Servicenummer des Kreditkartenunternehmens. In den meisten Fällen hat sich der VOIP Phishing Versuch dann bereits erledigt.

• Über den Autor
• Aktuelle Beiträge

Daniel Faust

Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.

• Was ist Business Continuity und die Bedeutung für Unternehmen
• Was ist Open-Source-Software?
• Wie funktioniert die Blockchain-Technologie?