Achtung: Lassen Sie sich nicht fischen


6237941_s

Wenn Sich schon länger das Internet benutzen, wissen Sie wahrscheinlich, dass Sie über eine betrügerische E-Mail oder eine bösartige Website „gephisht“ werden können. Aber wussten Sie auch, dass Sie durch eine SMS, die an Ihr Handy geschickt wird, „gevisht“ werden können?

Ein aktueller Bericht von Forschern des PhishLabs deckte eine große „Vishing“-Kampagne auf, die durchschnittlich 250 Personen pro Tag beeinträchtigte – und das möglicherweise seit Oktober 2013. Das für diese Kampagne genutzte Finanzinstitut wurde noch nicht enthüllt, aber PhishLabs‘ Bericht zufolge handelt es sich um ein mittelgroßes Finanzinstitut in den USA. Der Bericht weist außerdem darauf hin, dass es sich bei der Kampagne nur um eine von vielen dieser Art handelt.

Wie Sie einen Vish erkennen

Um diesen neuesten Betrug zu erkennen, achten Sie auf eine unaufgeforderte SMS-Nachricht von Ihrer Bank, die aussagt, dass Ihre Karte deaktiviert wurde, und eine Telefonnummer zur Reaktivierung enthält.

Bei Vishing handelt es sich um die Tat des Phishings über die Voice over IP (VOIP)-Technologie. Ähnlich wie ein Phisher versucht, Ihre persönlichen Daten mit einer billigen E-Mail oder einer Fake-Website zu stehlen, versucht ein Visher selbiges über einen Telefonanruf oder eine SMS-Nachricht. Dazu muss der Visher – oder die Gruppe der Visher – zunächst einige vorbereitende Schritte ausführen:

Erstens: Einen Server manipulieren, der in keiner Verbindung zu seinem Namen steht, und Interactive Voice Response (IVR)-Software darauf installieren. Zweitens: Einen VoIP-Server hacken (der auch nicht mit seinem Namen in Verbindung steht), über den die Vishing-SMS-Nachrichten gesendet werden können. Drittens: Die IVR verwenden, um ein automatisiertes sprachgesteuertes Kundendienstprogramm aufzuzeichnen, welches das durch die gezielte Bank verwendete nachbildet, und die Aufforderung zur Eingabe der Konto- und PIN-Nummer enthält. Viertens: Verwenden des manipulierten VoIP-Servers, um Vishing-SMS-Nachrichten mit einer Telefonnummer zu versenden, die anrufende Kunden mit dem Fake-Kundendienst-IVR verbindet. Fünftens: Darauf warten, dass Opfer ihre Bankdaten eingeben. Sechstens: Kassieren.

Die gut dokumentierte, schrittweise Vorgehensweise bei Vishing-Kampagnen spiegelt die Tatsache wieder, dass diese Technik bereits seit geraumer Zeit im Umlauf ist und üblicherweise von gut organisierten Betrügergruppen angezettelt wird – auf die viele Banken und Privatkunden hereinfallen.

Sobald die Bankdaten für Kredit- oder Debitkonten erlangt wurden, können diese verwendet werden, um sowohl online als auch offline betrügerische Einkäufe zu tätigen. Visher können entweder online über kartenlose Transaktionen einkaufen oder Fake-Karten mit den gestohlenen Nummern herstellen, um direkt an Bankautomaten Geld abzuheben.

Verhindern von psychologischer Malware (und tatsächlicher Malware)

Malware ist nicht immer computergesteuert. Trotz der Durchführung mit Hilfe von technischen Mitteln, ist jedes einzelne manipulierte Konto dieser aktuellen Vishing-Kampagne auf eine falsche Entscheidung des Opfers zurückzuführen – das Anrufen einer betrügerischen Telefonnummer sowie das Teilen von Bankdaten mit einer unbekannten Partei.  Dabei handelt es sich um Social Engineering und der einzige Weg, dies zu verhindern, ist durch ein erhöhtes Sicherheitsbewusstsein. Und deshalb bloggen wir.

Finanzielle Malware ist jedoch genauso oft computerisiert wie psychologisch – vielleicht sogar noch öfter. Am berüchtigtsten ist die Verwendung finanzieller Trojaner wie Zeus, der Man-in-the-Middle-Angriffe ausführen kann, um Benutzerdaten zu stehlen. Und darum machen wir Anti-Malware und übermitteln diese an Prüforganisationen wie MRG-Effitas – um sicherzustellen, dass Sie und Ihr Computer vor 100 % der am weitesten verbreiteten finanziellen Malware-Bedrohungen geschützt sind.

Wie diese neueste Vishing-Kampagne zeigt, geht die finanzielle Cyberkriminalität auch in die mobile Welt über. Und deshalb bloggen und stellen wir nicht nur ein leistungsstarkes Anti-Malware-Programm für den PC bereit, sondern wir bieten zusätzlich Emsisoft Mobile Security an. SMS-Nachrichten, wie die in dieser neuesten, eingehend durch PhishLabs erläuterten Vishing-Kampagne, können auch verwendet werden, um Opfer auf traditionellere aber gleichermaßen bösartige Websites oder Drive-by-Websites zu führen, die automatisch Malware installieren, so erst vor einer Woche mit der Facebook iBanking-Gaunerei geschehen.

Wie immer gilt, wenn Sie auch nur vage Vermutungen haben, von dieser aktuellen Kampagne gevisht worden zu sein, sollten Sie Ihre Bankkonten gut im Blick behalten und erwägen, Ihre Bank zu kontaktieren. Gehen Sie kein Risiko ein, indem Sie hoffen, nicht zum Ziel geworden zu sein. Ein Angreifer kann mit Ihren Daten gefälschte Bankkarten herstellen und damit Geld vom Bankautomaten abheben, ungebremst online einkaufen und Ihre Informationen an andere Cyberdiebe verkaufen oder sogar Ihre Identität fälschen.

Wir wünschen einen schönen (Vish-freien) Tag!

Senan Conrad

Weitere Artikel