Menschliches Verhalten und Manipulation sind hierbei ein entscheidender Faktor.
In einer zunehmend vernetzten Welt, in der die Cyber-Sicherheit einen immer größeren Stellenwert einnimmt und erhebliche Investitionen in diesen Bereich getätigt werden, suchen Cyberkriminelle kontinuierlich nach neuen Wegen, um Sicherheitssysteme zu umgehen und ihre Angriffe gewinnbringend umzusetzen.
Eine besonders effektive Betrugsmethode, die in den vergangenen Jahren stark an Bedeutung gewonnen hat, ist das sogenannte Voice Phishing, auch bekannt als Vishing. Dabei geht es darum, Menschen am Telefon zu manipulieren, um sie zu schädlichen Handlungen zu verleiten oder ihnen vertrauliche Informationen zu entlocken. Vishing ist eine Weiterentwicklung des klassischen Phishing-Angriffs, bei dem Betrüger über E-Mails oder gefälschte Websites versuchen, an sensible Daten zu gelangen oder Systeme zu infizieren.
Cyberkriminelle und Hacker haben erkannt, dass der Angriff über das Telefon eine deutlich höhere Erfolgsquote haben kann als andere Methoden des Phishings. Es ist daher nicht verwunderlich, dass Vishing-Angriffe von Anfang 2021 bis Anfang 2022 um steile 550 % angestiegen sind, wie Agari und PhishLabs berichten. Der Trend zeigt auch, dass immer mehr Organisationen von Vishing betroffen sind. Im Jahr 2020 waren weltweit 59 % der Organisationen von Vishing-Angriffen betroffen, während es im Jahr 2022 bereits erschreckende 71 % waren, wie Proofpoint festgestellt hat.
Der erste, wahrscheinlich recht offensichtliche Grund für steigende Vishing Angriffe auf Organisationen, ist der Umstand, dass es keinen technologischen Schutz vor diesen Angriffsvektoren gibt, außer Sie schalten Ihr Telefon ab, versteht sich. Angreifer benötigen keine teuren Tools oder technisches Know-How, um Angriffe zu starten! Ein Telefon und Fertigenden in der Manipulation (Social Engineering) reichen aus, um in jedem Unternehmen einen potenziellen Schaden anzurichten.
Schauen wir uns etwas genauer an, warum Vishing zu einer der gefährlichsten Angriffsmethoden gehört:
1. Vertrauen in TelefonkommunikationAuch noch heute wird das Telefon von vielen als vertrauenswürdiges Kommunikationsmittel angesehen. Vielen ist immer noch nicht bewusst, dass Angriffe auch über das Telefon kommen können. Wie eine Umfrage von Proofpoint gezeigt hat, kannten nur 30 % der Befragten die relativ neuen Begriffe Vishing & Smishing (SMS-Phishing). Mitarbeitende führen Tag täglich Telefonate mit Kolleginnen und Kollegen, sprechen mit Kunden und Partnern und lassen sich von der IT bei technischen Problemen über das Telefon anleiten. Je nach Größe des Unternehmens kennt man denn Gesprächspartner, z. B. denn vermeintlichen Kollegen, nicht persönlich.
2. Social Engineering Gate-Way
Das Telefon ist ein Traum für jeden Social Engineer. Anders als bei Phishing über der E-Mail weg, kann er hier gezielt seine Stimme und seine Menschenkenntnis einsetzen, um Gesprächswiderstände zu erkennen, seine Gesprächsführung auf das Opfer anzupassen. Somit kann er dann effektiv menschliche Emotionen wie Vertrauen, Angst und Hilfsbereitschaft über z. B. Dringlichkeit ausnutzen. Das Telefon gibt einem erfahrenen Angreifer eine unvergleichbare Kontrolle über das potenzielle Opfer.
3. Schwer, denn Anrufer zu legitimieren.
Im Gegensatz zu anderen Phishing-Methoden wie E-Mails oder gefälschten Websites fehlt beim Vishing die Möglichkeit eine visuelle Überprüfung durchzuführen. Stellen Sie sich vor, Sie bekommen einen Anruf. Beim Abheben schauen sie noch beiläufig auf den Bildschirm und erkennen eine unternehmensinterne Telefonnummer. Denn Anrufer kennen Sie zwar nicht persönlich, aber den Namen würden Sie im System finden, selbst die angezeigte Nummer würde sich mit derer im System decken. Auch das geäußerte Anliegen und der Kommunikationsstil passen zu Ihrem Arbeitsalltag - was würden Sie tun? Eine Telefonnummer zu »fälschen«(spoofen) ist keine große technische Hürde, Ihnen bleibt also nur Ihr Gehör, was die Erfolgschancen für den Angreifer erhöht.
Im ersten Schritt wird der Rahmen der Vishing Awareness Calls festgelegt und es werden Ziele, Zeitpläne sowie Erfolgskriterien definiert. Gemeinsam mit Ihnen wird ein zu Ihrem Unternehmen passendes Angriffsszenario für die Angriffsphase der Calls abgestimmt.
Auf beiden Seiten werden die beteiligten Teams informiert und die notwendigen Genehmigungen eingeholt.
In der ersten Phase (Angriffsphase) führt ein geschulter Anrufer einen simulierten Vishing-Angriff durch, bei dem er versucht, kritische Informationen zu erhalten oder den Angerufenen dazu zu bringen, bestimmte Handlungen auszuführen. Der Anrufer verwendet dabei typische Vishing-Techniken und -Taktiken, um den Angriff möglichst realistisch zu gestalten.
Sobald der Anrufer entweder seine Absicht erreicht hat oder aber der Angriff erfolgreich abgewehrt wurde, klärt er den Angerufenen (Trainee) darüber auf, dass es sich bei dem Anruf um einen Vishing Awareness Call handelt. Dieser Moment der Aufklärung ist entscheidend, um das Bewusstsein des Mitarbeitenden für die potenziellen Gefahren und die Notwendigkeit einer erhöhten Wachsamkeit zu schärfen.
In der dritten Phase (Trainingsphase) führt der Anrufer (Trainer) gemeinsam mit dem Angerufenen (Trainee) ein persönliches Awareness Training zum Thema Vishing durch. Dies kann eine Diskussion über die im Anruf verwendeten Techniken und Taktiken, das Erkennen von verdächtigen Merkmalen eines Anrufes sowie die richtige Reaktion und Eskalationsprozesse im Falle eines echten Vishing-Angriffs beinhalten.
Das Training wird individuell auf die Bedürfnisse des Angerufenen zugeschnitten und nimmt im Durchschnitt ca. 15 Minuten in Anspruch.
76 %
Der Erst-Anrufe waren erfolgreich
24 %
Der Erst-Anrufe wurden abgewehrt
Das Vishing Awareness Training am Telefon spart Zeit und Ressourcen, indem Mitarbeitende keine Schulungen besuchen müssen, sondern direkt an Ihrem Arbeitsplatz geschult werden.
Durch das Training am Telefon erhalten die Mitarbeitenden unmittelbares Feedback zu ihrer Reaktion auf den simulierten Vishing-Anruf und erfahren ein direktes, realitätsnahes Training über den Kanal, über den auch ein echter Angriff ausgeführt werden würde.
Das Vishing Awareness Training am Telefon bietet eine individuelle Lernerfahrung, bei der der Trainer auf die Bedürfnisse und Fragen der einzelnen Mitarbeitenden eingehen kann, um ein besseres Verständnis der Vishing-Thematik zu gewährleisten.
Durch die direkte Konfrontation mit einem simulierten Vishing-Anruf am Telefon können die Mitarbeitenden die Risiken und Gefahren besser erfassen und verstehen, wodurch das erlernte Wissen leichter in die Praxis umgesetzt werden kann.
Mit dem Vishing Awareness Training am Telefon können in kurzer Zeit viele Mitarbeitende erreicht und geschult werden, was dazu beiträgt, das allgemeine Sicherheitsbewusstsein im Unternehmen schnell zu erhöhen.
Vishing Awareness Calls erhöhen das Bewusstsein der Mitarbeitenden für Vishing-Angriffe und die damit verbundenen Risiken, wodurch sie besser vorbereitet sind, solche Angriffe in der Zukunft zu erkennen und abzuwehren.
Buchen Sie ein kostenloses Erstgespräch und erfahren Sie, wie unsere Experten Ihnen dabei helfen können, Ihre Unternehmenssicherheit auf ein neues Level zu bringen.
Leistungen
© Copyright 2023, All Rights Reserved by Human Risk Consulting GmbH