Was ist VoIP-Phishing?
In der Geschäftskommunikation wird häufig auf VoIP gesetzt. Doch die Internet-Telefonie bietet auch eine Angriffsfläche für Cyberkriminelle. Das sogenannte VoIP-Phishing wird eingesetzt, um an sensible Daten und vertrauliche Informationen zu gelangen. Genau wie bei Phishing-Mails haben es die Betrüger hierbei insbesondere auf verschiedenste Bankdaten und Account-Zugangsdaten abgesehen.
Was steckt hinter VoIP-Phishing?
Die Kriminellen nutzen die IP-Telefonie aus, um an vertrauliche Daten der Unternehmen oder Privatpersonen zu gelangen. Sie täuschen den ahnungslosen Opfern den Anruf einer Behörde, einer Bank oder eines Kreditkartenunternehmens vor. Laut einer Studie des BBCs, entstand durch diese Betrugsmasche allein im Jahr 2015 ein Schaden in Höhe von rund einer Milliarde US-Dollar.
Wie gehen die Kriminellen bei der Betrugsmasche vor?
Genau wie bei Phishing-Mails erhalten die ahnungslosen Opfer auch beim VoIP-Phishing zunächst eine Nachricht der Betrüger. Hierzu werden häufig Sprachassistenten oder digital veränderte Stimmen eingesetzt. Um Vertrauen bei den Betroffenen zu wecken, werden meist Telefonnummern verwendet, die denen von Behörden oder Banken ähnlich sind. In der Nachricht über das IP-Telefon berichten die Kriminellen von verdächtigen Aktivitäten auf einem PayPal-Konto, einem Bankkonto oder einem Kreditkartenkonto. Nun wird suggeriert, dass dringend gehandelt werden muss. Die Cyberkriminellen bauen Druck auf und fordern die Opfer dazu auf, umgehend sensible und vertrauliche Daten preiszugeben. In anderen Fällen werden die Betroffenen aufgefordert, eine bestimmte Rufnummer anzurufen und dort vertrauliche Angaben zu machen. Den ahnungslosen Opfern wird erzählt, dass die sensiblen Informationen wichtig sind, um die Identität des Kontoinhabers zu überprüfen und, um sicherzustellen, dass kein Betrug vorliegt. Das ist besonders perfide, da den Betroffenen so noch mehr Sicherheit vermittelt werden soll. Sind die Cyberkriminellen erst einmal im Besitz der Bankdaten, können sie diese zu jedem Zeitpunkt für kriminelle Zwecke verwenden. Teilweise werden die vertraulichen Informationen auch an andere Kriminelle weiterverkauft.
Hacker nutzen Schwachstelle durch SIP
Beim VoIP-Phishing kommt den Betrügern die SIP-Schwachstelle der Internet-Telefonie zugute. Das sogenannte Session Initiation Protocol, kurz SIP, erleichtert die Betrugsmasche enorm. SIP ist ein weltweites Standardprotokoll für den Verbindungsaufbau bei der Voice-Over-Internet-Telefonie. Das Standardprotokoll ermöglicht, die Telefonnummer völlig unabhängig vom Telefonanschluss zu wählen. Konkret bedeutet dies, dass beispielsweise eine deutsche Telefonnummer von den Betrügern eingerichtet werden kann, obwohl sich der Telefonanschluss in einem anderen Land oder sogar auf einem anderen Kontinent befindet. Durch diesen Umstand kann die Anrufer-ID ganz einfach und vor allem ohne besondere IT-Kenntnisse gefälscht werden. Solche gefälschten Rufnummern sind später nur sehr schwer oder gar nicht mehr nachzuverfolgen.
Die Vorteile des VoIP-Phishing für Betrüger:
- geringe Kosten (günstige Hardware; kostenlose Software)
- keine besonderen IT-Kenntnisse notwendig
- kaum möglich, gefälschte Anrufer-ID aufzuspüren
- sehr geringes Risiko entdeckt zu werden
- mehrere Anrufe können gleichzeitig geführt werden
- Anrufe können aufgezeichnet und später ausgewertet werden
Wie kann man sich vor VoIP-Phishing am besten schützen?
Die Betrugsmasche über die Internet-Telefonie ist nicht leicht zu erkennen, da sich die Kriminellen immer neue Vorgehensweisen ausdenken. Grundsätzlich sollten jedoch am Telefon niemals sensible Daten oder vertrauliche Informationen preisgegeben werden. Auch dann nicht, wenn der Anrufer über einige privaten Informationen über den Betroffenen verfügt. Diese Informationen stammen meist von Social-Media-Accounts. Ein Hinweis darauf, dass es sich um einen Phishing-Anruf handelt ist, dass der Anrufer auf die Dringlichkeit beharrt und Druck ausgeübt wird. Im Zweifel sollte die Bank, das Kreditinstitut oder die Behörde direkt über die offizielle Telefonnummer kontaktiert werden.
Auch Phishing-Mails sind ein Risiko
In Unternehmen stellt nicht nur die Internet-Telefonie ein Sicherheitsrisiko dar. Phishing-Mails sind sehr weit verbreitet und gehören zu den häufigsten Betrugsversuchen. In vielen Unternehmen stellt der E-Mail-Verkehr eines der wichtigsten Kommunikationsmittel dar. Doch die Kommunikation per Mail ist sehr unsicher. Um die Spam- und Phishing-Nachrichten einzudämmen, sollten unbedingt Anti-Viren-Programme und Anti-Spam-Lösungen zum Einsatz kommen. Ebenso ist eine Verschlüsselung der Mails möglich, wenn auch recht aufwendig. Für Unternehmen eignet sich ein digitaler Posteingang, der die Bearbeitungsprozesse vereinfacht und sicherer macht. Der digitale Posteingang ermöglicht, dass alle E-Mails zentral erfasst werden. Hierdurch ist eine datenschutzkonforme Behandlung der Nachrichten, eine automatische Löschfrist sowie eine Berechtigungsstruktur möglich. Natürlich kann der digitale Posteingang individuell auf die Anforderungen des jeweiligen Unternehmens angepasst werden.