Email Security 2022

    Vishing vs. Phishing vs. Smishing: Alles, was Sie wissen müssen

    Drei verschiedene Angriffsmethoden, die alle das gleiche Ziel haben - Sie zur Preisgabe persönlicher Daten zu bewegen.

    61BLOG_1.jpg

    Wichtige Punkte

    • Ein klassischer Phishing-Betrug besteht darin, eine betrügerische E-Mail an einen Empfänger zu senden, um ihn dazu zu bringen, auf einen bösartigen Link zu klicken und sensible Daten preiszugeben.
    • Vishing ähnelt dem Phishing, mit dem Unterschied, dass der Betrug nicht per E-Mail, sondern per Sprachanruf erfolgt.
    • Smishing ist eine Abwandlung des Wortes "Phishing", aber die Ausnutzung erfolgt über SMS, die Sie dazu verleiten, auf einen bösartigen Link zu klicken, der einen Virus, Malware oder andere schädliche Software installieren kann. 

    Phishing-Angriffe sind eine der häufigsten Methoden, mit denen Cyberangreifer auf Unternehmen losgehen, um sich illegal Zugang zu persönlichen Daten und Finanzinformationen zu verschaffen. Täglich werden weltweit etwa 15 Milliarden Spam-E-Mails an E-Mail-Konten verschickt. Im Jahr 2021 berichteten rund 83 % der Unternehmen, dass sie von Phishing-Angriffen betroffen waren1. Wenn Ihr Unternehmen bisher von den Gefahren eines Phishing-Angriffs verschont geblieben ist, kann es nur eine Frage der Zeit sein. 

    Doch es ist nicht nur die schiere Masse an Zahlen, die Phishing-Angriffe gefährlich macht. Cyberangreifer entwickeln auch immer raffiniertere Methoden, um Unternehmen über verschiedene Kommunikationskanäle anzugreifen. Viele kennen zwar die allgemeinen Phishing-Betrügereien, aber Sie und Ihre Mitarbeiter sind sich vielleicht nicht über andere ähnliche Betrugsarten wie Vishing und Smishing im Klaren. 

    Lassen Sie sich von den seltsamen Namen nicht täuschen. Dies sind echte Bedrohungen, die Unternehmen Milliarden von Dollar gekostet haben. Im Laufe der Zeit werden die Taktiken der Cyberkriminellen immer ausgefeilter. 

    Bevor wir uns näher mit Vishing und Smishing befassen, sollten wir uns ansehen, wie ein Phishing-Betrug funktioniert. 

    Ein klassischer Phishing Betrug besteht darin, eine betrügerische E-Mail an einen Empfänger zu senden, um ihn dazu zu bringen, auf einen bösartigen Link zu klicken und sensible Daten preiszugeben. Diese Betrügereien können von einfach und offensichtlich bis hin zu komplex und hinterlistig reichen, wie z. B. das Versenden von E-Mails von gefälschten E-Mail-Adressen oder sogar das Erstellen von gefälschten Websites, um ein Opfer dazu zu bringen, wichtige persönliche Daten preiszugeben. 

    Wie unterscheiden sich also Smishing und Vishing?

    Was ist Vishing, und wie unterscheidet es sich von Phishing- und Smishing-Angriffen? 

    Einfach ausgedrückt, ähnelt Vishing dem Phishing, mit dem Unterschied, dass der Betrug über einen Sprachanruf ausgeführt wird, daher der Name. Anstatt eine E-Mail zu verschicken, um die Empfänger zum Anklicken von Links oder zur Eingabe von Daten zu verleiten, rufen die Cyberangreifer an und sprechen direkt mit dem gewünschten Opfer. Oft haben sie bereits sensible Daten per E-Mail, über eine gefälschte Website oder eine andere Datenschutzverletzung gesammelt. Die Cyberkriminellen rufen dann an und verwenden diese vertraulichen Informationen, um Vertrauen aufzubauen und ein Einmalpasswort (OTP) oder einen anderen Code für die Zwei-Faktor-Authentifizierung (2FA) zu sichern.

    Die Stimme am anderen Ende des Anrufs kann Sie auffordern, weitere persönliche Daten wie Ihren Namen und Ihre Adresse anzugeben. Es kann sogar vorkommen, dass die Betrüger Ihre mündlichen Bestätigungen für den Zugriff auf andere Finanzkonten aufzeichnen. Außerdem können Ihnen die Cyberangreifer in der Leitung eine SMS oder eine E-Mail schicken, in der sie Sie auffordern, vertrauliche Informationen für ihre böswilligen Zwecke einzugeben.

    Das ist also Phishing vs. Vishing, aber was ist mit Smishing? Auch hier ist Smishing eine Abwandlung des Wortes Phishing", aber die Ausnutzung erfolgt über SMS. Diese ähneln im Allgemeinen Phishing-Betrügereien per E-Mail, bei denen Sie aufgefordert werden, auf einen bösartigen Link zu klicken, der einen Virus, Malware oder andere schädliche Software installieren kann. 

    Smishing-Betrügereien können die Form einer dringenden Aufforderung haben, für die Lieferung eines Pakets zu bezahlen oder eine große Banktransaktion zu bestätigen. Daher sollten Unternehmen dafür sorgen, dass ihre Mitarbeiter gut geschult sind und auf der Hut sein müssen.

    Wie Sie sich vor Vishing- und Smishing-Betrug schützen können 

    Um Ihr Unternehmen vor Phishing-, Vishing- und Smishing-Angriffen zu schützen, sollten die Mitarbeiter einige grundlegende Sicherheitsregeln beachten:

    • Klicken Sie niemals auf Links von Quellen, die Sie nicht verifizieren können - E-Mails und Nachrichten von außerhalb des Unternehmens. 
    • Geben Sie niemals persönliche Informationen an Personen weiter, die Sie unaufgefordert kontaktieren - dies gilt auch für Personen, die sich als Vertreter angesehener Institutionen wie einer Bank ausgeben.
    • Beantworten Sie keine Anrufe oder SMS von Nummern, die Sie nicht kennen.

    Übliche Vishing- und Smishing-Taktiken 

    Es gibt mehrere gängige Vishing-Taktiken, die Cyberangreifer einsetzen. Dazu gehören: 

    • Wardialing - Der Einsatz automatischer Anrufe, die auf bestimmte Vorwahlen abzielen, um Daten der Opfer zu sammeln.
    • VoIP - Die Verwendung von VoIP-Geräten macht es Cyberkriminellen viel einfacher, zu verschleiern, wer sie sind und von welchem geografischen Standort aus sie anrufen. 
    • I.D. Spoofing - Cyberangreifer verwenden gefälschte Identitätsnachweise, die wie vertrauenswürdige Autoritätspersonen aussehen sollen. 
    • Dumpster Diving - Cyberkriminelle sammeln oft Nummern, indem sie den Müll vor öffentlichen Gebäuden durchsuchen.

    Was Sie tun sollten, wenn Sie glauben, Opfer eines Vishing- oder Smishing-Betrugs geworden zu sein

    Wenn Sie glauben, dass Sie das Ziel eines Phishing-, Vishing- oder Smishing-Betrugs sind, sollten Sie rechtzeitig bestimmte Maßnahmen ergreifen, um sich oder Ihr Unternehmen zu schützen. Die Maßnahmen können umfassen:

    • Kredit einfrieren
    • Scans zur Privatsphäre
    • Maßnahmen zum Schutz vor Identitätsdiebstahl
    • Benachrichtigungen über Adressänderungen oder Informationen
    • Überwachung des Kontos

    Schnelles Handeln und das Einfrieren von Vermögenswerten oder das Einrichten von Warnmeldungen können helfen, den Schaden zu minimieren. 
     

    Wie Sie sich und Ihr Unternehmen vor Vishing-Angriffen schützen können

    Wie bereits erwähnt, ist das Befolgen grundlegender Sicherheitspraktiken, wie z. B. das Anklicken von Links aus ungeprüften Quellen oder das Annehmen von Mitteilungen von Nummern, die Sie nicht kennen, ein guter Anfang. Um diese Praktiken zu implementieren, kann es jedoch eine gute Idee sein, ein Sicherheitstraining für Ihr Unternehmen einzurichten. 

    Sicherheitsschulungen sollten fortlaufend und nicht nur einmalig durchgeführt werden, da die Cyberkriminellen ihre Angriffe immer weiter verfeinern. Die Durchführung von Phishing-Simulationen kann dabei helfen, festzustellen, wie wertvoll eine angemessene Schulung für Ihre Mitarbeiter ist. 

    Unternehmen sollten auch sicherstellen, dass ihre Endpunkt-Schutzlösungen (Viren- und Malware-Schutz) vorhanden und auf dem neuesten Stand sind. Unabhängig davon, wie gut Ihre Mitarbeiter geschult sind oder wie sicher Ihre Verfahren sind, können Phishing-, Vishing- und Smishing-Angriffe durchkommen. Wenn dies geschieht, müssen Sie wissen, wie Sie geschützt sind und wie Sie die Ausbreitung des Angriffs begrenzen können.

    Gibt es noch andere Telefonbetrügereien, die man verstehen sollte?

    Neben Vishing und Smishing gibt es noch eine Reihe anderer Telefonbetrügereien, die Sie kennen sollten, z. B. Anlagebetrügereien, die hohe Renditen bei minimalem Risiko versprechen, Betrügereien mit staatlichen Zuschüssen und sogar Betrügereien für wohltätige Zwecke. Im Allgemeinen sollten für alle oben genannten Bereiche die gleichen Sicherheitsregeln gelten. Die Mitarbeiter sollten dazu angehalten werden, keine unaufgeforderten Anrufe, E-Mails und SMS von Nummern zu beantworten, die sie nicht kennen. Außerdem sollten sie niemals finanzielle oder sensible Daten weitergeben, ohne vorher eine angemessene Sorgfaltsprüfung durchzuführen. 

    Die Quintessenz: Vishing vs. Phishing vs. Smishing

    Von allen Phishing-E-Mails gelangen etwa 25 % in den Posteingang, und etwa 30 % davon werden von den Empfängern geöffnet. 

    Im Jahr 2021 verloren etwa 59,4 Millionen Menschen in den USA Geld durch Vishing-Betrug, und Cyberkriminelle verschickten über 87 Milliarden Spam-SMS-Nachrichten an US-Telefone.

    Wie wir bereits besprochen haben, sollten Phishing-, Vishing- und Smishing-Angriffe für Unternehmen jeder Art und Größe ein ernstes Problem darstellen.

    Mit einem umfassenden und fortlaufenden Programm zur Förderung des Sicherheitsbewusstseins und einer effektiven Schulung der Mitarbeiter ist es einfach, die verräterischen Anzeichen eines Betrugs zu erkennen.

     

     

    1 Phishing-Angriffsstatistik 2022 (cybertalk.org)

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang