News

VoIP: Mit der Popularität kommt die Bedrohung

Experten warnen immer häufiger vor den lauernden Gefahren bei VoIP. Vishing, der Identitätsdiebstahl per Telefon, ist der neueste "Hack-Trick".

11.07.2006, 14:31 Uhr
DSL-Anschluss© IKO / Fotolia.com

Noch vergangenes Jahr klangen VoIP-Sicherheitswarnungen recht allgemein und theoretisch. Doch spätestens seit den VoIP-Phishing-Attacken in den USA ist klar, dass mit wachsender Popularität der Internet-Telefonie auch die potenziellen Sicherheitslöcher zu echten Gefahren werden. So warnen jetzt auch die Experten für sichere Verbindungen von Secure Computing vor einer neuen, alten Bedrohung: dem Phishing, diesmal per Telefon und nicht über E-Mail.
"Vishen" im Datenmeer
"Vishing" – so haben einschlägige Newsgroups und Diskussionsforen die neue Variante des Identitätsdiebstahls getauft. Der Betrug zielt auch hier darauf ab, an die persönlichen Daten eines Nutzers zu gelangen. Jedoch kommen nicht massenhaft E-Mails zum Einsatz. Die Cyberkriminellen tricksen ihre Opfer stattdessen über Telefon aus, indem sie die geringen Kosten für VoIP-Verbindungen ausnutzen und mit alt bekannten Phishing-Methoden verknüpfen. So ist es möglich, dass die Visher mit gestohlenen Informationen ein Interactive Voice Response (IVR) System über einen VoIP-Anbieter aufsetzen. Auch wäre es denkbar, dass die im Vish genannten Telefonnummern auf einen Fremdanschluss weitergeleitet werden.
Methoden altbekannt
Außerdem nutzt Vishing die Gewohnheiten der Nutzer: es gehört vor allem in den USA heute zur Normalität, dass Kreditkartenkunden zunächst ihre Kartendaten am Telefon eingeben, bevor sie mit dem Ansprechpartner ihres Kreditinstituts verbunden werden. Die Experten rufen daher zu großer Vorsicht auf, wenn es darum geht, persönliche Informationen Preis zu geben. Die Vishing-Attacken laufen oft nach dem gleichen Schema ab: ein Betrüger bedient sich dem so genannten war dialing, der reihenweise Rufnummern einer bestimmten Region anruft. Wird der Anruf beantwortet, startet eine automatische Benachrichtigung, die dem Angerufenen mitteilt, dass seine Kreditkarte ungewöhnliche Bewegung aufweise und ihn auffordert, umgehend eine bestimmte Rufnummer zu wählen. Dabei kann es sich auch um eine 0800- oder regionale Nummer handeln – oft wird die Anrufer-ID gespooft, also gefälscht, um die Rufnummer eines Finanzdienstleisters vorzugeben.
Sobald der Kunde die angegebene Nummer anruft, antwortet eine der von Hotlines vertrauten Computerstimmen und bittet um Eingabe der 16-stelligen Kreditkartennummer, um sich zu verifizieren. Bereits jetzt hat der Betrüger alle erforderlichen Daten des Opfers: über eine Reverse-Suche der nun bestätigten Telefonnummer erfährt er den vollständigen Namen und die Adresse des Kunden, dem die Kreditkarte mit der gerade eingegebenen Nummer gehört. Zusätzlich kann das falsche Banktelefonat dazu genutzt werden, die PIN herauszufinden, Ausstellungsdatum der Karte, Geburtstag oder auch die Kontonummer.
Daher geben die Spezialisten von Secure Computing ein paar Tipps, wie Vishing-Versuche enttarnt werden könnten: Geldinstitute würden ihre Kunden immer persönlich mit vollem Namen ansprechen. Außerdem sollte kein Kunde eine fremde Rufnummer für Sicherheitsfragen seiner Bank anrufen, sondern die auf der Kreditkarte selbst verzeichnete Nummer wählen. Das gleiche gilt für Anrufe, bei denen nach den Bankdaten gefragt wird: das Telefonat soll beendet und die vertraute Bank-Rufnummer gewählt werden. War die Mitteilung der Bank echt, wird diese die Meldung bestätigen können. Sollte der Vishing-Versuch trotzdem erfolgreich gewesen sein, muss unmittelbar das Kreditkarteninstitut davon informiert werden. Die Kartennummer kann dann gesperrt werden und der Kunde erhält eine neue Kreditkarte.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang