Social Engineering funktioniert immer und überall!
Die Masche mit den gefakten Anrufen funktioniert immer noch. Cyberkriminelle rufen vornehmlich – aber nicht nur – ältere Menschen an und geben sich als Polizisten, Freund der Enkelin, etc. aus. In der Straße sind Einbrecher unterwegs und ein Täter der Bande konnte geschnappt werden. Dieser hatte eine Liste zukünftiger Opfer bei sich und da steht man angeblich drauf. Prophylaktisch solle man sicherheitshalber alle Wertgegenstände und Bargeld einem Kollegen übergeben, der gerade in der Nähe ist. Allein in Niedersachsen wurde damit 2021 ein Schaden von 2,9 Millionen Euro verursacht. So einfach kann man Geld verdienen.
Die Vorgehensweise ist immer die gleiche: Es wird Zeitdruck aufgebaut. Das Opfer wird in eine unübersichtliche und bedrohliche Situation gebracht und auf dieser unsicheren Informationslage muss das Opfer nun eine wichtige Entscheidung treffen. Die Bezahlung zur Lösung des Problems muss schnell geschehen. Die Opfer sollen nicht zum Nachdenken kommen. Denn ansonsten würde das Opfer möglicherweise auf andere Lösungen kommen. Ich rufe Sie gleich zurück. Geben Sie mir doch bitte Ihre Rückrufnummer. Allein damit ließe sich der Angreifer identifizieren. Von einem Cyberkriminellen bekommt man keine valide Telefonnummer.
Um betrügerische Anrufe zu verschleiern, werden meist falsche Rufnummern übertragen und im Display des angerufenen angezeigt. Meist sind das Nummern aus der Nachbarschaft. Die Technik dahinter ist simpel und nennt sich Caller-ID-Spoofing, was bei Voice-over-IP-Telefonaten einfach zu realisieren ist. In den alten Zweidraht-Vermittlungsstellen ging das damals nicht. Mit VoIP ist das kein Problem.
Das Anzeigen einer anderen Nummer ist bei VoIP technisch bewusst vorgesehen und weder ein Hack noch eine Straftat. Die meisten Callcenter nutzen das, wenn Mitarbeiter ihre interne Durchwahl nicht preisgeben sollen.
Vishing (ein Kunstwort aus Voice und Phishing) betrifft nicht nur Privatpersonen, sondern auch Mitarbeiter/innen in Unternehmen. Sicherheitsexperten sehen darin auch mit die größte Bedrohung, da diese Angriffe völlig ohne technische Hilfsmittel auskommen. Ein Telefon genügt.
Die einzige Möglichkeit, Unternehmen dagegen zu schützen sind regelmäßige Informationsveranstaltungen zum Thema Social Engineering. Hier werden die Tricks der Täter aufgezeigt und Verhaltensmaßnahmen für derartige Situationen trainiert. Es ist also ratsam, auf die Karte „Human Firewall“ zusetzen. Preiswert, gut und macht einen schlanken Fuß.
Worauf noch länger warten?