IT-Sicherheit für Firmen: Effektive Maßnahmen gegen Vishing-Angriffe per Telefon

Lange Zeit waren Social-Engineering-Angriffe über Phishing via E-Mail das Mittel der Wahl von Angreifergruppen, um mit den Mitarbeitern einer Opferorganisation in Kontakt zu treten. Ein neuerer Trend sind Telefonanrufe als Werkzeug für Social-Engineering-Angriffe: das sogenannte Vishing, wobei das „V“ in Vishing für Voice steht. Auch wir nutzen diese Technik inzwischen sehr häufig in Red-Teaming-Projekten, bei denen wir das Verhalten realer Angreifer simulieren.

Dass potenziell Gefahr von E‑Mails ausgeht, weiß inzwischen jeder, und in vielen Organisationen mit einem gewissen Reifegrad gehört die regelmäßige Sensibilisierung für diese Gefahr zum guten Ton. Von manchen Kunden höre ich inzwischen auch, dass die Mitarbeiter zum Teil schon übersensibilisiert sind und hinter vielen validen, wenn auch schlecht gemachten E‑Mails Böses vermuten und diese einer zentralen Stelle melden. Das zeigt, dass Sensibilisierungsmaßnahmen tatsächlich wirken, wenn sie gut und kontinuierlich gemacht werden.

Zudem wird es für Angreifer immer schwieriger, Phishing-E‑Mails am Security-Stack der Opferinfrastruktur vorbeizubringen, sodass die Mails auch tatsächlich im Posteingang landen. Ist dies gelungen, muss der Angreifer darauf hoffen, dass das Opfer nicht misstrauisch wird und die E‑Mail nicht meldet. Denn das würde potenziell die gesamte Kampagne inklusive der genutzten Infrastruktur zunichtemachen und der Angreifer müsste von vorn anfangen.

Das war die Leseprobe unseres heise-Plus-Artikels „IT-Sicherheit für Firmen: Effektive Maßnahmen gegen Vishing-Angriffe per Telefon“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.