Was ist Vishing?

So funktioniert Vishing: Techniken und Taktiken

Vishing-Angriffe werden immer raffinierter und nutzen sowohl Technologie als auch Social Engineering, um menschliche Schwächen auszunutzen. Im Folgenden sind einige der gängigsten Techniken und Taktiken aufgeführt, die von Cyberkriminellen zum Ausführen von Vishing-Angriffen verwendet werden:

Anrufer-ID-Spoofing

Angreifer manipulieren Telekommunikationssysteme, um die Anrufer-ID-Informationen zu fälschen und den Anschein zu erwecken, als käme der Anruf von einer vertrauenswürdigen Quelle, beispielsweise einer Bank, einer Behörde oder sogar einem Kollegen. Diese Taktik schwächt die Abwehr des Opfers, indem sie der Interaktion einen Anschein von Glaubwürdigkeit verleiht. Dies führt dazu, dass herkömmliche, an die Anrufer-ID gebundene Authentifizierungsmethoden weniger zuverlässig sind und erweiterte Maßnahmen zur Identitätsüberprüfung erforderlich werden.

Pretexting

Beim Pretexting erfindet der Angreifer ein glaubwürdiges Szenario bzw. einen „Vorwand“, um das Opfer davon zu überzeugen, vertrauliche Informationen preiszugeben. Dabei kann es sich um eine gefälschte Warnung vor Bankbetrug oder einen angeblichen Anruf beim Kundendienst mit der Aufforderung zur Kontobestätigung handeln. Der Erfolg von Pretexting hängt in hohem Maße von der Fähigkeit des Angreifers ab, ein Gefühl der Dringlichkeit oder Autorität zu erzeugen und das Opfer so zum Handeln zu bewegen, ohne die Situation gründlich unter die Lupe zu nehmen. KI-gesteuerte Verhaltensanalysen können dabei helfen, diese Hinweise auf diese Social-Engineering-Technikenzu erkennen, bevor sie zu großflächigen Sicherheitsverletzungen eskalieren.

VoIP-Ausnutzung

Dank VoIP-Systemen (Voice over Internet Protocol) ist es für Angreifer einfacher und kostengünstiger geworden, von überall auf der Welt aus eine große Anzahl von Anrufen zu tätigen. VoIP-Dienste sind häufig weniger sicher als herkömmliche Telefonleitungen und daher ein bevorzugtes Ziel für Cyberkriminelle, die ihre Identität und ihren Standort verschleiern möchten. Angreifer können künstliche Intelligenz nutzen, um diese Vorgänge zu automatisieren und zu skalieren und so die Geschwindigkeit und Reichweite ihrer Kampagnen zu erhöhen. Die Absicherung der VoIP-Kommunikation ist der Schlüssel zur Reduzierung der Angriffsfläche bei Vishing-Vorfällen.

IVR-Angriffe (Interactive Voice Response)

IVR-Systeme (Interactive Voice Response) – automatisierte Systeme, die mit Usern über Sprache oder Tastatureingaben interagieren – werden von Unternehmen häufig für alle möglichen Anwendungsfälle verwendet, vom Kundendienst bis zum sicheren Kontozugriff. Diese Systeme können Ziel von Vishing-Angriffen sein, indem User dazu verleitet werden, über eine kompromittierte oder betrügerische IVR-Schnittstelle vertrauliche Informationen wie PINs oder Passwörter einzugeben. ATD-Mechanismen (Advanced Threat Detection) können auf ungewöhnliche Muster in IVR-Interaktionen achten und so dabei helfen, diese Bedrohungen in Echtzeit zu identifizieren und einzudämmen.

KI-gestützte Phishing-Angriffe

Künstliche Intelligenz (KI) wird in der Welt der Cyberangriffe zunehmend als Waffe eingesetzt und ermöglicht noch raffiniertere Techniken, die selbst die wachsamsten User täuschen können. Beim Phishing verstärkt KI die Fähigkeit der Angreifer, ihre Ziele zu skalieren, zu personalisieren und zu manipulieren, was Vishing gefährlicher macht als je zuvor.

Stimmenklonen

Das KI-gestützte Klonen von Stimmen hat bei Vishing-Angriffen entscheidende Bedeutung erlangt. Cyberkriminelle sind mittlerweile in der Lage, anhand weniger Minuten einer Audioaufzeichnung die Stimme einer vertrauenswürdigen Person, beispielsweise eines Firmenmanagers oder eines Familienmitglieds, zu imitieren. Mithilfe dieser Technologie können Bedrohungsakteure ihre Vishing-Angriffe weitaus überzeugender gestalten und ihre Opfer dazu verleiten, vertrauliche Informationen preiszugeben oder betrügerische Transaktionen zu autorisieren.

Deepfake-Videoanrufe

Über die einfache Stimmmanipulation hinaus kann KI auch Deepfake-Videoanrufe erstellen, bei denen Angreifer in Echtzeit die Identität einer anderen Person imitieren. Diese videobasierten Vishing-Angriffe sind besonders effektiv in Remote-Arbeitsumgebungen, wo visuelle Hinweise während virtueller Meetings oft für die Vertrauensbildung entscheidend sind. Indem sie das Aussehen und die Stimme einer bekannten Person nachahmen, können Angreifer äußerst überzeugende Social-Engineering-Angriffe orchestrieren.

Automatische Anrufe

KI-gesteuerte Robocalls haben sich von einfachen automatisierten Nachrichten zu dynamischen Interaktionen entwickelt, die menschliche Gespräche nachahmen. Mithilfe der Verarbeitung natürlicher Sprache (NLP) können diese Anrufe intelligent auf die Eingaben der Opfer reagieren, wodurch die Interaktion authentischer wirkt. Dadurch können Bedrohungsakteure ihre Vishing-Angriffe skalieren und in kurzer Zeit Hunderte oder Tausende potenzieller Opfer erreichen.

KI-Data-Mining für gezieltes Vishing

KI kann riesige Mengen öffentlich verfügbarer Daten wie Social-Media-Profile, Unternehmenswebsites und durchgesickerte Datenbanken durchforsten, um hochgradig zielgerichtete Vishing-Angriffe zu erstellen. Durch die Erstellung detaillierter Profile potenzieller Opfer können Cyberkriminelle personalisierte Vishing-Versuche planen, die glaubwürdig und relevant erscheinen und so die Erfolgswahrscheinlichkeit erhöhen. Das Ergebnis ist ein gezielterer Angriff, der die besonderen Umstände oder Beziehungen des Opfers ausnutzt.

Mit der Weiterentwicklung der KI nehmen auch die Bedrohungen durch diese fortschrittlichen Vishing-Techniken zu. Unternehmen müssen sich davor durch KI-gestützte Sicherheitslösungen schützen, die diese neuen Risiken erkennen und ihnen entgegenwirken können.

Durch das Verständnis dieser Techniken können Unternehmen die mit Vishing verbundenen Risiken besser vorhersehen und mindern.

Warum stellt Vishing eine wachsende Bedrohung dar?

Aufgrund der zunehmenden Raffinesse der Cyberkriminellen und der zunehmenden Nutzung mobiler Kommunikation kommt Vishing immer häufiger zum Einsatz. Angreifer nutzen fortgeschrittene Social-Engineering-Taktiken, um menschliche Schwächen auszunutzen, und umgehen dabei oft herkömmliche Sicherheitsmaßnahmen. Im Zuge der zunehmenden Vernetzung und der Umstellung auf Remote-Arbeit finden Betrüger neue Möglichkeiten, Einzelpersonen dazu zu manipulieren, vertrauliche Informationen am Telefon preiszugeben.

Darüber hinaus ermöglicht die Verfügbarkeit personenbezogener Daten im Internet Bedrohungsakteuren die Entwicklung äußerst überzeugender und gezielter Vishing-Angriffe. Cyberkriminelle können heute problemlos genügend personenbezogene Daten sammeln, um Legitimität vorzutäuschen. Dadurch wird es selbst für die wachsamsten Personen schwieriger, einen Betrug zu erkennen. Mit der Weiterentwicklung der KI-Technologie nutzen Angreifer selbst Tools für maschinelles Lernen und Sprachsynthese, um noch realistischere Nachahmungen vertrauenswürdiger Entitäten zu erstellen, was die Herausforderung für Unternehmen und Einzelpersonen weiter vergrößert. Tatsächlich haben KI-gesteuerte Phishing-Angriffe (einschließlich Vishing) im letzten Jahr um 60 % zugenommen.

Praxisbeispiele

Ausgefeilte Vishing-Kampagnen erfreuen sich weltweit zunehmender Beliebtheit. Dabei nutzen Cyberkriminelle Psychologie und Technologie, um selbst technisch versierte Opfer um Millionenbeträge zu betrügen. Südkorea hat beispielsweise einen Anstieg der Vishing-Angriffe erlebt, darunter einen Fall im August 2022, bei dem ein Arzt umgerechnet 3 Millionen USD in Bargeld, Versicherungen, Aktien und Kryptowährung an Kriminelle verlor. In diesem Fall gaben sich die Betrüger als südkoreanische Strafverfolgungsbeamte in Südkorea aus. Einen ähnlichen Vishing-Angriff auf das eigene Unternehmen konnte ThreatLabz 2023 vereiteln.

In einem anderen Beispiel zahlte ein Finanzangestellter in Hongkong 25 Millionen USD nach einem Videoanruf mit einem Deepfake-„Finanzvorstand“. Der Bedrohungsakteur brachte den Angestellten dazu, an einem Videoanruf mit Personen teilzunehmen, die er für mehrere andere Mitarbeiter hielt, obwohl es sich in Wirklichkeit um Deepfake-Nachbildungen handelte.

Im Sommer 2023 gaben sich Bedrohungsakteure bei einem Vishing-Angriff mit KI-Technologie als CEO von Zscaler, Jay Chaudhry, aus. Der Angriff lief folgendermaßen ab:

1. Der Angreifer rief einen Zscaler-Mitarbeiter über WhatsApp an.
2. Er nutzte KI, um Jay Chaudhrys Stimme zu imitieren, startete den Anruf und legte dann schnell auf, um eine längere Interaktion und eine mögliche Aufdeckung zu vermeiden.
3. Der Angreifer schickte daraufhin – als Chaudhry – sofort eine Textnachricht mit der Behauptung, er habe „schlechtes Netz“.
4. In einer WhatsApp-Nachricht forderte der Angreifer dann den Zscaler-Mitarbeiter auf, Geschenkkarten im Wert eines bestimmten Betrags zu kaufen.
5. Dem Mitarbeiter kam dies verdächtig vor und er meldete es umgehend dem Sicherheitsteam.
6. Das Forschungsteam von ThreatLabz untersuchte den Vorfall und fand heraus, dass es sich um den Teil einer groß angelegten Kampagne handelte, die sich gegen mehrere Technologieunternehmen richtete.

Um dieser wachsenden Bedrohung wirksam entgegentreten zu können, muss die Cybersicherheit über herkömmliche Abwehrmaßnahmen hinausgehen. KI-gestützte Systeme, die verdächtige Muster in Echtzeit erkennen und Risiken auf granularer Ebene bewerten können, werden zunehmend unverzichtbar. Durch die Integration erweiterter Funktionen zum Risikomanagement können Unternehmen sich und ihre Mitarbeiter besser davor schützen, Opfer immer ausgefeilterer Vishing-Angriffe zu werden.

Typische Vishing-Szenarien

Vishing-Angriffe gibt es in vielen Formen, die immer darauf abzielen das Vertrauen auszunutzen und die Opfer dazu zu bringen, vertrauliche Informationen preiszugeben. Folgende Techniken werden bevorzugt von Cyberkriminellen eingesetzt: 

• Bankbetrug: Anrufer geben sich als Bankvertreter aus und behaupten, Ihr Konto sei kompromittiert worden. Sie drängen Sie dazu, personenbezogene Daten preiszugeben oder sogar Geld auf ein „sicheres“ Konto zu überweisen.
• Betrug mit technischem Support: Betrüger geben sich als Mitarbeiter des technischen Supports seriöser Unternehmen aus, warnen vor Malware auf Ihrem Gerät und fordern Remotezugriff an, um das Problem zu „beheben“. Tatsächlich handelt es sich dabei jedoch um einen Trick, um Daten zu stehlen oder Schadsoftware zu installieren.
• Finanzamt-Betrug: Angreifer geben sich als Mitarbeiter des Finanzamts bzw. der Steuerbehörde aus und drohen mit Verhaftung oder rechtlichen Schritten, wenn Sie eine ausstehende Steuerrechnung nicht bezahlen – oft über nicht nachvollziehbare Methoden wie Geschenkkarten oder elektronische Überweisungen.
• CEO-Betrug (Business Email Compromise): Cyberkriminelle zielen auf Mitarbeiter ab, indem sie sich als leitende Angestellte ausgeben und sie anweisen, dringende Überweisungen zu tätigen oder vertrauliche Unternehmensinformationen preiszugeben, oft unter dem Vorwand eines zeitkritischen Notfalls.

Vergleich: Smishing, Vishing, Phishing

Bei allen drei Methoden (Vishing, Phishing und Smishing) handelt es sich um Formen von Social-Engineering-Angriffen, die darauf abzielen, die Opfer zur Preisgabe vertraulicher Informationen zu manipulieren. Sie unterscheiden sich jedoch hauptsächlich in der Art und Weise, wie sie diese verbreiten, und in den spezifischen Taktiken, mit denen das Vertrauen der Menschen ausgenutzt wird. Das Verständnis dieser Unterschiede ist für die Entwicklung einer robusten, proaktiven Sicherheitsstrategie von entscheidender Bedeutung, insbesondere angesichts der Tatsache, dass Cyberkriminelle ihre Techniken ständig weiterentwickeln.

Phishing

Phishing ist wohl die bekannteste der drei Methoden. Dabei handelt es sich in der Regel um betrügerische E-Mails, in denen die Identität legitimer Personen wie Unternehmen, Behörden oder vertrauenswürdiger Personen vorgetäuscht wird. Das Ziel von Phishing-Angriffen besteht normalerweise darin, Anmeldedaten, Finanzinformationen oder andere vertrauliche Daten zu stehlen.

Beim Phishing wird häufig ein Gefühl der Dringlichkeit oder Angst ausgenutzt, um das Opfer dazu zu bewegen, auf schädliche Links zu klicken oder infizierte Anhänge herunterzuladen. Da E-Mail im privaten wie auch im beruflichen Kontext nach wie vor das wichtigste Kommunikationsmittel ist, haben Phishing-Angriffe eine große Reichweite und können verheerende Folgen haben, wenn sie nicht frühzeitig erkannt werden.

Smishing

Smishing ist eine neuere Entwicklung des Phishings, bei der Einzelpersonen per SMS oder Textnachricht angegriffen werden. Wie Phishing-E-Mails scheinen Smishing-Nachrichten häufig von vertrauenswürdigen Absendern zu stammen – etwa von Banken, Lieferdiensten oder sogar Kollegen – und enthalten in der Regel einen schädlichen Link oder eine Aufforderung zur Weitergabe vertraulicher Daten.

Diese Methode ist besonders gefährlich, da sie sich die Unmittelbarkeit und Beiläufigkeit von Textnachrichten zunutze macht, bei denen die Wahrscheinlichkeit größer ist, dass User schnell und ohne Misstrauen antworten. Angesichts der Allgegenwärtigkeit von Smartphones und der zunehmenden Nutzung von SMS-basierter Kommunikation haben Smishing-Angriffe stark zugenommen.

Vishing

Wie bereits erwähnt, wird beim Vishing die Sprachkommunikation, in der Regel über Telefonanrufe, genutzt, um Opfer zu manipulieren. Angreifer können sich durch Textnachrichten oder mithilfe künstlicher Intelligenz (KI) als Autoritätspersonen wie Steuerbeamte, Mitarbeiter des technischen Supports oder sogar in Not geratene Familienmitglieder ausgeben.

Ihr Ziel ist oft das gleiche wie beim Phishing und Smishing: Sie wollen an vertrauliche Informationen wie Passwörter oder Kreditkartennummern gelangen oder das Opfer zu bestimmten Aktionen wie der Überweisung von Geld bewegen. Beim Vishing kommt noch hinzu, dass durch Echtzeit-Kommunikation die menschliche Psyche direkt ausgenutzt wird, was es den Opfern erschwert, innezuhalten und die Situation kritisch zu beurteilen.

Wichtige Unterschiede bei Angriffsmethoden und -taktiken

Phishing erfolgt überwiegend per E-Mail und ist somit eine schriftliche Form der Täuschung. Angreifer verwenden häufig gut gestaltete E-Mail-Vorlagen und Logos, um legitime Unternehmen zu imitieren. Diese E-Mails enthalten normalerweise schädliche Links oder Anhänge, die nach dem Anklicken oder Herunterladen Schwachstellen im System des Empfängers ausnutzen.

BeimSmishing wird die SMS ausgenutzt, ein Medium, das für seine Kürze und Dringlichkeit bekannt ist. Die Nachrichten enthalten häufig verkürzte URLs, um schädliche Links zu verschleiern. Aufgrund der privaten Natur von Mobilgeräten neigen User möglicherweise eher dazu, Texten zu vertrauen.

Beim Vishing werden mündliche Interaktionen ausgenutzt, wodurch ein zusätzlicher Druck oder eine emotionale Manipulation entstehen kann, die sich durch Text nicht so leicht vermitteln lässt. Angreifer können Taktiken wie das „Spoofing“ von Telefonnummern anwenden, um den Anruf so aussehen zu lassen, als käme er von einer legitimen Quelle, etwa einer Regierungsbehörde oder einer bekannten Institution.

So schützen Sie sich und Ihr Unternehmen vor Vishing

Vishing-Angriffe werden immer raffinierter, doch Ihr Unternehmen kann Maßnahmen ergreifen, um das Risiko zu mindern. Durch die Implementierung der richtigen Strategien können sowohl personenbezogene als auch Geschäftsdaten vor sprachbasierten Phishing-Bedrohungen geschützt werden.

Schulungen zum Sicherheitsbewusstsein

Es ist wichtig, Mitarbeiter regelmäßig über Vishing-Taktiken zu schulen. Umfassende Schulungsprogramme können den Mitarbeitern beibringen, Warnzeichen wie unerwünschte Anrufe, Drucktaktiken oder die Aufforderung zur Herausgabe vertraulicher Informationen zu erkennen. User-Sensibilisierung ist die erste Abwehrlinie zur Verhinderung erfolgreicher Angriffe.

Verfahren zur Anruferauthentifizierung 

Durch die Implementierung strenger Verfahren zur Anruferauthentifizierung kann die Wahrscheinlichkeit verringert werden, Opfer von Vishing zu werden. Stellen Sie sicher, dass die Mitarbeiter Überprüfungsprotokolle befolgen, z. B. offizielle Nummern zurückrufen und die Multifaktor-Authentifizierung (MFA) verwenden, um die Identität des Anrufers zu bestätigen, bevor sie vertrauliche Informationen weitergeben.

Einsatz von Anti-Spam-Technologie

Nutzen Sie KI-gestützte Anti-Spam- und Anruffiltertechnologien, um verdächtige oder unerwünschte Anrufe zu blockieren, bevor sie Ihr Team erreichen. Diese Tools können Muster analysieren und potenzielle Phishing-Versuche erkennen und bieten so eine zusätzliche Schutzebene gegen Vishing-Angriffe.

Reaktionspläne für Vorfälle 

Um den Schaden zu minimieren, wenn ein Vishing-Angriff erfolgreich ist, ist es wichtig, über einen robusten Vorfallreaktionsplan zu verfügen. Stellen Sie sicher, dass in Ihrem Unternehmen klare Protokolle für die Meldung verdächtiger Anrufe und die Untersuchung potenzieller Verstöße vorhanden sind, damit rasch Maßnahmen zur Eindämmung etwaiger Bedrohungen ergriffen werden können.

KI-Sicherheit und Bedrohungsinformationen

Durch die Einbindung KI-gestützter Sicherheitslösungen können Sie die Fähigkeit Ihres Unternehmens verbessern, Vishing-Kampagnen in Echtzeit zu erkennen und abzuwehren. Durch die Nutzung von Bedrohungsinformationenkönnen diese Systeme neue Vishing-Methoden identifizieren und so proaktive Abwehrmaßnahmen ermöglichen, die sich mit der sich ändernden Bedrohungslandschaft weiterentwickeln.

Ausblick: Die Bedeutung eines mehrschichtigen Zero-Trust-Ansatzes

Phishing, Smishing und Vishing nutzen das schwächste Glied der Cybersicherheit aus: das menschliche Verhalten. Um diese Bedrohungen wirksam zu bekämpfen, müssen Unternehmen einen Zero-Trust-Ansatz verfolgen und davon ausgehen, dass Verbindungen, Plattformen und User niemals automatisch als vertrauenswürdig eingestuft werden.g

Dieser Paradigmenwechsel erfordert eine mehrschichtige Verteidigungsstrategie, die KI-gestütztes Monitoring, kontinuierliche Authentifizierung und Endgeräteschutz integriert. Durch die Kombination von User-Schulung und Spitzentechnologie können Unternehmen Angreifern immer einen Schritt voraus sein und das Risiko, Opfer von Social Engineering zu werden, erheblich reduzieren.

Mit der Weiterentwicklung dieser Angriffstaktiken müssen auch die Abwehrmaßnahmen weiterentwickelt werden. Es muss sichergestellt werden, dass jede E-Mail, jede SMS und jeder Anruf mit der gleichen Sorgfalt und Skepsis geprüft wird. Obwohl Phishing, Smishing und Vishing jeweils unterschiedliche Herausforderungen darstellen, kann eine einheitliche, KI-gestützte Sicherheitsstrategie dazu beitragen, die von allen drei Arten ausgehenden Risiken zu mindern und so die Resilienz und Sicherheit der digitalen Umgebung zu stärken.

Vorteile der Zscaler-Lösung

Um sich wirksam gegen diese neuen Bedrohungen zu schützen, müssen Unternehmen fortschrittliche Kontrollmechanismen zur Phishing-Prävention in ihre Zero-Trust-Strategien integrieren. Im Zentrum dieser Verteidigungsstrategie steht die Zscaler Zero Trust Exchange™, die auf einer robusten Zero-Trust-Architektur aufbaut.

Die Zero Trust Exchange verfolgt einen ganzheitlichen Ansatz für die Cybersicherheit und vereitelt sowohl herkömmliche als auch KI-gestützte Phishing-Angriffe in mehreren Phasen der Angriffskette:

KI-gestützte Phishing- und C2-Abwehr

KI-Modelle von Zscaler identifizieren bekannte und Patient-Zero-Phishing-Websites, um den Diebstahl von Zugangsdaten und Browser-Exploits zu verhindern, und analysieren Traffic- und Verhaltensmuster sowie Malware, um bislang unbekannte Command-and-Control-Infrastruktur (C2) in Echtzeit zu erkennen.

Dateibasiertes KI-Sandboxing

Die KI-gestützte Inline-Sandbox von Zscaler erkennt schädliche Dateien sofort und sorgt dafür, dass die Mitarbeiter produktiv bleiben. Unsere KI-gestützte Instant-Verdict-Technologie erkennt, isoliert und blockiert schädliche Dateien mit hoher Vertrauenswürdigkeit – einschließlich Zero-Day-Bedrohungen – sofort und macht das Warten auf die Analyse dieser Dateien überflüssig.

KI zum Blockieren von Web-Bedrohungen

Die KI-gestützte Browser-Isolierung von Zscalerblockiert Zero-Day-Bedrohungen und stellt gleichzeitig sicher, dass Mitarbeiter auf die richtigen Websites zugreifen können, um ihre Arbeit zu erledigen. Unsere KI-gestützte Smart-Isolierung erkennt, wann eine Website ein Risiko birgt, und isoliert sie für den User – die Website wird als Pixel in einer sicheren, containerisierten Umgebung gestreamt.

Möchten Sie den leistungsstarken Phishing-Schutz von Zscaler in Aktion sehen? Buchen Sie eine individuelle Produktdemo bei einem unserer Experten und lassen Sie sich zeigen, wie Zscaler vor den raffiniertesten KI-basierten Bedrohungen schützt.

Consultez nos prévisions pour la cybersécurité 2025 et découvrez pourquoi le vishing pourrait être en hausse.