Vishing: Die unsichtbare Gefahr am Telefon

Vishing - gelbes Retro Telefon

Wenn der Human Hacker auf die menschliche Natur abzielt und Hilfsbereitschaft am Telefon zum Risiko wird, dann nennt man das Vishing. Warum fallen viele von uns auf derartige Anrufe herein und wie können wir uns schützen?

Die Kunst der Spionage durch menschliche Quellen ist ein zeitloses Gewerbe. Seit jeher haben Menschen einen starken Bedarf an Informationen, sei es zum Selbstschutz oder zum persönlichen Vorteil gegenüber Dritten. Moderne Human Hacker nutzen teilweise noch immer die gleichen psychologischen Manipulationsmethoden wie ihre Vorgänger vor Hunderten von Jahren.

Anzeige

Ausnutzbare Gefühle, Emotionen und Eigenschaften sind der Schlüssel

Unsere Sozialisierung wird durch diverse Faktoren wie Kultur, Umfeld, Freunde, Erziehung, Erfahrungen und vieles mehr geprägt. Diese elementaren Bestandteile sind von essenzieller Bedeutung für unsere persönliche menschliche Identität und haben einen maßgeblichen Einfluss auf unsere Wahrnehmung und unser Verhalten. Sie spielen eine entscheidende Rolle dabei, uns zu formen – sowohl zu dem, was wir bereits sind, als auch zu dem, was wir anstreben zu sein.

Hilfsbereitschaft ist zweifellos eine menschliche Eigenschaft, die von unseren Mitmenschen oft sehr geschätzt wird. Für einige Menschen ist Hilfsbereitschaft jedoch mehr als nur ein bewusster Akt der Unterstützung. Wenn wir um Hilfe gebeten werden, erhalten wir als Gegenleistung oft ein einfaches „Danke“. Dieses kleine Wort birgt eine unglaubliche Bedeutung für uns alle, aber für manche von uns hat es noch eine zusätzliche Dimension. In diesem Fall geht es nicht nur um die Hilfsbereitschaft selbst, sondern vielmehr um den eigentlichen Treiber dahinter: „Lob und Anerkennung“.

Warum streben wir nach Lob und Anerkennung?

Als soziale Wesen haben wir das Bedürfnis nach Zugehörigkeit und Akzeptanz in der Gesellschaft. Lob und Anerkennung signalisieren uns, dass unsere Beiträge und unser Verhalten von anderen wahrgenommen und geschätzt werden, was unser Selbstwertgefühl stärkt. Lob und Anerkennung wirken als positive Verstärkung und können uns motivieren, uns weiterhin anzustrengen und gute Leistungen zu erbringen.

Anzeige

Lob und Anerkennung bestätigen unsere Fähigkeiten, Talente und Eigenschaften. Sie helfen uns, ein positives Selbstbild zu entwickeln und uns mit unserer persönlichen Identität wohlzufühlen. Sie geben uns das Gefühl, dass wir in unseren Handlungen erfolgreich sind und dass andere uns schätzen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Das Kaleidoskop der Anerkennung:
Vielfältige Wege zu Anerkennung und Lob

Die Möglichkeiten, Lob und Anerkennung zu erhalten, sind vielseitig. Einige engagieren sich ehrenamtlich oder bringen sich in Vereinen ein. Andere holen sich ihre digitale Dosis an Anerkennung durch die Veröffentlichung von Bildern und Posts in sozialen Medien. Dabei besteht jedoch die Gefahr, dass sie nicht bemerken, wie sie dadurch eine Art Abhängigkeit von Social Media entwickeln, was sich äußerst negativ auf ihre psychische Gesundheit auswirken kann.

Zudem könnten Menschen beginnen, ihr eigenes Glück und ihre Zufriedenheit von der Reaktion anderer abhängig zu machen, was zu Selbstzweifeln und Unsicherheiten führt, wenn die gewünschte Anerkennung ausbleibt. Insbesondere Menschen, die in ihrem privaten oder beruflichen Leben zu wenig Lob und Anerkennung erfahren, geraten oft in einen defizitären Zustand. Es ist menschlich, dass jeder versucht, dieses Defizit auszugleichen, indem er bewusst oder unbewusst nach Lob und Anerkennung sucht, um sich wieder damit zu versorgen.

Diese Abhängigkeit von Bestätigung kann in der Welt des Social Engineering von einem Human Hacker ausgenutzt werden. Der Human Hacker könnte beispielsweise Telefongespräche führen, bei denen er seinem Opfer Lob und Anerkennung schenkt, um sie so zu manipulieren. Geschickt versuchen Human Hacker, eine emotionale Verbindung herzustellen und das Vertrauen ihrer Opfer zu gewinnen.

Vishing: Ein gefährlicher Cocktail aus Hilfsbereitschaft und Anerkennung

Vishing ist eine spezifische Angriffsmethodik des Social Engineering, die eine Kombination aus „Voice“ (Stimme) und „Phishing“ darstellt. Beim Vishing versuchen Human Hacker, sensible Informationen von ihren Opfern durch den Einsatz von Telefonanrufen zu erhalten. Sie geben sich gerne als legitime Organisationen oder Unternehmen aus, wie beispielsweise Banken, Versicherungen, Regierungsbehörden, aber auch Kunden, Partner und Kollegen.

Für die Angerufenen ist es äußerst schwierig, sich gegen einen gut gemachten Vishing-Angriff zu verteidigen, nicht zuletzt, weil die Angreifer technisch versiert sind und mithilfe entsprechender Applikationen ihre Telefonnummer so manipulieren können, dass sie genau zur gewählten Zielgruppe passt. Somit wird die Gewinnung von Informationen durch die Detektion und Analyse der Rufnummer zusätzlich erschwert, da die Angreifer geschickt die Technologie nutzen, um ihre Spuren zu verwischen und die wahre Identität hinter der manipulierten Rufnummer zu verschleiern.

Im Gegensatz zum realen Leben, wo wir Kleidung und Körpersprache wahrnehmen können, steht uns am Telefon lediglich unser Hörsinn zur Verfügung. Ohne visuelle Hinweise beginnt unser Gehirn, passende Bilder ausschließlich aufgrund der verbalen Kommunikation zu generieren. Es formt kontinuierlich Bilder im Geist des Angerufenen, die den individuellen Erwartungen und Erfahrungen der jeweiligen Person entsprechen.

Die fehlende Möglichkeit, Mimik und Gestik wahrzunehmen, verlangt von unserem Verstand, die Lücken zu füllen, indem er aufgrund der gehörten Worte Vorstellungen und Interpretationen entwickelt. Dadurch kann sich eine Art innerer Film entfalten, der auf der subjektiven Wahrnehmung und den persönlichen Hintergründen des Angerufenen basiert. Diese Eigenschaft macht das Telefon zu einem äußerst faszinierenden, aber auch potenziell gefährlichen Kommunikationsmittel, da die imaginären Bilder unser Verhalten und unsere Reaktionen beeinflussen können.

Wenn jetzt ein Human Hacker bewusst mit seiner Sprechgeschwindigkeit, Lautstärke, Dialekt und Hintergrundgeräuschen spielt, entsteht schnell die perfekte Illusion.

Indem der Angreifer gezielt verschiedene stimmliche und sprachliche Techniken einsetzt, kann er sein Gegenüber geschickt manipulieren und in eine gewünschte Richtung lenken. Die Sprechgeschwindigkeit kann so angepasst werden, dass der Angreifer autoritär und überzeugend wirkt oder aber vertrauensvoll und empathisch erscheint. Die Intonation und Lautstärke können verwendet werden, um Emotionen zu erzeugen oder das Opfer zu beeinflussen. Die geschickte Nutzung von Hintergrundgeräuschen kann die Glaubwürdigkeit des Anrufs verstärken und das Gefühl erzeugen, dass der Anrufer sich an einem authentischen Ort befindet.

Einflüsse auf die Wahrnehmung in Situationen

Bild: Vishing: Einflüsse auf die Wahrnehmung in Situationen (Quelle: Human Risk Consulting GmbH)

Vishing als Vorbereitungstaktik für Spear-Phishing

Human Hacker haben nicht immer den alleinigen Fokus auf Passwörter oder Kreditkarteninformationen. Oftmals nutzen sie am Telefon gewonnenes Insiderwissen über ein Unternehmen als Vorbereitungstaktik für einen anschließenden Spear-Phishing Angriff. Diese Vorgehensweise ermöglicht es ihnen, ihre Angriffe effektiver zu gestalten und erfolgreich sensible Informationen zu erlangen. Durch raffinierte Vishing-Angriffe kommt es nicht selten vor, dass nichtsahnende Personen ihre Zwei-Faktor-Authentifizierung (2FA) PINs oder TANs am Telefon preisgeben und dadurch ungewollt den Zugriff auf geschützte Systeme freigeben.

Stress als Wahrnehmungskiller

Manche Umstände und Faktoren spielen dem Human Hacker zusätzlich in die Karten. Wird das Opfer eines Social Engineering Angriffs in einer besonders stressigen Situation angetroffen, hilft das meistens nur dem Angreifer.

Stress ist ein Wahrnehmungskiller. Das bedeutet, dass wir in stressigen Situationen unsere ohnehin schon höchst subjektive Wahrnehmung zusätzlich einschränken und nur noch die vermeintlich wichtigen Informationen wahrnehmen, während wir den Rest ausblenden.

Der Human Hacker nutzt diesen Wahrnehmungskiller gezielt aus und kann sein Opfer dazu bringen, vorschnelle oder unüberlegte Handlungen auszuführen, die den eigenen Interessen dienen. Der Stress verschärft die Anfälligkeit für SE-Angriffen jeglicher Art, da wir in solchen Momenten oft weniger in der Lage sind, rationale Entscheidungen zu treffen und unsere natürlichen Abwehrmechanismen geschwächt sind.

Prävention durch Übung

Die Tatsache, dass Human Hacker in der Lage sind, am Telefon Insiderwissen zu sammeln und dieses Wissen gezielt in nachfolgenden Angriffen einzusetzen, verdeutlicht die Notwendigkeit, Mitarbeitende über diese Taktiken aufzuklären und sie für die Gefahren von Vishing und Spear-Phishing zu sensibilisieren.

Um sich vor solchen Vishing-Angriffen zu schützen, ist es wichtig, sich der eigenen Stressreaktionen bewusst zu sein und in kritischen Situationen eine Pause einzulegen, um eine bessere Entscheidungsgrundlage zu schaffen. In der Fachsprache sprechen wir über „Innehalten“.

Schulungen und Trainings zur Erkennung von Social Engineering Taktiken können helfen, die Sensibilität für solche Angriffe zu stärken und die Sicherheit im Umgang mit unbekannten oder unerwarteten Situationen zu verbessern. Eine informierte und wachsame Haltung kann dazu beitragen, den Einfluss von Stress in solchen Momenten zu minimieren und Manipulationsversuche zu durchschauen.

Indem Mitarbeitende regelmäßig in praxisnahen Übungen auf potenzielle Bedrohungen vorbereitet werden, können sie ein höheres Maß an Sicherheitsbewusstsein entwickeln.

Durch praktische Übungen können reale Handlungsoptionen entwickelt werden, die den Teilnehmern dabei helfen, das Gelernte in der realen Welt anzuwenden. Das Üben ermöglicht es den Teilnehmern, in einem geschützten Umfeld zu lernen und Fehler zu machen, ohne dass dabei reale Konsequenzen entstehen. Dadurch können sie ihre Fähigkeiten und ihr Sicherheitsbewusstsein verbessern und sich im Ernstfall schneller und adäquater verhalten.

Asiye Öztürk

Asiye

Öztürk

Lead Auditor Cyber Security

Hochschule Niederrhein

Asiye Öztürk doziert seit 2020 an der Hochschule Niederrhein am Cyber Management Campus Mönchengladbach im Studiengang Bachelor Cyber Security Management. In Ihren Forschungsaktivitäten fokussiert sie sich auf praxisnahe Forschungsfragen im Bereich der Cyber Defense Modelle, Human Hacking und Social Engineering sowie CERTs im Sinne der Resilienzerhöhung der OT-Netze.
Michael Willer

Michael

Willer

Geschäftsführer, SE-Pentester

Human Risk Consulting GmbH

Michael (Mike) Willer (geb. 1977) hat sich als Intelligence Analyst und Ausbilder für militärische Befragungs-/ Vernehmungstechniken intensiv mit der menschlichen Verhaltenspsychologie auseinandergesetzt. 2015 gründete er die Human Risk Consulting GmbH und hat sich mit seinem Team auf den Sicherheitsfaktor Mensch – das Human Hacking / Social Engineering spezialisiert.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.