Das so genannte «Vishing» – Cyberbetrug per Telefon – wird immer mehr zum Sicherheitsrisiko. Cyberkriminelle profitieren dabei vom Einsatz künstlicher Intelligenz. Betroffen sind vor allem Unternehmen.
Im Gegensatz zum herkömmlichen Phishing, setzen Cyberkriminelle für «Vishing»-Attacken (Voice Phishing) nicht auf gefälschte E-Mails, sondern greifen zum Telefon. Die Anrufer geben sich oft als Support-Mitarbeitende oder Vorgesetzte aus und versuchen die kontaktierten Mitarbeitenden zu manipulieren. Für den Betrug fälschen sie die Stimmen der Anrufer, dies immer öfter mithilfe künstlicher Intelligenz (Stichwort: Deepfake-Technologie). Die Stimmen lassen sich dadurch meist kaum mehr als Fälschungen erkennen.
Auch der Umstand, dass viele Mitarbeitende Pandemie-bedingt von Zuhause aus arbeiten spielt den Tätern in die Hände. Denn im Homeoffice ist ein kurzer Check mit Arbeitskollegen oder Vorgesetzten schwieriger, wenn beispielsweise plötzlich der «Support» des Internetanbieters anruft und vor einer gefährlichen Sicherheitslücke warnt, die sich mit der Installation eines Programmes auf dem eigenen PC beheben lassen soll.
Angriffe werden immer gezielter
Nebst breit gestreuten Vishing-Angriffen, wie beispielsweise gefälschten Support-Anrufen, setzen Cyberkriminelle auch immer häufiger auf Spear-Vishing, wobei gezielt bestimmte Personen ins Visier genommen werden. Analog zum Spear-Phishing gibt sich ein Anrufer beispielsweise als CEO des Unternehmens aus und verlangt vom angerufenen Mitarbeitenden mit Nachdruck, dass er eine eilige Überweisung vornehmen soll.
Um die Rolle des Anrufers möglichst realitätsnah zu spielen, beschaffen sich die Täter für solche Spear-Vishing-Anrufen in der Regel die öffentlich verfügbaren Informationen über die imitierten Personen. Gerade Kadermitarbeitende und Personen in Schüsselfunktionen sollten sich deshalb gut überlegen, welche Informationen sie beispielsweise auf Social Media-Plattformen preisgeben.
Ein Virenschutzprogramm gehört zur Grundausstattung
Vishing und Deepfake-Techologien stellen Sicherheitsabteilungen vor ganz neue Herausforderungen. Denn selbst an sich zuverlässige Sicherheitsmechanismen lassen sich damit ausser Kraft setzen. So beispielsweise, wenn es den Tätern gelingt, die Angerufenen zur Nennung des im Rahmen der Zwei-Faktor-Authentifizierung verschickten SMS-Codes zu veranlassen. Aus diesem Grund sind gut geschulte Mitarbeitende mit ausreichendem Bewusstsein für Cyberrisiken unverzichtbar für die Cyberabwehr von Unternehmen.
Doch obschon Vishing als Sicherheitsrisiko eine neue Dimension darstellt, darf nicht vergessen werden, dass die Mehrzahl der schweren Cyberangriffe – wie beispielsweise Ransomware-Attacken – weiterhin vor allem per E-Mail erfolgt. Unternehmen sind deshalb gut beraten, ihre Cyerabwehr mit einem leistungsfähigen Virenschutzprogramm, wie Bitdefender, auszustatten. Derartige Software entschärft die Probleme im Zusammenhang mit gefälschten E-Mails nämlich ansehnlich, weil sie verdächtig Nachrichten automatisch aussortiert.