Einleitung

Das Smartphone vibriert. Eine SMS der Bank: ‘Verdächtige Aktivität auf Ihrem Konto festgestellt. Klicken Sie hier zur Verifizierung.’ Diese oder ähnliche SMS Nachrichten hat vermutlich jeder schonmal bekommen.

Innerhalb von wenigen Sekunden hat der Empfänger bereits geklickt – keine Zeit für Zweifel, keine Gelegenheit zur Überprüfung. Möglicherweise wird durch den Klick eine Infizierte Webseite besucht welche einen Exploit ausführt oder der Empfänger gibt auf einer gefälschten Webseite sensible Informationen ein wie Passwörter ein. Während Unternehmen Millionen in E-Mail-Sicherheit investieren und Mitarbeiter vor Phishing-Mails warnen, erreichen Angreifer ihr Ziel zunehmend über einen Kanal, der weitgehend ungeschützt bleibt: Telefon, SMS oder Instant Messaging (z.B.: WhatsApp)."

2. Was sind Vishing und Smishing?

Vishing (Voice Phishing)

Vishing ist eine Form des Social Engineering, bei der Angreifer Telefonanrufe nutzen, um Opfer zur Preisgabe sensibler Informationen oder zur Durchführung bestimmter Handlungen zu bewegen. Der Begriff setzt sich zusammen aus “Voice” und “Phishing”.

Angreifer geben sich am Telefon als vertrauenswürdige Personen oder Institutionen aus. Dies können zum Beispiel staatliche Stellen sein wie die Polizei oder Regulierungsbehören. Partner oder Dienstleister mit denen man zusammenarbeitet oder Kollegen aus der eigenen Firma. Vishing kann dabei sowohl privatpersonen als auch Organisationen treffen.

Beispielszenarien

In der Praxis Trifft man auf folgende Szenarien:

CEO Fraud: Meist erhält man einen Anruf vom Geschäfsführer, Vorstand oder anderen Mitarbeiter mit hoher Position. Diese befinden sich gerade in einem wichtigen Meeting oder Treffen beim Kunden und benötigt dringend eine Bezahlung oder wichtige Dokumente benötigt.

Jemand gibt sich als ein Mitarbeiter von der IT-Support aus und sagt das es Probleme mit dem Konto oder Computer gibt. Möglicherweise muss der Mitarbeiter auf einem Link klicken oder eine spezielle Software herrunterladen welche Malware enthält oder dem Anreifer remote zugriff gewährt. Eine Methode die unter anderen sehr gut bei neuen

Ein Dienstleister oder Lieferrant ruft an und sagt das eine Zahlung noch nicht eingegangen ist weil sich die Bankdaten geändert haben und die Bestelliung nur noch abgeschlossen werden kann wenn in den nächsten Stunden die überweisung an das richtige Konto getätigt wird.

Im Privaten Umfeld wird bei Anrufen oft die Form eines Enkeltricks versucht. Alternativ geben sich angreiffer auch oft als Bank oder andere Finanzdienstleister aus.

Technische hilfmittel

Dabei versuchen Angreifder nicht immer großen Summen zuerbeuten. Je nach Ziel können niedrige Summen oft lukrativer sein. Beträge von ein paar Hunderteuro fallen oft gar nicht auf und werden auch schneller durchgewunken. Zudem werden sich Firmen bei einem kleineren Schaden auch überlegen ob sie dies den behörden oder polizei melden.

Auch wenn Vishing meist auf die soft skills vom Angreiffer beruht, kann die durchführung mittels verschiedener technischer mittel untertsützt werden. Durch Caller-ID Spoofing kann die angezeigte Nummer gefälscht werden. VoIP ermöglicht kostengünstig anrufe aus dem Ausland und unter umständen auch eine automatisierung wie sie nut mit Robocalls und IVR-Systeme (Interactive Voice Response) möglich wäre. Natürlich gibt es auch ganze Call-Center die Vishing professionell und im großen Stil durchführen. Je nach Szenario kann der Angreifer auch durch künstiche Hintergrundgeräusche (Durchsagen am Flughafen, Bürogeräusche etc.) glaubwürdiger erscheinen lassen.

Wie bei anderen Social Engineering varianten beruhig auch Vishing darauf das Opfer durch druck und angst zu manipulieren. Da Angriffer und Opfer aber direkt in Kontakt mit einander stehen kann der Angreifer je nach verhalten desn Opfers reagieren und zusätzlichen druck aufbauen. Mit etwas geschickt kann ein Angreifer ein Opfer das sich unsicher ist doch noch überzeugen.

Praxisbeispiele

Twitter, 2020: Im Jahr 2020 hat ein damals 17 jähriger die IT-Abteilung von Twitter überzeugt das dieser selbst bei Twitter arbeitet und konnte so sensible Anmeldeinformationen für interne Portale erbeuten. Dadurch hatte er Zugriff auf einzelne Nutzerkonten und konnte so diese so übernehmen. Über die kompromitierten Konten von Promonenten (u.a. Baram Obama, Jeff Bezos, Kanye West, Joe Biden, etc.) wurden Nachrichten veröffentlicht welche dem Leser versprachen eine einzalung via Bitcon doppelt zurückzuzahlen. Die Angreiffer konnten so 117.000 USD in Form von Bitcoins

Xoom, 2015: Der CFO von Xoom wurde opfer eines CEO Fraud durch de 30 Mio. USD Schaden entstanden sind. Der CFO musste draufhin das Unternehmen verlassen.

Es gibt leider relativ wenig echte Beispiel von Vishing Anrufen da das aufzeichen von Anrufen in den meisten Ländern gegen den Datenschutz verstößen. Im gegensatz zu Phishing E-Mails hat man es hier schwere echte Beispiele aus der praxis zu zeigen. Auch bei betroffenen Unternehmen gibt es zu den vorfällen meist nur wenig konkrete Infos wie der Angreiffer es geschafft hat sein Opfer zu überreden.

Auf der DefCon Conferenz gibt es allerdings mittlerweile einen Wettbewerb bei dem man team live dabei zuhören kann wie sie echte Vishing Angriffe auf Organisationen durchführen. Auch werden für diesen Wettbewerb bereits KI-Bots genutzt die vollständig ohne menschliches eingreifen die Angriffe durchführen. Teilweise brauchen die Bots manchmal etwas lange für eine Antwort, dies wurde aber vorher mit Internet oder Telefonproblemen begründet. KI Bot die mit Akzentsprechen hatten zudem eine höhere Erfolfsquote und wurden weniger oft erkannt.

Smishing (SMS Phishing)

Smishing bezeichnet Phishing-Angriffe über SMS oder andere Textnachrichten-Dienste (wie WhatsApp, iMessage) oder auch über Chatsysteme wie Slack, Webex, etc. Wobei letzte meist über kompromitierte Konten von Arbeitskollegen durchgeführt werden. Der Begriff kombiniert die Worte “SMS” und “Phishing”. Die spannende Frage ist: Warum sollte ich einen Angriff via SMS durchführen wenn ich doch auch eine klassische Phishing E-Mail scheiben kann.

Ich muss bei einer SMS oder anderen Textnachricht nicht die Corporite Identity wie bei einer E-Mail mit Logos, Farben oder Schriftart nachahmen. Ich kann auch die E-Mail Security umgehen wenn vielleicht meine Phishing Mails nicht durchkommen. Meist gibt es auf Smartphones weniger bis gar keinen technischen Schutz vor solcher art von Nachrichten. Auch ist die öffnungsrate von SMS Nachrichten höher als bei E-Mails. Menschen betrachten das Smartphones als etwas mehr persönliches. Auch lassen sich Rufnummern nicht so leicht erraten wie E-Mail Adressen welche einem bestimmten Muster folgen (z.B. Vorname.Nachname@domain.de). Allerdings können auch Rufnummern über verschiedene wege bekannt werden.

Textnachrichten über andere Systeme via Instant Messaging wie Webex, Microsoft Teams, Slack, etc. sind nochmal viel gefährlicher, weil hier meist kompromentierte Accounts für genutzt werden denen wir eigentlich vertrauen.

Technische Hilfmittel

Wie auch bei Anrufen kann bei SMS NAchrichten kann der Absender via Sender ID Spoofing manipuliert werden. Aber wird nicht selbst die ausgehende Rufnummer gefälscht sondern der text der als Absender der Nachricht angezeigt werden. So können angrifer sich als Post, Bank oder staatliche behörden ausgeben. Dienstleister im Internet erlauben auch das anonyme, automatisierte oder massenhafte versenden von SMS Nachrichten. Mittlerweile existieren auch spezielle Frameworks welche den Versand von solche Nachrichten erleichtern. Wie bei Mails können auch Links mittels gekürzer URLs verschleiert werden.

Obwohl Zero-Click-Exploits via SMS-Nachrichten theoretisch möglich sind, zum Beispiel “Stagefright-Lücke” für Android Systeme, sind diese doch äußert selten verbreitet. Zudem sind solche Exploits sehr teuer und werkvoll auf dem “Schwarzmarkt”. Es ist davon auszugehen das, wenn überhaupt, nur staatliche Stellen über solche Fähigkeiten verfügen. In den meisten fällen werden solche SMS Nachrichten versuchen ein bestimmtes verhalten beim Benutzer zu erzeugen oder auf eine gefälschte Webseite leiten.

Beispielszenarien

Im Gegensatz zu Anrufen oder Mails sind die Texte und szenarien bei Smishing meist deutlich kürzer und weniger komplexer. Dies ist meist dem fakt geschuldet das SMS Nachrichten meist kürzer sind. Der Angreifer wird also meist sehr direkte Szenarien nutzen.

Sehr beliebt sind ANgriffe bei denen man sich als Dienstleister ausgibt. Das kann die IT-Abteilung sein die schreibt das ein Konto abläuft une erneuert werden muss oder die HR-Abteilung oder HR-Systeme das vorgibt das ein Bonus wartet oder Urlaustage verfallen.

Im privaten Umfeld sind gefälschte Nachrichten von Banken oder Paketdiensten sehr verbeitet. Vermutlich hat jeder schonmal eine solche SMS bekommen. Aber auch Versionen des Enkeltricks gibt es SMS Variante. Meist erhalten die Opfer dann eine Nachricht vom Kind oder Enkel das diese eine neue Rufnummer haben und man soich doch bei ihnen melden soll.

Praxisbeispiele

Im Jahr 2022 konnte ein 18 jähriger mithilfe eines Smishing zugriff auf die internen Systeme wie Coderepositorys, Slack oder Cloudsysteme von Uber bekommen.

Ebenfalls im Jahr 2022 wurde ironischerweise der SMS Service Twilio opfer eines Smishing Angriffes bei dme die ANgreiffer zugriff auf 209 Kundenkonten hatten.

Die Gefahr hinter Social Engineering

Ein weit verbreiteter Irrglaube ist, dass technische Schutzmaßnahmen einen wirksamen Schild gegen Social Engineering bieten. Doch diese Angriffe zielen nicht auf Softwarelücken, sondern auf die menschliche Psyche – und die lässt sich nicht einfach patchen. Die unbequeme Wahrheit ist: Organisationen jeder Größe und Branche sind potenzielle Ziele. Selbst hohe Sicherheitsbudgets bieten hier keinen absoluten Schutz.

Noch alarmierender ist, dass selbst geschulte und sensibilisierte Mitarbeitende Opfer werden können. Das liegt weniger an mangelhaften Schulungen, sondern an einer grundlegenden Diskrepanz: Wissen wird im sicheren Rahmen einer Schulung vermittelt – doch im Moment des Angriffs herrschen Stress, Zeitdruck und emotionale Manipulation.

Man kann das mit einem Erste-Hilfe-Kurs vergleichen: In der Theorie sitzt jeder Handgriff. Im Ernstfall jedoch setzen Adrenalin und Unsicherheit ein – das Gelernte scheint wie weggeblasen. Genauso fehlt im Bereich Social Engineering häufig der Transfer vom Wissen zur Handlungskompetenz unter Druck. Realistische Trainingssituationen wären zwar hilfreich, lassen sich aber kaum umsetzen, ohne das Vertrauen der Belegschaft zu gefährden.

Angreifer nutzen genau diese Lücke zwischen Theorie und Praxis gezielt aus. Ihre Strategien umgehen die in Schulungen verankerten Kontrollmechanismen, indem sie:

  • Handlungsdruck erzeugen: Künstliche Dringlichkeit („Within 10 minutes your account will be deleted!“) lässt keine Zeit für kritisches Hinterfragen.

  • Vertrauen aufbauen: Der persönliche Kontakt über Telefon oder SMS schafft eine Glaubwürdigkeit, die E-Mails oft nicht erreicht. Die natürliche Hilfsbereitschaft und der Respekt vor Autorität werden so zum Einfallstor.

  • Individuelle Szenarien entwickeln: Angriffe werden maßgeschneidert, basierend auf verfügbaren Informationen über die Organisation. Dadurch wird eine Vorbereitung auf bestimmte Muster nahezu unmöglich.

Besonders gefährlich wird es, wenn koordinierte Angriffe durchgeführt werden: Dabei gehen die Täter gleichzeitig gegen mehrere Personen vor oder nutzen bereits erlangte Systemzugriffe für tiefgreifendere Manipulationen. Zunehmend tritt auch Künstliche Intelligenz in den Vordergrund. KI-gestützte Systeme können bereits heute eigenständig und erfolgreich täuschende Anrufe tätigen – ohne menschliche Kontrolle.

Letztlich gilt: Der Mensch ist keine Firewall. Sein soziales „Betriebssystem“, ausgelegt auf Kooperation und Effizienz, kann von Social Engineers gezielt manipuliert werden. Awareness-Maßnahmen bleiben daher nur ein Baustein. Erst in Kombination mit klaren Prozessen, einer Kultur des offenen Meldens und technischen Sekundärkontrollen – wie der Multi-Faktor-Authentifizierung – entsteht ein wirksamer Schutz, der selbst dann greift, wenn die menschliche Firewall versagt.

Gegenmaßnahmen

Während Sensibilisierung die Grundlage bildet, sind konkrete Handlungsroutinen und technische Sicherheitsnetze der Schlüssel zur erfolgreichen Abwehr von Social Engineering-Angriffen wie Vishing und Smishing. Effektiver Schutz bedeutet, die Lücke zwischen Wissen und Handeln unter Stress zu schließen. Hier sind die entscheidenden Hebel:

1. Prozesse & Routinen: Die beste Verteidigung sind eindeutige, eingeübte und einfach zu befolgende Prozesse. Diese wirken wie eine Notbremse, die auch unter Druck zuverlässig funktioniert.

  • Das “Zwei-Personen-Prinzip” für kritische Aktionen: Keine sensiblen Daten, Passwort-Änderungen oder Überweisungen sollten auf Basis einer einzelnen Telefonanfrage oder SMS getätigt werden dürfen. Eine verbindliche Regel, dass eine zweite, unabhängige Person (z.B. ein Vorgesetzter oder Kollege) die Aktion bestätigen muss, unterbindet die meisten Angriffe sofort.

  • Rückruf- und Verifikationsprozedere: Seriöse Anrufer (z.B. von Banken oder IT-Dienstleistern) werden es nie ablehnen, wenn Sie den Hörer auflegen und sie über eine offizielle, bekannte Rufnummer zurückrufen. Etablieren Sie diese Routine als goldenen Standard.

  • Eine klare “STOP-Sagen”-Kultur: Mitarbeiter müssen nicht nur befugt, sondern ausdrücklich ermutigt sein, verdächtige Anfragen abzulehnen – und das ohne Angst vor Repressalien, selbst wenn sich die Anfrage im Nachhinein als legitim erweist. Ein “Nein” muss als gelebte Sicherheitspraxis gelten, nicht als Unhöflichkeit.

2. Technische Absicherung: Technik kann die menschliche Schwäche nicht beheben, aber sie kann einen Puffer schaffen, der den Schaden begrenzt, wenn jemand hereinfällt.

  • Multi-Faktor-Authentifizierung (MFA) überall: Dies ist die wichtigste technische Maßnahme. Selbst wenn ein Angreifer Passwort und Benutzernamen erlangt, kann er sich ohne den zweiten Faktor (z.B. eine App auf dem Smartphone) nicht anmelden. MFA stoppt die meisten Account-Übernahmen effektiv.

  • Strikte Rechtevergabe nach dem “Need-to-Know”-Prinzip: Kein Mitarbeiter sollte Zugang zu mehr Daten oder Systemen haben, als für seine unmittelbare Tätigkeit absolut notwendig ist. So wird der potenzielle Schaden eines kompromittierten Accounts minimiert („Zero-Trust-Ansatz“).

3. Kultur & kontinuierliches Lernen:

  • Eine offene Meldekultur: Es muss absolut sicher und einfach sein, einen Verdacht oder sogar einen eigenen Fehler zu melden. Jeder gemeldete Vorfall ist eine kostenlose Lektion für das gesamte Unternehmen und ermöglicht es, frühzeitig Gegenmaßnahmen zu ergreifen. Ein kürzlich von dir erwähntes “CISO-of-the-Day”-Prinzip, bei dem ein Mitarbeiter für alle Sicherheitsfragen die erste Anlaufstelle ist, kann hier Wunder wirken.

  • Sichere Kommunikationskanäle für wichtige Angelegenheiten: Mitarbeiter und vor allem Vorgesetzte sollten kritische Anfragen über vorab definierte und sichere Kanäle stellen. Wichtige Angelegenheiten sollten nicht zwischen Tür und Angel per kurzer E-Mail oder hektischem Anruf geklärt werden – auch wenn die Zeit drängt.

4. Informationspolitik (OSINT-Bewusstsein): Angreifer entwerfen plausible Angriffsszenarien, indem sie sich umfangreich vorbereiten. Dafür genügen oft bereits öffentlich verfügbare Informationen (Open Source Intelligence, OSINT):

  • E-Mail-Adressen werden häufig nach demselben Muster erstellt.
  • Positionen und Tätigkeiten sind in sozialen Netzwerken wie LinkedIn einsehbar.
  • In Blogs, Nachrichtenportalen oder sozialen Netzwerken sammeln Angreifer Informationen über Kunden, Dienstleister oder Projekte.
  • Selbst auf Bewertungsportalen können Mitarbeiter unbewusst interne Informationen preisgeben.

Jede Information, egal wie banal sie scheint, kann für einen Angreifer wertvoll sein, um sein Szenario (Pretexting) zu entwickeln. Organisationen und Mitarbeiter müssen sich bewusst sein, dass jede veröffentlichte Information im Zweifel missbraucht werden kann. Es geht nicht um absolute Geheimhaltung, sondern um einen bewussteren Umgang mit öffentlichen Daten. Weniger Informationen können die Qualität und Plausibilität eines Angriffs erheblich erschweren.

Die Krux an diesem Thema ist, dass Unternehmen heutzutage natürlich in Social Media aktiv sein müssen und auch aus Gründen der Transparenz viele Informationen öffentlich verfügbar sein sollen.

5. Im Zweifel: Das Gespräch sicher beenden: Sollte ein Mitarbeiter Zweifel haben, sollte er das Gespräch so schnell wie möglich, aber kontrolliert beenden. Einfach aufzulegen ist eine Option, könnte den Angreifer aber zu einem sofortigen, aggressiveren Folgeversuch verleiten.

Der bessere Weg: Das Gespräch bewusst kurz halten, um dem Angreifer weniger Angriffsfläche zu bieten. Indem man sich für eine Überprüfung der Anfrage entschuldigt (“Das muss ich kurz intern klären”) und auflegt, gewinnt man Zeit und Handlungsfähigkeit. Anschließend kann man über einen sicheren Kanal prüfen, ob die Anfrage legitim war. Dies setzt jedoch voraus, dass man potenzielle Angriffe frühzeitig erkennt oder ein grundsätzliches, gesundes Misstrauen entwickelt.

Fazit: Der wirksamste Schutz ist eine Kombination aus eingeübten Notfallroutinen (Prozesse), die dem Mitarbeiter in der Stresssituation eine klare Handlungsanweisung geben, und technischen Sicherheitsnetzen (wie MFA), die den Schaden im Ernstfall begrenzen. Schulungen sind nicht nutzlos – sie sind die Basis, auf der diese Maßnahmen aufbauen. Aber sie sind nur der Anfang der Reise.

Quellen