:: NORMAN :: Antivirus | Firewall

Proaktive IT-Sicherheit

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2006 » "VISHING" - neuer Schwung für alten kriminellen Trick dank neuer Technologie

"VISHING" - neuer Schwung für alten kriminellen Trick dank neuer Technologie

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 32, 2006

Security Information

Einführung

In den Anfangszeiten der Computerkommunikation gab es für Cracker vor allem eine Methode, um an die gewünschten Informationen heranzukommen: das sogenannte War-dialling. Dabei lässt der Cracker seinen Computer über ein entsprechendes Programm (und ein Modem) nacheinander Hunderte von halb zufällig ausgewählten Telefonnummern in einem Gebiet anrufen. Wenn ein Modem reagiert, kann er sicher sein, dass sich hinter dem Modem ein Computer befindet. Die Liste der reagierenden Modems (Computer) kann dann zum Ziel von Angriffen durch den Cracker werden.

Da Modems inzwischen immer seltener im Einsatz sind, wird dasselbe heute durch sogenannte Port scans versucht. Bei dieser Technik lässt der Angreifer seinen Computer ganze Bereiche von IP-Adressen absuchen, um so Computer mit speziellen offenen Ports zu finden. Die Computer, die auf diese Kontaktversuche positiv reagieren, können dann für weitere Angriffe genutzt werden - von einem einfachen Einbruch bis hin zur vollständigen Übernahme der Kontrolle über den Computer. Auf diese Weise wird der Angreifer in die Lage versetzt, die gewünschten Ziele (Spamming, Botnets usw. usf.) zu erreichen.

Phishing lässt sich ganz allgemein wie folgt definieren:

"Social-Engineering-Angriff zur Erlangung vertraulicher persönlicher Daten, wie Kennwörtern und Kreditkartennummern, mit dem Ziel, betrügerische Handlungen zu begehen"

Weitere Informationen zum Thema "Phishing" finden Sie in verschiedenen Artikeln auf unserer Website, wie z. B. im Sicherheitshinweis für die Woche 15/2005.

Geben Sie Vishing - eine Kombination aus den beiden o. g. Techniken (Voice over IP und Phishing) - ein.

So funktioniert Vishing

1. Anrufen einer Vielzahl von Nummern mittels eines Computers (das "V" in Vishing)

Der erste Schritt besteht darin, einen Computer so zu konfigurieren, dass dieser per Voice over IP (VoIP) eine Vielzahl von Telefonnummern in einem Gebiet anruft.

Im Gegensatz zum "guten alten" War-Dialling spielt die Entfernung dabei keine Rolle, da die Telefonkosten vernachlässigt werden können. Wie wir in Schritt 2 sehen werden, muss für den Erfolg des Vishing-Angriffs aber darauf geachtet werden, in welcher Sprache die Anrufe im jeweiligen Gebiet erfolgen.

2. Abspielen einer aufgezeichneten Nachricht (das "ishing" in Vishing)

Wenn der Visher Glück hat, wird der automatische Anruf von einigen Angerufenen angenommen. Diesen Personen wird eine aufgezeichnete Meldung vorgespielt, die den Phishing-Part übernimmt. Darin kann z. B. behauptet werden, dass der Anruf aus der mit dem Thema "Kreditkartenbetrug" befassten Abteilung einer Bank stammt. Der Angerufene wird aufgefordert, eine andere Nummer anzurufen, um ein angebliches Problem zu lösen.

Diese aufgezeichnete Nachricht sollte sich der Sprache bedienen, die auch in dem Bereich gesprochen wird, der Ziel des Vishing-Angriffs ist. Eine automatische Nachricht in deutscher Sprache für Personen in Frankreich, in der behauptet wird, dass die Nachricht von der Bank des Angerufenen stammt, ist nicht unbedingt vertrauenswürdig und kann wohl nur wirklich gutgläubige Menschen überzeugen (was durchaus beabsichtigt sein kann).

3. Erlangen der gewünschten Informationen

Woman in phone

Wenn der in Punkt 2 beschriebene Schritt erfolgreich und überzeugend genug war, werden einige der Personen, die den automatischen Anruf angenommen und sich die Nachricht angehört haben, die angegebene Nummer anrufen.

Bei diesem Schritt stehen dem Visher verschiedene Optionen zur Verfügung.

Der Visher kann selbst den Telefonanruf entgegennehmen und seine Social-Engineering-Fähigkeiten einsetzen, um den Anrufer zur Preisgabe seiner persönlichen Daten (Kreditkartennummer, PIN, Geburtsdatum, Adresse usw.) zu bewegen.
Der persönliche Telefonkontakt hat in dieser Phase wahrscheinlich die höchste Erfolgsquote. Der Nachteil dabei ist, dass der Visher immer nur mit einer Person gleichzeitig sprechen kann.
Der Visher kann eine Nachricht aufzeichnen und dem Anrufer darin eine glaubhafte Geschichte auftischen, um ihn so zu überreden, persönliche Daten preiszugeben.
So kann z. B. erzählt werden, dass die Kreditkartenabteilung der Bank just zu dem Zeitpunkt, als einige Kreditkartennummern gestohlen wurden, einen Zusammenbruch der Datenbank erlitten hat. Da die Datenbank- und Kundeninformationen nicht verfügbar sind, wird der Anrufer gebeten, die Kreditkarten- und Telefonnummer anzugeben, damit die Bank zurückrufen kann, falls die Kreditkarte des Anrufers zu denen gehört, deren Nummern abhanden gekommen sind.
Bei den Überredungsmethoden, die hierbei zum Einsatz kommen können, sind der Fantasie keine Grenzen gesetzt. Der Nachteil bei dieser Methode besteht darin, dass der Text recht allgemein gehalten sein muss, damit er möglichst vielen Anrufern plausibel erscheint und sie zur Preisgabe ihrer Daten bewegt.

4. Eigentliche Betrugshandlung und/oder Beschaffung zusätzlicher Informationen

Das Ergebnis des erfolgreichen Abfischens von Daten durch die drei oben beschriebenen Schritte kann vom Visher dann genutzt werden, um den eigentlichen Betrug durchzuführen. Im Beispiel oben wäre dies ein Kreditkartenbetrug, aber natürlich sind auch andere Aktionen denkbar.

Der Visher kann die erlangten Daten darüber hinaus auch nutzen, um sich zusätzliche Informationen zu beschaffen. Dies kann sogar so weit gehen, dass der Visher so viele Informationen erlangt, dass er in der Lage ist, die Identität des jeweils anderen zu übernehmen - auch wenn ein solches Delikt eher selten sein dürfte.

Einige allgemeine Bemerkungen

Im Sicherheitshinweis für die Woche 10/2005 haben wir uns mit dem Umstand befasst, dass zur Verbreitung von Malware besonders gern neue Anwendungen (in diesem Fall Instant Messaging) benutzt werden. In diesem Zusammenhang haben wir darauf hingewiesen, dass der Erfolg dieser Aktivitäten auch damit zu tun hat, dass es sich beim Instant Messaging um ein neues Medium handelt und die Benutzer noch nicht so sensibilisiert sind, wie dies z. B. bei der Verwendung von E-Mail zur Malware-Verbreitung der Fall ist.

Dasselbe trifft auch auf Vishing zu. Sicherheitsfirmen, Finanzinstitute und die Medien weisen seit einiger Zeit recht umfangreich und eindringlich auf die Gefahren durch Phishing hin. Dabei lag und liegt der Fokus vor allem auf Phishing-Versuchen per E-Mail. Ein neuer Kommunikationskanal wie VoIP wird für eine gewisse Zeit eine wesentlich höhere Erfolgsquote aufweisen als herkömmliche Phishing-Methoden.

Es ist davon auszugehen, dass dies bei jedem neuen Kanal der Fall sein wird. Daher möchten wir Ihnen als allgemeinen Ratschlag zum Schutz gegen Betrugsversuche, gleich über welches Medium und mit welcher Technik, Folgendes ans Herz legen:

Lassen Sie immer dann, wenn Sie aufgefordert werden, Informationen über sich selbst preiszugeben, ein gesundes Maß an Skepsis walten.

VIRUSWARNUNGEN

Medium risk
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2008-07-04 (UTC 13:16)

Sicherheitsinfo

>>	Der Jahresbericht des Internet Crime Complaint Center für 2007
>>	2007

Sicherheitshinweise

>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Juni 2008
>>	Drei wichtige Updates für Microsoft-Betriebssysteme im Mai 2008

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.