Bundesamt für Sicherheit in der Informationstechnik

G 5.135 SPIT und Vishing

Der Einsatz von VoIP bietet viele Möglichkeiten, unter Vorspiegelung falscher Tatsachen an Informationen zu gelangen oder unaufgeklärte Benutzer auszunutzen. Über VoIP können Anbieter beispielsweise kostengünstig unerwünschte Werbung für ihre Produkte oder Dienstleistungen platzieren. SPIT (Spam over IP-Telephone), ebenso wie SPAM, der in ähnlicher Form schon bei E-Mail sehr verbreitet ist, kosten die Empfänger Zeit und Geld. Je nach Häufigkeit sind SPIT-Anrufe nicht nur eine Belästigung, sondern sie stören unter Umständen die Arbeitsabläufe in einer Institution erheblich.

Der Versand von SPIT ist für einen Anbieter vergleichsweise günstig. Kann eine paketorientierte Verbindung zu einem Benutzer über das Internet hergestellt werden, so fallen für den Anbieter keine weiteren Telefonkosten an. Durch eine entsprechend dimensionierte Internetanbindung kann er zahlreiche Werbeangebote zur gleichen Zeit versenden.

SPIT kann beispielsweise eine Sprachwerbeansage sein. Dabei wird nach Annahme des Anrufs eine Aufnahme abgespielt. Auf diese Art und Weise können Produkte oder Dienstleitungen angepriesen werden. Es kann aber auch SPIT mit betrügerischer Absicht versendet werden. Ein Beispiel hierfür ist Vishing.

Bei Vishing (Voice Phishing) handelt es sich um eine Angriffsform, um an persönliche Informationen eines oder mehrerer Opfer zu gelangen. Hierbei ruft ein VoIP-basierter Dialer eine große Anzahl von gesammelten VoIP-Adressen an. Bei Rufannahme wird eine Sprachmitteilung abgespielt, die dem Opfer vortäuschen soll, dass der Anruf von einer vertrauenswürdigen Institution, wie dem Kreditinstitut, bei dem er Kunde ist, stammt. Während des Telefonats werden die Opfer aufgefordert, Informationen wie Kontonummern, PIN s und TANs preiszugeben.

Vishing

Der Begriff "Vishing" steht für "Voice Phishing" oder "Phishing via VoIP" und bezeichnet den organisierten Datenklau via Telefon, indem Benutzer ähnlich wie beim Phishing (siehe G 5.157 Phishing und Pharming ) durch gut ausgedachte Geschichten animiert werden, vertrauliche oder finanzrelevante Informationen weiterzugeben. Hierbei kann sowohl die Angriffsvorbereitung als auch der Informationsabgriff telefonisch erfolgen.

  • Bei einer Form von Vishing rufen VoIP-basierte Dialer eine große Anzahl von gesammelten VoIP-Adressen an. Bei Rufannahme wird eine Sprachmitteilung abgespielt, die dem Opfer vortäuschen soll, dass der Anruf von einer vertrauenswürdigen Institution, wie dem Kreditinstitut, bei dem er Kunde ist, stammt. Während des Telefonats werden die Opfer aufgefordert, Informationen wie Kontonummern, PINs und TANs preiszugeben.
  • Bei einer anderen Angriffsvariante verschicken Betrüger E-Mails, die mit gut erfundenen Texten dazu auffordern, unter einer angegebenen Telefonnummer eine Voice-Box anzurufen. Durch diese Voice-Box werden dann gezielt PIN-Daten und andere vertrauliche Informationen abgefragt. Diese Angriffsform kann gefährlich sein, weil es den Ratschlag vieler Finanzinstitute ausnutzt, nicht auf vorgebliche E-Mails zu reagieren, sondern telefonischen Kontakt zu suchen.

Ziel von Vishing ist es, möglichst viele Opfer irrezuführen und zur Herausgabe ihrer Zugangsdaten, Passwörter, Kreditkartendaten etc. zu bewegen. Dadurch können Betrüger genügend Informationen sammeln, um beispielsweise im Namen des Kunden Geld von Konten abzubuchen: Namen, Kreditkarten- und Kontonummer, PIN- und TAN-Nummern.

Beispiele:

  • Ein Kunde erhält eine elektronische Nachricht von seinem Kreditinstitut. Die Absenderadresse ist gefälscht, was dem Opfer nicht auffällt. In der Nachricht wird er dazu animiert, seinen Online-Banking-Zugang zu prüfen, indem er seinen Berater über eine Mailbox informiert. Beim Anruf wird eine Sprachmitteilung abgespielt, die dem Opfer vortäuschen soll, dass der Anruf von einer vertrauenswürdigen Institution, wie dem Kreditinstitut, bei dem er Kunde ist, stammt. Während des Telefonats werden die Opfer aufgefordert, Informationen wie Kontonummern, PINs und TANs preiszugeben.
  • In einer E-Mail wird glaubhaft dargestellt, dass die Kredit- oder EC-Karte missbraucht worden sei. Außerdem werden die Angeschriebenen aufgefordert, die Angelegenheit "sicher" telefonisch zu klären. Unter der genannten Telefonnummer werden die Kunden aufgefordert, ihre persönlichen Zugangsdaten per Tasteneingabe preisgeben, um das Problem zu beheben.

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK