„Vishing“, VoIP-Phishing, ist laut Secure Computing die neueste Masche. Dabei sind verschiedene Methoden denkbar:
Zum einen bedienen sich die Täter eines IP-basierten „War Dialers“, der automatisiert regionale Telefonnummern anruft. Sobald die Zielperson das Telefon abnimmt, läuft ein Band ab, das dem Hörer beispielsweise Folgendes mitteilt: „Ihre Kreditkarte wurde missbraucht. Bitte rufen Sie umgehend folgende Nummer an.“ Letztere ist oftmals regional oder entspricht dem Sitz des Kreditinstituts. Folgt das Opfer dieser Aufforderung, ist am anderen Ende der Leitung ein automatisches Sprachsystem eingerichtet, das dazu auffordert, geheime Zugangsdaten bekannt zu geben.
Teilweise versuchen die Täter, ihre Opfer weiterhin mit einer gefälschten E-Mail zu täuschen. Die Opfer werden darin aber nicht mehr aufgefordert eine bestimmte Website aufzusuchen, sie sollen vielmehr wiederum eine in der E-Mail angegebene Telefonnummer anrufen. Ziel eines solchen Angriffs war nach einem Bericht von John Leyden auf www.theregister.com z.B. die Santa Barbara Bank & Trust.
In einer weiteren Variante des Phishing mit Voice over IP wird das Opfer direkt von der anrufenden Computerstimme unter einem Vorwand dazu gebracht, seine geheimen Zugangsdaten preiszugeben.
Bisher sind diese Angriffsmethoden hauptsächlich in den USA aufgetreten. Es ist nur eine Frage der Zeit, bis ähnliche Angriffe auch in Deutschland ausgeübt werden. Während die Nutzer mittlerweile für Angriffe mit gefälschten E-Mails und Websites einigermaßen sensibilisiert sind, fehlt ein solches Problembewusstsein für den Kommunikationskanal Telefon bisher fast vollständig.
Weiterhin berichten die Virenexperten von F-Secure in ihrem Weblog (http://www.f-secure.com/weblog/) von Angriffen per SMS. Das Opfer erhält eine Kurznachricht mit dem Hinweis, dass es sich für einen Dating-Service angemeldet hat. Dieser Service soll 2 $ pro Tag kosten. In der Nachricht ist zudem eine Website angegeben auf der man sich angeblich von diesem Service abmelden kann. Tatsächlich wird auf der Website ausschließlich die Handynummer des Opfers abgefragt und nach einem Klick auf den Übermittlungsbutton wird ein Trojaner installiert. Ein solcher Angriff ließe sich auch problemlos für die Vorbereitung eines Phishing Angriffs nutzen. In solchen Kurznachrichten würde das Opfer um Rückruf unter einer in der Nachricht angegebenen Nummer gebeten. Dort würden dann wieder geheime Zugangsdaten abgefragt. Nach Angaben von F-Secure hat es einen solchen Angriff bereits im Oktober letzten Jahres in China gegeben.
Fazit dieser Entwicklung ist, dass man keiner Quelle und keinem Kommunikationskanal trauen kann, wenn dort nach geheimen Zugangsdaten gefragt wird.
Quelle: www.a-i3.org