"Vishing": Identitätsklau über Internet-Telefonie

11. Juli 2006, 12:03
  • security
image

"Bitte geben Sie Ihre Kreditkartennummer ein."

"Bitte geben Sie Ihre Kreditkartennummer ein."
Internet-Telefonie, auch Voice-over-IP (VoIP) genannt, hat viele Vorteile: Telefongespräche zwischen den Anschlüssen eines Anbieters wie Skype sind gratis und solche in ein klassisches Fest- oder Mobilfunk-Netz meist günstig. Ausserdem gibt es über VoIP keine Langdistanz-Gespräche mehr. Ein Gespräch über Internet an eine Nummer in Turkmenistan kostet gleich viel, ob es vom Nachbardorf oder aus Australien erfolgt.
Zudem kann man mit einer Telefonie-Software auf dem PC recht viel raffinierte Sachen ohne grossen Aufwand bewerkstelligen. Zum Beispiel Anrufe automatisch umleiten oder Gespräche aufnehmen.
Ähnlich wie bei Spam, verlockt der tiefe Preis der Internet-Telefonie zu kriminellem Tun: "Vishing" nennt man den Versuch, über automatische Internet-Telefonieanrufe an finanziell interessante Daten von gutgläubigen Menschen heranzukommen. Offenbar gibt es in den USA tatsächlich bereits erste Versuche über "Vishing" an Kreditkarteninfos heranzukommen. Man nimmt an, dass die Diebe entweder einen Internet-Telefon-Anschluss unter falschem Namen bei einem "normalen" VoiP-Provider bestellen und hinter dieser Nummer eine automatische Anruf-Anlage bauen. Oder dann könnten sie ihre "Vishing"-Anrufe von irgendwo her über eine IP-Telefon-Nummer routen.
"War dialler"
Die US Firma Secure Computing beschreibt in einer Pressemitteilung von gestern Abend, wie so ein "Vishing"-Anruf ablaufen kann. Der automatische "War dialler" probiert alle Nummern eines Blicks (z.B. 043) durch. Nimmt jemand ab, wird eine Aufnahme abgespielt, in der suggeriert wird, eine Bank habe eine betrügerische Aktivität mit der Kreditkarte des "Gesprächspartners" festgestellt. Man solle doch bei der Nummer xy anrufen.
Dort wird man dann wiederum durch eine Aufnahme informiert, man sei bei der Kreditkarten-Verifikation angekommen und freundlich gebeten, die eigene Kreditkarten-Nummer einzugeben. Damit haben die Betrüger dann alle Informationen, um an Geld zu kommen: Eine Kreditkartennummer samt Namen und Adresse (durch Nachschlagen der Telefonnummer) und eine Telefonnummer.
Denkbar ist auch, dass weitere Infos wie PIN-Nummern, Bankkonte oder Geburtstagsdatum unter dem Vorwand der "Verifizierung" eingeholt werden.
Also: Banken versenden keine E-Mails mit der Aufforderung geheime Daten in einer Webseite abzuliefern und sie rufen auch nicht mit automatisierten Systemen an...
Genau gleich wie bei Spam und "Phishing" sind die neuartigen Betrugsversuche erst durch das Wunder der tiefen Kommunikationskosten im Internet möglich. (Christoph Hugenschmidt)
Beim Security-Anbieter Websense gibt es eine Audiodatei mit einem Beispiel eines "Vishing"-Anrufs.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023