Telefon-Phishing, im Fachjargon Vishing (Voice Phishing) genannt, wird als Angriffsvektor in Unternehmen immer beliebter. Angreifer spähen interne Strukturen und Verantwortlichkeiten aus, fragen als IT-Mitarbeiter nach Passwörtern oder weisen als Chef die Überweisung von Geldbeträgen an (CEO-Fraud). Mit Hilfe von Nummern-Spoofing ist es dabei ein Kinderspiel, sich als interner Anrufer auszugeben.
IT-Seal führt Vishing-Angriffe im Rahmen von Social Engineering-Simulationen durch.
Ein Telefonmitschnitt: Gegeben sind lediglich der Name, die Telefonnummer und die E-Mail-Adresse des Mitarbeiters. Diese können häufig über die Internetpräsenz des Unternehmens oder einen Anruf bei der Zentrale in Erfahrung gebracht werden.
Mitarbeiter: *abhebend* „Mustermann.“
Angreifer: „Guten Tag Herr Mustermann, Schmitz hier aus der IT.“
Mitarbeiter: „Hallo.“
Angreifer: „Ich hatte Ihnen letzte Woche eine Mail geschrieben, in der es um ein Netzwerk-Update geht. Ich gehe gerade eine Liste der Leute durch, die darauf noch nicht geantwortet haben und Sie sind eine von diesen Personen.“
Mitarbeiter: „Ach, tatsächlich? Worum ging es denn da? Ich weiß jetzt nicht genau, was Sie meinen.“
Angreifer: „Wir wollen in Zukunft versuchen, Updates über ein Plug-In für den Remote-Desktop zu installieren, damit wir nicht ständig bei Ihnen persönlich aufkreuzen müssen. *Sympathielacher* In der Mail war ein Link zum internen Server, um zu prüfen, ob das schon bei Ihnen funktioniert oder ob wir tatsächlich nochmal persönlich zu Ihnen an den Platz müssen.“
Mitarbeiter: „Ok, komisch. Ich hab keine Mail gesehen, aber warten Sie kurz, ich schaue gerade nochmal nach.“
Angreifer: „Danke, aber machen Sie sich keinen Stress. Manche sind einfach zeitlich noch nicht dazu gekommen, bei Anderen kam die Mail auch nicht an.“
Mitarbeiter: „Tut mir leid, ich habe keine Mail erhalten. Wann soll das denn gewesen sein?“
Angreifer: „Die Mails sollten am Mittwoch oder Donnerstag letzter Woche rausgegangen sein. Ist aber alles kein Problem. Wenn Sie gerade am PC sind, schick ich Ihnen einfach nochmal die Mail und wir machen das direkt hier am Telefon, falls Sie zwei Minuten haben. Ich schicke Ihnen einfach nur nochmal den Link zu unserem Server, ist schon was angekommen?“
Vorab wurde eine E-Mail vorbereitet mit gefälschtem Absender und einer Linkadresse zu einer Seite mit sogenanntem „Drive by Download“, das heißt es wird bei Besuch der Seite direkt eine Datei heruntergeladen. Sowohl die Absenderadresse als auch der Link wurden so verändert, dass sie im Gewand des Unternehmens daherkommen. Beispiel: Der Link www.it-seal.de-safe.de/update/datei.exe sieht auf den ersten Blick so aus, als leite er auf die Seite von IT-Seal.
Mitarbeiter: „Ahja, hier kommt grad was rein. Was soll ich jetzt machen?“
Angreifer: „Einfach auf den Link klicken. Sie sollten automatisch zum Plug-In auf dem internen Server weitergeleitet werden.
Mitarbeiter: „Hier steht jetzt, dass das keine verifizierte Quelle ist?!“
Angreifer: „Genau, das soll sogar so sein, weil wir ja auf Netzwerkeinstellungen zugreifen, wenn wir prüfen, ob eine Remote-Installation geht. Die Meldung soll verhindern, dass Sie nicht einfach irgendwas anklicken, was ungewollt ist.“
Mitarbeiter: „Wenn Sie das sagen… *Sympathielacher* Also jetzt sagt ‚der‘ mir hier, ich kann speichern oder ausführen.“
Angreifer: „Können Sie direkt ausführen. Das sollte automatisch funktionieren. Dann sollte eine Infobox aufgehen, in der einiges an Meldungen steht, wichtig ist nur, ob am Ende immer ein OK angezeigt wird oder nicht. Ansonsten müssen wir doch noch persönlich vorbeikommen.
Mitarbeiter: „Also das Fenster sehe ich, und hier steht zweimal OK…“
Zu diesem Zeitpunkt hat der Mitarbeiter die Datei ausgeführt hat und der Penetrationstest war erfolgreich. Der Angreifer hat mit der „Infobox“ sogar eine Bestätigung, dass die Datei erfolgreich installiert wurde. Um keinen Verdacht zu erwecken, wird das Gespräch aber noch freundlich beendet. Im schlimmsten Fall hat der Mitarbeiter im Anschluss nicht gemerkt, dass er einen Trojaner o. Ä. installiert hat.
WIE KONNTE DAS PASSIEREN? PSYCHOLOGISCHE TRICKS DER ANGREIFER
Idealerweise wird vor dem Anruf die ausgehende Telefonnummer so verändert, dass diese, ähnlich wie später die E-Mail-Absender und der Link zum „internen Server“, wie eine Nummer aus dem Unternehmen selbst aussieht. Dies ist heute sogar für technische Laien möglich.
Direkt zu Anfang des Gesprächs wird dem Mitarbeiter unterstellt, dass er einer Aufforderung nicht nachgekommen ist – es wird Druck und Schuldgefühl erzeugt. Das Ganze noch mit ein wenig Fachjargon gewürzt, und Herr Mustermann ist zunächst perplex und davon abgelenkt, herauszufinden, wer genau denn eigentlich anruft. Gerade in größeren Unternehmen sind „die aus der IT“ oft eine Gruppe, die unter sich bleibt und es ist nicht unüblich, dass der Anrufer dem Mitarbeiter nicht auf Anhieb bekannt vorkommt. Bei kleinen Unternehmen bleibt die Rolle des Praktikanten, der erst seit kurzem Teil der Firma und so natürlich noch unbekannt ist. Dem ersten Vorwurf schließt sich direkt eine Relativierung an – „Sie sind nicht der einzige, der noch nicht geantwortet hat“, sowie eine schnelle Lösungsmöglichkeit: „Wenn Sie gerade am PC sind, machen wir das direkt zusammen am Telefon. Das dauert keine zwei Minuten.“
Die letzte Hürde ist damit nur noch, einen Link zum Drive-by-Download per E-Mail zu schicken. Nachfragen zur Verifizierung oder andere Sicherheitsbedenken werden oft mit „das ist kein Problem“ (hier noch dreister: „das soll sogar so sein“) oder anderen Ausreden abgehandelt.
BEI VISHING-TESTS ERREICHT IT-SEAL EINE „ERFOLGS“-QUOTE VON ETWA 34% – AWARENESS-TRAININGS SIND UNUMGÄNGLICH
Im Angriffs-Test durch IT-Seal wird natürlich kein schadhafter Code in das Unternehmen eingeschleust. Die Tatsache, dass der Mitarbeiter eine Datei auf dem PC ausführt, reicht jedoch dazu aus, einen Keylogger zum Ausspähen von Passwörtern oder einen Trojaner zur Komplettübernahme des Systems zu installieren. Nach Wunsch des Auftraggebers wird der angerufene Mitarbeiter aufgeklärt, dass es sich um einen Vishing-Test handelt, und wie er besser hätte reagieren können.