Phishing, Smishing, Vishing: IT-Angriffe auf den Faktor Mensch
Um an geschützte Informationen von Unternehmen zu gelangen, nutzen Angreifer oft den Faktor Mensch. Neben dem bekannten Phishing kommen dabei weitere Methoden zum Einsatz, darunter auch Smishing und Vishing.
Phishing ist den meisten Menschen aus dem beruflichen und privaten Umfeld bekannt: Angreifer versuchen mit fingierten E-Mails an Zugangsdaten, Bankdaten oder andere Informationen der Empfänger zu gelangen. Dabei geben sich die Angreifer als bekannte Unternehmen oder Personen aus dem Umfeld der Empfänger aus.
In der Vergangenheit waren diese Angriffsversuche oft schlecht umgesetzt und für viele Menschen schnell erkennbar, beispielsweise durch auffällig viele Rechtschreibfehler und falsche Personennamen. Mittlerweile sind viele Phishing-Angriffe jedoch äußerst ausgefeilt und nur bei genauer Prüfung auch als solche erkennbar. Angreifer gelangen so beispielsweise über schadhafte Links in den Phishing-E-Mails an sensible Daten und richten damit allein für die deutsche Wirtschaft einen jährlichen Schaden im dreistelligen Milliardenbereich an.
So funktionieren Smishing und Vishing
Eine dem Phishing ähnliche Angriffsart ist das Smishing. Hierbei verwenden die Angreifer anstelle von E-Mails SMS-Nachrichten, mit denen sie ihren Opfern eine falsche Identität vortäuschen und versuchen an Daten zu gelangen. Da SMS-Nachrichten in der Regel sehr kurz sind, fällt es Kriminellen oft vergleichsweise leicht, die Identität beispielsweise des unternehmenseigenen IT-Supports oder eines Paketdienstes glaubwürdig vorzutäuschen. Auch beim Smishing nutzen Angreifer oft schadhafte Links. Diese können beispielsweise auf Websites führen, die die Nutzer zur Eingabe sensibler Anmeldedaten verleiten.
Demselben Prinzip folgt auch das Vishing. Im Gegensatz zu Phishing und Smishing nutzen Angreifer hierfür jedoch Sprachnachrichten oder Telefonanrufe, um ihren Opfern sensible Informationen zu entlocken oder sie zu Handlungen zu verleiten. Oft verwenden die Kriminellen hierfür KI-Unterstützung, mit der sie Stimmen glaubhaft imitieren können. Die von einem Vishing-Anruf betroffene Person wird dabei in der Regel unter Druck gesetzt, indem die Angreifer beispielsweise eine Notlage vortäuschen, die eine dringende Handlung seitens des Opfers erfordert. Durch diesen Überrumpelungseffekt lassen sich viele Betroffene dazu verleiten, der Aufforderung der Angreifer nachzukommen und geben sensible Daten heraus, gewähren Zugang zu Systemen oder tätigen Finanztransaktionen.
Häufige Einfallstore beim Social Engineering
| Phishing | Smishing | Vishing |
| E-Mails, mit denen Angreifer versuchen, an sensible Daten, Passworte und Ähnliches zu gelangen. | SMS-Nachrichten, in denen Angreifer eine falsche Identität vorgeben. Damit versuchen sie an Daten zu gelangen. | Angreifer geben sich in Sprachnachrichten oder Telefonaten als eine andere Person aus. Damit bewegen sie ihre Opfer zu Handlungen. |
Schutz durch Aufklärung der Mitarbeitenden
Sowohl Phishing als auch Smishing und Vishing zählen zu den sogenannten Social Engineering Angriffen. Bei diesen machen sich Angreifer soziale Beziehungen zu Nutze, um Daten zu erbeuten. Rein technische Schutzmaßnahmen genügen deshalb nicht, um diese Angriffsarten effektiv abzuwehren.
Für Unternehmen ist es entscheidend, dass sie ihre Mitarbeitenden dafür sensibilisieren, derartige Angriffe zu erkennen und sich im Fall des Falles sicherheitskonform zu verhalten. Hierzu sind regelmäßige Schulungen und Übungen empfehlenswert. Darüber hinaus ist eine unternehmensweite Sensibilisierung für die Bedeutung der Informationssicherheit sowie für die zuständigen Ansprechstellen erforderlich.
Quelle: IHK-GfI mbH