Phishing: Tatwaffe Telephon
Phisher nutzen per VoIP angeschlossene Telefonanlagen, um Bankkunden Informationen zur Person, Kontonummer und PIN zu entlocken.
Um sich vor Phishing zu schützen, genügt es nicht mehr, nur Webseiten argwöhnisch unter die Lupe zu nehmen. Zukünftig müssen Anwender auch noch prüfen, welche Telefonnummer sie wählen. So berichtet der Anbieter von sicheren E-Mail-Diensten Cloudmark von einem Fall, in dem die Phisher gefälschte Mails versandten, in denen der Empfänger aufgefordert wurde, die Hotline einer Bank unter der angegebenen Nummer anzurufen. Dort erwartete ihn allerdings nicht die Hotline seiner Hausbank, sondern eine per VoIP angeschlossene Telefonanlage der Phisher, die sich als automatisches Sprachsteuerungssystem der Bank ausgab. Zur weiteren Bearbeitung sollte der Anrufer dann Angaben zur Person, Kontonummer und PIN machen.
Laut Bericht soll sich das System der Phisher dem der echten Bank täuschend ähnlich angehört haben. Als Telefonanlage nutzten die Phisher dabei die Open-Source-Software Asterisk. Die Anbindung geschah über einen VoIP-Dienstleister, der ein Gateway für den Übergang vom Festnetz ins Internet anbot. Cloudmark geht davon aus, dass für den Angriff ein geknackter oder infizierter Server missbraucht wurde. Insgesamt seien bei dem aktuellen Vorfall drei unterschiedliche Nummern verwendet worden.
Zwar sei dies noch ein Einzelfall, laut Cloudmark könnten aber weitere Angriffe über VoIP erfolgen, da die Vorteile für die Betrüger klar auf der Hand liegen. Anrufe können auf jede beliebige IP-Adresse umgeleitet werden und an VoIP-Telefonnummern zu gelangen, sei kostengünstig und mit wenig Aufwand verbunden. Die Phisher könnten ihre Spuren so sehr gut verwischen.
Siehe dazu auch: (dab)
- Cloudmark Blocks New VoIP-based Phishing Attacks, Pressemitteilung von Cloudmark
