Betrug (zunehmend) wahrscheinlich: Was ist der Grund für den Anstieg von Vishing?

Es handelt sich weder um hochmoderne KI-Malware noch um eine äußerst große Sicherheitslücke für Remote-Codeausführung.

Es ist einfach nur ein Telefonanruf.

„Wir führen Social-Engineering-Kampagnen für unsere Kunden durch, bei denen das Ziel darin besteht, sich an den eigenen Help Desk zu wenden und zu erfahren, ob wir uns als Mitarbeiter ausgeben können, um sein Passwort zurückzusetzen“, erklärt Carruthers. „Bis heute waren wir jedes Mal erfolgreich, wenn wir das getan haben.“ 

Als Mitglied des X-Force-Teams von IBM setzt Carruthers ihre Fähigkeiten für den guten Zweck ein, indem sie Scheinangriffe durchführt, um Kunden bei der Ermittlung und Behebung von Sicherheitslücken zu helfen. 

Aber auch viele böswillige Hacker setzen in den letzten Monaten Vishing- oder „Voice-Phishing “-Angriffe ein. Laut einem aktuellen CrowdStrike-Bericht ist der Vishing-Betrug, bei dem betrügerische Telefonanrufe genutzt werden, um Menschen dazu zu verleiten, vertrauliche Informationen weiterzugeben,Malware herunterzuladen oder Geld an Kriminelle zu senden, im Jahr 2024 um 442 % gestiegen.

Carruthers und andere Cybersicherheit Experten erwarten, dass die Vishing-Instanzen weiterhin steigen werden, da die Bedrohungsakteure nach Möglichkeiten suchen, die Sicherheitskontrollen von Unternehmen zu umgehen.

Wie Carruthers es ausdrückt: „Es ist viel einfacher, eine E-Mail herauszufiltern, als jemanden daran zu hindern, den Anruf zu beantworten.“ 

Im Bereich der Cybersicherheit liefern sich Angreifer und Verteidiger seit langem ein Wettlauf. Angreifer identifizieren eine Schwachstelle und nutzen diese aus. Verteidiger patchen die Schwachstelle und verstärken den Schutz, um ähnliche Angriffe in Zukunft zu verhindern. Anschließend wiederholen.

Aber da die Sicherheitslösungen immer fortschrittlicher und die Sicherheitspraktiken immer ausgefeilter werden, haben es Hacker immer schwerer, ausnutzbare Schwachstellen zu finden. 

Als Reaktion darauf haben sich viele Angreifer auf weniger patchbare Ziele konzentriert: Menschen.

Laut dem IBM X-Force Threat Intelligence Index sind Phishing und der Missbrauch gültiger Benutzerkonten zwei der drei häufigsten Methoden, mit denen Cyberkriminelle heute in Unternehmensnetzwerke eindringen. 

Durch das Kapern legitimer Konten können sich Angreifer als echte Benutzer ausgeben und viele Sicherheitsmaßnahmen umgehen, während sie sich lateral bewegen und Berechtigungen ausweiten. 

Während E-Mails und SMS früher die Standardmethoden von Phishing-Angreifern überall waren, führen diese Methoden im Zeitalter fortschrittlicher Spamfilter eher nicht zum Erfolg. 

Bei Telefonanrufen sieht das anders aus. 

„Wenn Sie sich jetzt viele größere Data Breaches ansehen, werden Sie feststellen, dass es eigentlich ein Telefonanruf war, der den Verstoß auslöste“, sagt Carruthers. „Jemand, der sich als Mitarbeiter ausgab, rief den Help Desk an, um ein Kontopasswort zurückzusetzen. Jetzt haben sie die Kontrolle über dieses Konto und können in viele Systeme eindringen.“ 

Service-Anbieter haben Anruffilter für Spam-Anrufe eingeführt, um Telefonbetrug zu bekämpfen. Diese sind jedoch nicht so zuverlässig wie E-Mail- und SMS-Filter. 

Darüber hinaus nutzen Mitarbeiter dank der Beliebtheit von BYOD-Programmen (Bring Your Own Device) häufig private Smartphones für geschäftliche Aufgaben. Unternehmen haben oft viel weniger Kontrolle über die Sicherheit dieser Geräte als z. B. über die E-Mail-Konten des Unternehmens.

Aber das vielleicht Gefährlichste am Vishing ist, dass, wenn das Opfer einen Anruf entgegennimmt, es wenig gibt, was jemand anderes tun kann, um einzugreifen. 

Ein Telefongespräch bietet nicht die Gelegenheiten für eine ungestörte Prüfung wie eine E-Mail. Betrüger nutzen diese Tatsache zu ihrem Vorteil, indem sie das Gefühl der Dringlichkeit verstärken und das Opfer mit Fragen und Informationen bombardieren. Das Opfer hat keinen Raum, innezuhalten und darüber nachzudenken, ob es sich alles zusammenrechnet.

All diese Faktoren machen Vishing bemerkenswert effektiv. Carruthers kennt diese Tatsache aus erster Hand, sowohl aus ihrer Zeit als People Hackerin als auch als eine der Moderatorinnen des Social Engineering Community Vishing Wettbewerbs (SECVC) bei DEF CON.

Bei dem Wettbewerb treten 14 Teams gegeneinander an, um zu sehen, wer während eines Live-Vising-Anrufs, der von einer schalldichten Kabine vor der Zielgruppe aus stattfindet, die meisten Ziele erreichen kann. 

„Es geht nicht darum, zu sagen: ‚Schauen Sie, wie gut wir in diesem Social-Engineering-Sachen sind‘“, erklärt Carruthers. „Es soll zeigen, wie verbreitet Social Engineering ist und was wirklich dabei passiert. Viele Leute denken, dass es nur um E-Mails geht. Sie vergessen die Telefonanrufe und welche Erfolge damit erzielt werden.“

Beim jüngsten Wettbewerb, so Carruthers, hat jedes Team zumindest einige seiner Ziele erreicht, d. h. es hat irgendeine Art von Informationen extrahiert oder Menschen zu riskanten Handlungen gebracht.  

Mit anderen Worten: Vishing-Scams scheinen immer etwas von ihren Zielen zu erhalten. Die Gegenmaßnahmen von niemandem sind perfekt. 

Als Mitglied von X-Force hat Carruthers vielen Unternehmen dabei geholfen, ihre Schulungen zum Sicherheitsbewusstsein zu überarbeiten. Ihrer Erfahrung nach behandeln die meisten Schulungsprogramme Vishing-Betrug überhaupt nicht. Wenn sie es tun, hören sie bei wichtigen Ratschlägen wie „Geben Sie Ihr Passwort nicht am Telefon heraus“ auf.

„Wir haben Tricks, um das zu umgehen“, sagt Carruthers. „Ich werde am Telefon nicht nach Ihrem Passwort fragen. Ich werde sagen: „Gehen Sie auf diese Website und geben Sie Ihren Benutzernamen und Ihr Passwort ein. Sagen Sie mir nichts. Das ist nicht sicher.“

Natürlich handelt es sich um eine Website, die von Carruthers oder schlimmer noch einem echten Bedrohungsakteur kontrolliert wird, und jetzt haben sie Ihre Zugangsdaten.

Während Telefonanrufe für Hacker eine Low-Tech-Methode sein mögen, sind einige der von ihnen genutzten Methoden ausgesprochen futuristisch. 

Mit der Entwicklung von Tools der künstlichen Intelligenz (KI), die Videos und menschliche Stimmen erzeugen können, können Betrüger überzeugende Deepfakes von echten Menschen erstellen, was zu äußerst gezielten Angriffen führt.

„Vielleicht sind Sie daran gewöhnt, wöchentlich eine Videobotschaft von Ihrem CEO zu sehen“, sagt Carruthers. „Jetzt können Hacker ihre eigene Version dieser wöchentlichen Nachricht erstellen und Sie auffordern, etwas Bestimmtes zu tun. Würden Sie es erkennen?“

Letzten Sommer versuchten Betrüger, einen Sicherheitsforscher bei Palo Alto Networks zu täuschen, indem sie KI einsetzten, um die Stimme seiner Tochter nachzuahmen. 

Die Weiterentwicklung der generativen KI befürchtet, dass sie im schlimmsten Fall zu autonomen, massiv skalierbaren Vishing-Operationen führen könnte. 

Es ist eine Spekulation, aber sie beruht auf Fakten. Carruthers selbst hat sich gegen einen KI-gestützten Betrüger gestellt und gewonnen, aber knapp.

Auf der letztjährigen DEF CON vertraten Carruthers und ihr Partner die Menschen bei der ersten John Henry Competition, benannt nach dem amerikanischen Volkshelden, der einen dampfbetriebenen Gesteinsbohrer in einem Stahlfahrwettbewerb besiegte. Ihr Gegner: ein intelligenter Chatbot mit Sprachsynthesefunktionen, die speziell für Vishing-Schemata entwickelt wurden.

Ziel des Wettbewerbs war es, herauszufinden, wer in einer Reihe von Live-Vishing-Anrufen die meisten Punkte erzielen konnte. 

„Am Anfang war ich zu überheblich.“, erinnert sich Carruthers. „Ich dachte: Wir werden gewinnen, ohne Zweifel. Die Stimme der KI wird wahrscheinlich ins Stocken geraten oder seltsame Fragen zustellen. Etwas wird schiefgehen.“

Und etwas ist schiefgelaufen, aber bei Carruthers, nicht bei dem Bot.

„Als ich hörte, wie es anfing zu rufen, sagte ich: ‚Oh nein‘“, sagt sie. 

Der Chatbot hat sich in ihren Worten „fantastisch“ geschlagen, da er unterschiedliche Taktiken und Stimmen für verschiedene Anrufe verwendet hat. Es war in der Lage, Informationen über die Systeme der Menschen zu sammeln und sie sogar davon zu überzeugen, Maßnahmen wie den Besuch bestimmter Websites zu ergreifen.

„Betrachten Sie das Ganze vom Standpunkt eines menschlichen Anwenders aus“, sagt Carruthers. „Wenn man in der Lage ist, einen Schritt zurückzutreten und den Computer all diese Dinge für einen erledigen zu lassen, ist das ziemlich erschreckend“, 

Wie in der Geschichte von John Henry haben die Menschen gewonnen, wenn auch nicht viel. (Und wo der mythische Henry an den Folgen der Anstrengung starb, nachdem er den automatischen Bohrer besiegt hatte, sind Carruthers und ihr Partner noch am Leben.)

Aber sie werden möglicherweise nicht ewig gewinnen.

„Ich würde sagen, wenn wir Jahr für Jahr so fortfahren, wird es definitiv einen Punkt geben, an dem die KI die Menschen überholen wird“, sagt Carruthers.

Da die Zahl der Vishing-Vorfälle voraussichtlich weiter steigen wird, müssen Unternehmen ihre Abwehrmaßnahmen verstärken. In Anbetracht der Art des Vishings sollte der Schwerpunkt darauf liegen, die einzelnen Mitarbeiter so auszustatten, dass sie betrügerische Anrufe besser erkennen und darauf reagieren können.

„Angreifer verlassen sich darauf, dass Sie schnell handeln“, sagt Carruthers. "Verlangsamen Sie also wirklich und bewerten Sie so viel wie möglich jede Art von Kommunikation, die Sie erhalten."

Vishing-Anrufe werden oft als dringende Angelegenheiten dargestellt, die das Opfer schnell erledigen muss, oder als Fehler. Wie Carruthers betont, können legitime Geschäfte, selbst dringende legitime Geschäfte, in der Regel darauf warten, überprüft zu werden. 

Kein Anbieter wird Ihr Konto kündigen, wenn Sie nicht innerhalb der nächsten fünf Minuten zahlen. Der CEO wird Amazon-Geschenkkarten nie so dringend brauchen, dass er nicht nach weiteren Einzelheiten fragen kann. 

Apropos Verifizierung: Das Aufkommen des KI-Klonens hat die sprachbasierte Verifizierung praktisch unbrauchbar gemacht. 

„Nehmen wir an, ich bekomme einen Anruf von jemandem, der sagt, es sei meine Oma“, erklärt Carruthers. „Die Zahl stimmt. Es klingt sogar wie sie. Aber irgendetwas stimmt hier nicht. Sie sagt, sie braucht Hilfe und möchte, dass ich ihr Geld überweise. Was mache ich?

Carruthers empfiehlt, mit anderen Menschen, auch mit Freunden oder Verwandten, Codewörter zu vereinbaren. Es muss kein formeller Passcode sein. Dabei kann es sich um persönliche Informationen handeln, die nur die echte Person kennt, z. B. ein Buch, das sie Ihnen kürzlich empfohlen hat. (Eine Führungskraft bei Ferrari hat letztes Jahr einen KI-Vishing-Betrug vereitelt, indem sie genau diese Taktik anwendete.)

Unternehmenssicherheitsteams können sich nicht darauf verlassen, dass jeder einzelne Mitarbeiter eine ausreichend enge persönliche Beziehung hat, damit die Verifizierung per Buch die Arbeit in großem Maßstab ermöglicht. Unternehmen können jedoch mehrschichtige Überprüfungsprozesse einrichten, die mehrere Beweispunkte verwenden, um die Identität des Anrufers für jede Anfrage zu bestätigen, vom Zurücksetzen eines Passworts bis zur Bezahlung einer Rechnung.

„Je mehr Schichten wir verwenden können, um jemanden zu bestätigen, desto besser“, sagt Carruthers. „Und verwenden Sie keine Dinge, die leicht gefunden oder gefälscht werden können, wie z. B. eine Stimme, ein Geburtsdatum oder die Straße, in der jemand aufgewachsen ist.“

Zu den einzigartigen und schwer zu fälschenden Faktoren, die Carruthers festgestellt hat, gehören die Rotation von Firmencodewörtern, die Tatsache, dass die Manager für sie bürgen, und das Senden von Einmalpasswörtern an vorregistrierte Geräte.

(Die Voranmeldung ist wichtig. Andernfalls können Betrüger einfach eine Nummer angeben, die sie kontrollieren.)

Unabhängig davon, welche Faktoren ein Unternehmen nutzt, muss es mehr als einen davon verwenden.

„Bei einem Kunden, der ein rotierendes Firmencodewort verwendete, konnten wir das Wort aus jemandem herauskitzeln, sodass es uns am Ende nicht aufhielt“, sagt Carruthers. „Deshalb bin ich ein so großer Fan von mehreren Dingen.“