Themenspecial VoIP Sicherheit

Die Risiken bei der Internet-Telefonie

Versuchter Identitätsklau und Werbeanrufe in großem Stil
Von Jörg Stroisch

Es gibt einige mögliche Angriffsszenarien, zum Beispiel den Lockanruf zur Weiterleitung an eine kostenpflichtige Nummer und den Werbeanruf zur automatisierten Anbahnung eines Geschäfts. Im ersten Fall nutzen die Spitter die Ansage dazu, den Angerufenen auf eine kostenpflichtige Nummer zu leiten. Im zweiten Fall wird dem Angerufenen ein Geschäft unterbreitet, welches möglicherweise nicht zu seinen Gunsten ausgeht.

Identitätsklau über das Telefon

Ein weiterer Untertyp von Spitting ist der versuchte Identitätsklau per Telefon, das so genannte Vishing. Ein Vishing-Anruf könnte folgendermaßen beginnen: "Guten Tag. Dies ist ein automatisierter Anruf ihrer Bank. Durch einen massiven Missbrauch unserer Konten müssen wir Sie heute bitten, Ihre Kontendaten telefonisch zu bestätigen." Vishing steht dabei für "Voice-over-IP-Phishing", definiert also den unberechtigten Identitätsklau durch Kriminelle per Telefon. Phishing ist dabei die mittlerweile bekannte Methode, per Mail Kontendaten auszuspähen.

Obwohl oft recht durchsichtig, geschieht dies mit großem Erfolg: Alleine in Berlin wurden so laut eco-Verband der deutschen Internetwirtschaft im ersten Halbjahr 2006 153 Fälle mit einem Schaden von 730 000 Euro registriert. Bundesweite Daten gibt es nicht, aber die Tragweite des Problems lässt sich auch schon an den Berliner Zahlen gut abschätzen.

Auch bei Vishing gibt es mehrere mögliche Angriffsszenarien

Foto: 1&1 Bei der Spam-Mail mit Rufnummer nutzen die Vishing-Verursacher gezielt die Aussage der Banken aus, dass diese Kontendaten nicht per Mail, sondern allenfalls persönlich erfragen würden. Und in der Tat: Jeder Telefonbanking-Kunde kennt die standardisierte Anfrage nach Kontonummer und PIN irgendwann im Verlauf des Telefonbanking-Menüs. In einer E-Mail wird das Opfer also nicht mehr zum Klicken eines Links aufgefordert, sondern zum Anruf einer Nummer. Der Nachteil für den Verbraucher: Mögliche Schutzmechanismen der Telefonieanbieter greifen vermutlich nicht, da der Verbraucher selbst anruft und nicht angerufen wurde. Alternativ können die Aufrufe auch per Instant Messaging gestartet werden.

Beim so genannten Call-Vishing ruft ein Automat eine Liste von Nummern an. Eine Standardansage fordert zur Abgabe sensibler Daten, wie etwa Kontoverbindung, PIN, TAN-Listen, Kreditkartennummer, eBay- oder Paypal-Account-Daten auf.

vorherige Seite:
Betrug und Belästigungen werden rasant zunehmen
nächste Seite:
Die Gefahr liegt in der Kombination

Weitere Artikel aus dem Themenmonat Voice over IP