ra2 studio - Fotolia
Wie funktioniert Betrug mit Voicemail Phishing?
Angreifer nutzen E-Mail-Benachrichtigungen zu Voicemails für Phishing. Unser Experte erklärt, wie sich Unternehmen dagegen schützen können.
Es gibt einen neuen Angriff mit Malware, der Voicemail für die Infizierung der Opfer nutzt. Können Sie bitten erklären, wie Voicemail Phishing Scam funktioniert? Wie können Unternehmen Voicemail Malware erkennen und sich dagegen verteidigen?
Vor Social Engineering gab es relativ wenige Exploits, die mithilfe herkömmlicher Telefonservices durchgeführt wurden. Moderne Kriminelle haben aber Wege gefunden, Leute durch Voicemail Phishing auszutricksen. Das Moderne an der Sache ist, dass die Sprachnachricht als Anhang eines E-Mails geschickt wird. Damit das funktioniert, schickt der Angreifer eine Phishing-Mail. Die Nachricht sieht legitim aus und ist so gestaltet, als würde sie den Empfänger über den Erhalt einer Voicemail in Kenntnis setzen. Diese gefälschte Nachricht enthält einen böswilligen Anhang. Sobald der Empfänger diese angehängte Datei öffnet, führt sich die Malware auf dem Endgerät aus.
Unternehmen können Malware erkennen und sich dagegen verteidigen, die Voicemail als Köder benutzt. Die Firmen verwenden dafür Tools für Antispam und Antiphishing, die entsprechend Mails überwachen. Alternativ dazu ließe sich ein netzwerkbasiertes Antimalware-Tool einsetzen, das entweder den potenziellen Download von Malware verhindert oder die C&C-Kommunikation (Command and Control) blockiert.
Darüber hinaus könnten Unternehmen die Anwender schulen, beim Öffnen von anscheinend legitimen Anhängen vorsichtiger zu sein. Multifunktionsdrucker, Faxgeräte, Voicemail und andere Systeme, die Benachrichtigungen aussenden, sollten so konfiguriert sein, dass sie relevante Details und Markenzeichen der Firma beinhalten. Das hilft den Mitarbeitern, Betrug durch Phishing einfacher zu erkennen. Ein gezielter Angriff könnte die angemessene Konfiguration umgehen und das Markenzeichen fälschen. Allerdings sind dann für einen Angriff mehr Ressourcen notwendig. In der Schulung für das Sicherheitsbewusstsein sollte das Unternehmen erwähnen, dass Angestellte E-Mail-Anhängen gegenüber skeptisch sein sollten, die nicht zum entsprechenden Sender passen.
Die gleichen Verteidigungsmaßnahmen können Sie gegen Phishing-Versuche einsetzen, die sich als gescannte Dokumente, Fax-Nachrichten oder andere Arten an E-Mail-Benachrichtigungen tarnen. Dazu gehören auch Geschenkkarten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!