Betrüger im Web nutzen nicht nur Phishing-Mails, sie „phishen“ auch per Telefon, um sich höchstpersönlich in einem Zwiegespräch  Informationen zu beschaffen, mit der sie ein Computersystem entern können. Das beginnt bei den weit verbreiteten gefakten IT- Service-Techniker-Anrufen, die Computernutzer (privat genauso wie in Unternehmen) animieren wollen, ihren Rechner „upzudaten“, um an deren Daten zu gelangen, und endet bei Anrufen in Callcentern, um an Logindaten, etwa von Mobiltelefonkunden, zu gelangen.

Hektik und Stress vortäuschen – ein perfekter Social Engineering-Trick

Wie einfach das ist, demonstrierten die beiden Social-Engineer-Hacker Chris Hadnagy und Jessica Clark bereits während der größten Hackerkonferenz der Welt, der Defcon, im Jahr 2016 in Las Vegas. Alles was es dazu braucht, ist ein Telefon, einen Computer und ein YouTube-Video „Baby Crying Sound“, damit man während des Anrufs bei der Hotline Baby-Geschrei als „Hintergrundgeräuschkulisse“ schalten kann: Innerhalb weniger Minuten hatte sich Jessica Clark unter Vorspiegelung, sie sei eine gestresste Mutter mit einem weinenden Baby, die Zugangsdaten zum Mobilfunkanschluss „ihres Mannes“ beschafft. Sie konnte Einstellungen vornehmen lassen, hatte dessen private Mail-Adresse erfahren und die Logindaten samt Passwort geändert. Die soziale Manipulation ist gelungen.

Vishing (Voice Phishing) ist gegenwärtig sehr populär, in vielen Fällen bezeichnen sich die Anrufer selbst als Experten oder Profis auf ihrem Gebiet. Sie geben sich als Computertechniker, Bankiers, Polizisten oder sogar selbst als Opfer aus. Oder sogar als CEO.

Die Stimme des CEOs

Es war ein eher kühler Freitagabend im März 2019, als das Telefon läutete. Der Managing Director eines britischen Energieunternehmens hatte seinen CEO in der Leitung. Um Bußgeld für eine verspätete Zahlung zu vermeiden, solle er eine Überweisung prompt erledigen. Noch während des Gesprächs übermittelte der CEO die Details per E-Mail. Respektvoll, wie es die Rolle eines Angestellten üblicherweise vorsieht, und ohne den geringsten Zweifel zu hegen, führte der Managing Director den vermeintlichen Auftrag seines Vorgesetzten aus und überwies 240000 Dollar auf ein ungarisches Konto. Dabei tappte der Mann in eine Falle. Und zwar in eine, die – so ein Vertreter des französischen Versicherungsriesen Euler Hermes – damals eine Premiere darstellte. Die Stimme des CEOs war ein Fake-Audio gewesen, erstellt mithilfe einer Software, die nicht nur Audioteile aus diversen Quellen im Web gesammelt und daraus eine täuschend ähnliche CEO-Stimme fabriziert hatte, sondern auch in der Lage war, die Tonalität, die Interpunktion und sogar den deutschen Akzent zu imitieren. Als sich die Kriminellen einige Tage später erneut bei ihm meldeten, um eine weitere Zahlung zu initiieren, wurde der Mann skeptisch und rief seinen Vorgesetzten direkt an. Während er mit seinem echten CEO telefonierte, sprach er auf der zweiten Leitung mit dem synthetischen CEO.