Versuchter Identitätsklau und Werbeanrufe in großem Stil

Spit oder Vishing: Schon bald werden diese beiden Schlagwörter traurige Bekanntheit in der Telefoniewelt erlangen. Identitätsklau oder Werbebelästigungen per Voice over IP (VoIP) werden sich nach Ansicht vieler Experten vor allem aus einem Grund rasant verbreiten: Dem Verursacher entstehen dadurch so gut wie keine Kosten.

Spit: Telefonwerbeanrufe im großen Stil

„Sie sind Gewinner. Herzlichen Glückwunsch.“ Schon heute lohnt es sich für Werber offensichtlich, Verbraucher mit unnötigen Lockanrufen zu belästigen. In Kombination mit Voice over IP nennt sich dieses Ärgernis SPIT, die Abkürzung für „Spam via Internet-Telefonie“. Immer wieder wird dabei das News Scientist-Magazin zitiert, welches behauptet, dass schon heute Computer bis zu 1 000 automatisierte Anrufe pro Stunde absetzen könnten. Sprich: Eine Eine-Millionen-Menschen-Stadt wie Köln würde so innerhalb von knapp vier Tagen einmal komplett von einem einzigen Computer angerufen. Diese so genannten „War Dialer“ wurden dabei ursprünglich konzipiert, um in Firmennetzwerken eine möglicherweise schlecht geschützte Modemverbindung aufzuspüren und auszunutzen.

Der weltweite Telefonterror ist günstig zu haben

Allenfalls in Bandbreite muss dabei der Spitter in Zeiten von VoIP noch investieren: Besitzt er einen Account bei dem Anbieter seiner Opfer, dann kostet ihn ein Anruf nämlich derzeit nichts. Und auch so wäre der weltweite Telefonterror günstig zu haben. Rund einen Cent muss auch der Spitter auf den Bahamas nur pro Minute und Anruf investieren, möchte er Deutschland flächendeckend mit seinen Werbebotschaften beglücken. So ist zwar – anders als beim Spam – die direkte Rückverfolgung des Anrufers zum Ursprung möglich. In der Praxis führt dies aber – wie schon jetzt bei den bekannten Telefonwerbebotschaften – in die Sackgasse, da die Anbieter irgendwo auf der Welt sitzen können oder die entsprechenden Firmen für eine rechtliche Verfolgung nicht lange genug existieren.

Und: Natürlich besteht auch hier die Gefahr, dass Spitter einfach unter einer geklauten Identität agieren. Das Online-Telefonbuch, welches im Zusammenhang mit ENUM (Abkürzung für „tElephone NUmber Mapping“, eine einheitliche Übersetzung von Rufnummern in die DNS-Internetwelt), aufgebaut wird, könnte dabei den Angreifern recht einfach die geeignete Datenbasis verschaffen. Prinzipiell ist Spitting aber nicht nur ein Problem von VoIP-Kunden. Das Internet vereinfacht und verbilligt den Angreifern einfach nur ihre Vorgehensweise. Genauso sind normale Telefonanschlüsse betroffen.

Mögliche Angrifssszenarien für Spit und Vishing

Es gibt einige mögliche Angriffsszenarien, zum Beispiel den Lockanruf zur Weiterleitung an eine kostenpflichtige Nummer und den Werbeanruf zur automatisierten Anbahnung eines Geschäfts. Im ersten Fall nutzen die Spitter die Ansage dazu, den Angerufenen auf eine kostenpflichtige Nummer zu leiten. Im zweiten Fall wird dem Angerufenen ein Geschäft unterbreitet, welches möglicherweise nicht zu seinen Gunsten ausgeht.

Identitätsklau über das Telefon

Ein weiterer Untertyp von Spitting ist der versuchte Identitätsklau per Telefon, das so genannte Vishing. Ein Vishing-Anruf könnte folgendermaßen beginnen: „Guten Tag. Dies ist ein automatisierter Anruf ihrer Bank. Durch einen massiven Missbrauch unserer Konten müssen wir Sie heute bitten, Ihre Kontendaten telefonisch zu bestätigen.“

Vishing steht dabei für „Voice-over-IP-Phishing“, definiert also den unberechtigten Identitätsklau durch Kriminelle per Telefon. Phishing ist dabei die mittlerweile bekannte Methode, per Mail Kontendaten auszuspähen.

Obwohl oft recht durchsichtig, geschieht dies mit großem Erfolg: Alleine in Berlin wurden so laut eco-Verband der deutschen Internetwirtschaft im ersten Halbjahr 2006 153 Fälle mit einem Schaden von 730 000 Euro registriert. Bundesweite Daten gibt es nicht, aber die Tragweite des Problems lässt sich auch schon an den Berliner Zahlen gut abschätzen.

Auch bei Vishing gibt es mehrere mögliche Angriffsszenarien

Bei der Spam-Mail mit Rufnummer nutzen die Vishing-Verursacher gezielt die Aussage der Banken aus, dass diese Kontendaten nicht per Mail, sondern allenfalls persönlich erfragen würden.

Und in der Tat: Jeder Telefonbanking-Kunde kennt die standardisierte Anfrage nach Kontonummer und PIN irgendwann im Verlauf des Telefonbanking-Menüs. In einer E-Mail wird das Opfer also nicht mehr zum Klicken eines Links aufgefordert, sondern zum Anruf einer Nummer.

Der Nachteil für den Verbraucher: Mögliche Schutzmechanismen der Telefonieanbieter greifen vermutlich nicht, da der Verbraucher selbst anruft und nicht angerufen wurde. Alternativ können die Aufrufe auch per Instant Messaging gestartet werden. Beim so genannten Call-Vishing ruft ein Automat eine Liste von Nummern an. Eine Standardansage fordert zur Abgabe sensibler Daten, wie etwa Kontoverbindung, PIN, TAN-Listen, Kreditkartennummer, eBay- oder Paypal-Account-Daten auf.

Die Gefahr liegt in der Kombination

Wirtschaftskriminelle sind dabei außerordentlich kreativ, wenn es um neue Maschen und Methoden geht, ein Opfer finanziell auszubeuten. So sorgt beispielsweise schon heute die Kombination von Methoden der Nigeria-Connection („Ich bin ein reicher Ex-Diktator und möchte mit Ihnen mein Geld verschieben“) mit Ansätzen der Phishing-Datendiebe für konkreten finanziellen Schaden.

Dabei werden auf der einen Seite Opfer dazu aufgefordert, von einem einmal überwiesenen Betrag einen Teil wieder per Western Union – was dann wie Bargeld ist – an eine Adresse zurückzusenden. Das Geld auf dem Konto kommt dabei von einer seriösen Bank, denn die Kontendaten wurden zuvor per Phishing geklaut.

Hier wird also ganz geschickt die Gier der Menschen nach dem schnellen Geld ausgenutzt und gleichzeitig Phishing als Identitätsverschleierung eingesetzt.

Die Opfer sind dabei beide schlecht dran: Das Phishing-Opfer muss möglicherweise mit dem Verlust seines Geldes rechnen und das Nigeria-Connection-Opfer zusätzlich mit einer strafrechtlichen Würdigung.

Denn: Geldwäsche ist in Deutschland illegal. Ähnliche Szenarien sind auch für Vishing denkbar. Sie sind durch das höhere Vertrauen in die Kommunikationsform Telefon für die Kriminellen besonders reizvoll.

Abwehrmaßnahmen gegen Spit und Vishing

Mit Spit und Vishing beschäftigen sich mittlerweile diverse Institutionen. So warnen die Sparkassen in einem eigenen Artikel ihre Kunden vor der neuen, noch wenig bekannten Gefahr. Die toplink AG als Betreiber der Deutschen Internet-Telefon-Zentrale und somit wichtige Schnittstelle zwischen Außenwelt und VoIP-Anwender verwendet eine Anti-Spit-Software, die erkennt, ob von ein und derselben Quelle eine unzulässig hohe Anzahl an Anrufen abgesendet wird. Anders als bei Spam ist der Absender immer lokalisierbar und kann so gesperrt werden.

Eine andere Idee sind Whitelists, bei denen sich Personen und Institutionen registrieren müssen. Machen sie dies nicht, dann wird ein Anruf nicht durch gestellt. Absolute Sicherheit bieten aber alle Verfahren nicht. Der beste Schutz gegen Spit und Vishing lautet deshalb: ignorieren und auflegen.

Dieser Artikel direkt bei Teltarif.de