Phishing via VoIP

Phishing ist hinlänglich bekannt: Der arglose Benutzer erhält eine Mail, in der er (mehr oder minder geschickt) aufgefordert wird, eine bestimmte Webseite zu besuchen. Heise Online berichtet von einem Medienwechsel: Statt einer Webseite war die Telefonnummer der Bankhotline angegeben; dort erwartete den Anrufer ein Sprachsteuersystem, das ihn aufforderte, Kontonummer und PIN einzugeben.
Vom Prinzip her nichts neues, aber eine neue Qualität: Auch in Mails angegebene Telefonnummern sind mit Argwohn zu verwenden. Noch fataler wäre das Szenario einer Bank, das selbst VoIP verwendet: Schafft es der Angreifer, die Hotline-Nummer in der VoIP Registrierung zu "kapern", hat der Benutzer keine weitere technische Möglichkeit der Überprüfung. Das Analogon für Webseiten wäre ein DNS-Hijacking; auf den Webseiten sollte aber dann ein fehlendes oder ungültiges Zertifikat auffallen; ein Pendant hierfür gibt es aber bei VoIP nicht.

comments powered by Disqus