G 5.135 SPIT und Vishing

Der Einsatz von VoIP bietet viele Möglichkeiten, unter Vorspiegelung falscher Tatsachen an Informationen zu gelangen oder unaufgeklärte Benutzer auszunutzen. Über VoIP können Anbieter beispielsweise kostengünstig unerwünschte Werbung für ihre Produkte oder Dienstleistungen platzieren. SPIT (Spam over IP-Telephone), ebenso wie SPAM, der in ähnlicher Form schon bei E-Mail sehr verbreitet ist, kosten die Empfänger Zeit und Geld. Je nach Häufigkeit sind SPIT-Anrufe nicht nur eine Belästigung, sondern sie stören unter Umständen die Arbeitsabläufe in einer Institution erheblich.

Der Versand von SPIT ist für einen Anbieter vergleichsweise günstig. Kann eine paketorientierte Verbindung zu einem Benutzer über das Internet hergestellt werden, so fallen für den Anbieter keine weiteren Telefonkosten an. Durch eine entsprechend dimensionierte Internetanbindung kann er zahlreiche Werbeangebote zur gleichen Zeit versenden.

SPIT kann beispielsweise eine Sprachwerbeansage sein. Dabei wird nach Annahme des Anrufs eine Aufnahme abgespielt. Auf diese Art und Weise können Produkte oder Dienstleitungen angepriesen werden. Es kann aber auch SPIT mit betrügerischer Absicht versendet werden. Ein Beispiel hierfür ist Vishing.

Bei Vishing (Voice Phishing) handelt es sich um eine Angriffsform, um an persönliche Informationen eines oder mehrerer Opfer zu gelangen. Hierbei ruft ein VoIP-basierter Dialer eine große Anzahl von gesammelten VoIP-Adressen an. Bei Rufannahme wird eine Sprachmitteilung abgespielt, die dem Opfer vortäuschen soll, dass der Anruf von einer vertrauenswürdigen Institution, wie dem Kreditinstitut, bei dem er Kunde ist, stammt. Während des Telefonats werden die Opfer aufgefordert, Informationen wie Kontonummern, PINs und TANs preiszugeben.

Vishing

Der Begriff "Vishing" steht für "Voice Phishing" oder "Phishing via VoIP" und bezeichnet den organisierten Datenklau via Telefon, indem Benutzer ähnlich wie beim Phishing (siehe G 5.157 Phishing und Pharming) durch gut ausgedachte Geschichten animiert werden, vertrauliche oder finanzrelevante Informationen weiterzugeben. Hierbei kann sowohl die Angriffsvorbereitung als auch der Informationsabgriff telefonisch erfolgen.

Ziel von Vishing ist es, möglichst viele Opfer irrezuführen und zur Herausgabe ihrer Zugangsdaten, Passwörter, Kreditkartendaten etc. zu bewegen. Dadurch können Betrüger genügend Informationen sammeln, um beispielsweise im Namen des Kunden Geld von Konten abzubuchen: Namen, Kreditkarten- und Kontonummer, PIN- und TAN-Nummern.

Beispiele: