Vishing, Smishing und Phishing sind Begriffe, die heute immer relevanter werden. Bei Smishing handelt es sich den um Betrugsversuche per Kurznachricht mit dem Ziel, das Opfer um sein Geld zu bringen. Auch Phishing, als Betrug per E-Mail mit demselben Ziel, ist allgemein bekannt.
Doch was ist Vishing? Haben Sie den Begriff schon mal gehört?
Unser Beitrag über Vishing (Voice Phishing) im Überblick:
Was ist Vishing?
Beim Vishing handelt es sich um eine Variante des Phishings. Hierbei versuchen die Betrüger mittels telefonischem Kontakt den Datenklau umzusetzen. Der Begriff setzt sich aus „Voice“ bzw. „Voice over IP“ und „Phishing“ zusammen und wird auch Voice Phishing genannt. Vishing unterscheidet sich vor allem durch das Vorgehen der Angreifer grundlegend vom traditionellen Phishing, mit dem normalerweise schädliche Anhänge verteilt oder Links zu Fake-Seiten via E-Mail verbreitet werden; und dem Smishing, bei dem SMS-Kurznachrichten mit gefährlichen Links verschickt werden.
Vishing setzt darauf, dass Gesagtes, ob nun persönlich oder via Telefon kommuniziert, immer eine direkte Reaktion einfordert. Dadurch ist der Angerufene oftmals nicht in der Lage, die Situation zu überdenken, abzuschätzen und realistisch zu betrachten, sondern wird direkt in eine Handlung gezwungen. Während so ziemlich jeder Person klar sein dürfte, dass man nicht und vor allem nicht sofort auf eine E-Mail oder SMS antworten muss, kann man Fragen am Telefon nicht so gut ignorieren. Einen Anruf abzuwürgen ist vor allem dann schwierig, wenn er in ein emotionales Gegebenheit wie ein kritisches Problem oder eine Notlage eingebettet ist. Ein aktuelles Beispiel sind die vermeintlichen Anrufe von Europol.
Auch hinter den scheinbar so netten Damen aus dem Callcenter können Kriminelle stecken. Bild: Pixabay
Ablauf von Vishing-Attacken
Im Vorfeld zum eigentlichen Vishing-Angriff suchen Cyberkriminelle in den sozialen Medien nach persönlichen Informationen von potenziellen Opfern und erschleichen sich mit diesem Wissen das Vertrauen ihrer Opfer. Dafür nutzen sie Scamming-Methoden. Die sogenannten Visher setzen vor allem Betrugsmaschen ein, mit denen sie den menschlichen Faktor ausnutzen, also darauf setzen, von ihren Gesprächspartnern als vertraut oder vertrauenswürdig wahrgenommen zu werden.
Zudem können Angreifer mithilfe von sogenannten Dialern, automatisierten Einwählprogrammen, eine Vielzahl von eingekauften oder eingelesenen Telefonnummern in Folge anrufen. Durch diese Methode arbeiten sie qualitativ großflächig.
Die Betrüger gaukeln in jedem Fall mit ihren gründlich durchdachten und professionell eingeübten Rollen vor, im Interesse der Angegriffenen zu handeln. Sie zielen dabei darauf ab, sympathisch zu wirken und aus persönlicher oder wirtschaftlicher Sicht attraktiv zu erscheinen. Visher erzählen fingierte Geschichten und legen dabei auch direkt dar, wie die Opfer ihrer Meinung nach richtig handeln sollten.
Wen betrifft Vishing?
Oftmals stecken scheinbar offizielle Organisationen und Unternehmen hinter den Anrufen. So haben bereits angebliche Apple-Mitarbeiter, das Vodafone-Kundencenter, falsche Google– oder auch Microsoft-Mitarbeiter angerufen. Und auch in Sachen Gesundheit haben die Kriminellen keine Hemmungen und behaupten schon mal dreist, ein an Leukämie erkranktes Kind brauche dringend Hilfe.
Tatsächlich trifft Voice Phishing heute immer häufiger kleine und mittelständische Unternehmen, die nicht davon ausgehen, dass sie Opfer derartiger Betrugsmaschen werden könnten. Betrüger geben sich dabei unter anderem als Bankberater, Partnerunternehmer, Journalist, Bewerber oder Vorgesetzter aus. Oft nutzen sie, um die Stimmen von echten Menschen erschreckend echt imitieren zu können, Stimmverzerrer, die sich an der Deepfake-Technologie bedienen. Auch haben Kriminelle häufig Spoofing-Programme im Einsatz, die für die eigene Verbindung eine andere, legitime Telefonnummer simulieren.
Beliebt ist neuerdings vor allem eine Masche, die auf Arbeitnehmer im Home Office abzielt: Und zwar meldet sich der vermeintliche IT-Administrator und schon ist die Hemmschwelle beim Opfer, geheime Daten herauszugeben, gesunken. Aber denken Sie daran: Auch die Mitarbeiter Ihrer IT-Abteilung in Ihrer Firma benötigen Ihre Passwörter nicht.
Die bekannteste Vishing-Methode ist der Enkeltrick. Bild: Pexels/@olly
Enkeltrick
Das wohl bekannte Beispiel von Vishing ist der sogenannte Enkeltrick. Bei dieser perfiden Masche rufen Betrüger anscheinend wohlhabenden Senioren an und geben sich als deren Enkelkinder oder Neffen aus. Telefonisch erzählen sie, dass sie sich in einer akuten Notsituation befänden und dringend Geld benötigten. Entweder fragen die angeblichen Enkelkinder, ob sie einen angeblichen „Bekannten” vorbeischicken können, der das Geld für sie abholt; oder sie fragen nach einer Geldüberweisung auf ein Konto im Ausland.
Im unreflektierten Affekt und vor lauter Angst um die Sicherheit ihrer Enkel geben echte Großeltern nicht selten ihr Geld direkt an Fremde bzw. überweisen es auf fremde Konten. Sämtliche Polizeistellen warnen sehr präsent vor dem Enkeltrick und anderem Telefonbetrug. Empfohlen wird, mit älteren Menschen über diese professionell betriebene Form des Trickbetrugs zu sprechen, dass ihnen das Vorgehen bekannt ist.
Ziele von Voice Phishing
Wie bei allen Social-Engineering-Angriffen geht es beim Voice Phishing den meisten Betrügern darum, ihre Opfer durch Tricksereien zu täuschen und dadurch zur Herausgabe von sensiblen Daten wie Zugangsdaten oder Bankdaten zu bewegen. Diese verkaufen sie dann entweder an andere Kriminelle im Darknet oder nutzen sie für eigene weiterführende Cyberangriffe.
Immer häufiger versuchen Betrüger durch Vishing aber auch an vermeintlich unkritische persönliche Informationen zum Geschlecht, Namen oder Alter zu kommen, um dann mit den Daten Identitätsdiebstahl betreiben oder die Daten im Internet verkaufen zu können. Viele Kriminelle schneiden auch die Telefonate mit und nutzen die Aufnahmen der Stimmen ihrer Opfer, um diese mittels Deepfaking nachahmen zu können.
Immer mehr Vishing-Angriffe zielen auf kleine und mittelständische Unternehmen ab. Bild: Pexels/@olly
Vishing verhindern
Der beste Weg, mit dem man vermeidet, Opfer von Vishing zu werden, ist, entsprechende Anrufe von fragwürdigen und unbekannten Nummern direkt zu ignorieren. Mit folgenden weiteren Tipps und Tricks können Sie sich vor Vishing schützen:
- Seien Sie sich darüber bewusst, wie Vishing wirkt. Machen Sie sich bewusst, dass Visher durch Druckausübung und Einschüchterung versuchen, bei Ihnen Panikreaktionen auszulösen.
- Leiten Sie ein Unternehmen? Dann schulen Sie auch Ihre Mitarbeiter mit entsprechenden Security-Awareness-Schulungen fachkompetent.
- Geben Sie unter keinen Umständen sensible Daten wie Ihre Passwörter, Bankdaten, Tan-Nummern und Login-Daten am Telefon preis. Ein seriöses Unternehmen wie eine Bank fordert Sie niemals auf, diese Daten preiszugeben.
- Ignorieren Sie Anrufe von unbekannten und fragwürdig erscheinenden Nummern. Wenn Sie eine Nummer nicht erkennen, lassen Sie den Anrufer auf Ihre Voicemail sprechen.
Benötigen Sie fachkompetente Unterstützung bei der Erstellung einer privaten oder geschäftlichen IT-Strategie? Oder benötigen Sie einen kompetenten Partner für die Durchführung von Security-Awareness-Schulungen? Dann sind Sie bei PC-SPEZIALIST in Ihrer Nähe genau richtig!
Opfer von Vishing geworden?
Sollten Sie den Hörer bereits abgenommen haben, ist es ratsam, Telefonate, bei denen Anrufer nach sensiblen oder persönlichen Daten fragen, sofort zu beenden. Somit beugen Sie möglichst effektiv vor, Opfer von Voice Phishing zu werden. Sie können bei dem Unternehmen anrufen, von dem der Anruf angeblich ausging, und nachfragen, ob denn eine tatsächliche Anfrage vorliegt.
Wenn Sie Opfer eines Vishing-Betrugs geworden sind, sollten Sie umgehend Anzeige bei der Polizei erstatten. Auch sollten Sie den Vorfall der Bank oder dem entsprechenden Unternehmen, unter dessen Namen der Betrug durchgeführt wurde, melden. Wenn Sie Zugangsdaten wie Passwörter weitergegeben haben, sollten Sie diese ändern. PC-SPEZIALIST ist übrigens auch für den Fall, dass Sie Opfer von Vishing geworden sind, und jetzt Ihre IT schützen, Passwörter ändern und verwalten oder Viren entfernen müssen, der geeignete Ansprechpartner.
_______________________________________________
Andere Stimmen zum Thema: Polizei NRW, bankenverband, Kaspersky, proofpoint, BaFin, AVG, ComputerWeekly
Schreiben Sie einen Kommentar