Was ist Vishing?

Was ist Voice-Phishing?

Der Begriff Vishing setzt sich aus den Wörtern Voice­call, also Anruf, und Phishing zusammen. Phishing ist eine beliebte Methode von Cyber­kriminellen, um persönliche Daten wie Pass­wörter, Konto­daten und andere vertrauliche Informationen zu stehlen oder um Geräte mit Malware, wie z. B. Trojanern, zu infizieren. Während E‑Mails für Phishing-Angriffe genutzt werden, verwenden Betrüger und Cyber­kriminelle Telefon­anrufe für Vishing. Selbst Ihr altes Fest­netz­telefon kann ein Risiko für Ihre Cyber­sicherheit darstellen!

Dank Technologien wie VoiP (Voice over Internet Protocol, also Internet­telefonie) und IVR (Inter­active Voice Response, ein digitales Sprach­menü, das Anrufe vorfiltert) können Betrüger leicht viele Opfer auf der ganzen Welt erreichen. Beliebt ist die Verwendung falscher Identitäten, um die Opfer dazu zu bringen, den Hörer abzunehmen und vertrauliche Informationen preis­zugeben. Aufgrund dieser und anderer Methoden zur Täuschung von Opfern, wie beispiels­weise die Verwendung unbekannter Telefon­nummern, ist es teil­weise schwieriger als gedacht, einen Vishing-Betrug zu erkennen.

Heutzutage sind rund 30 % aller welt­weiten Anrufe betrügerischer Natur. Telefon-Spam ist in Deutsch­land zwar verboten, mithilfe ständig wechselnder Telefon­nummern versuchen Kriminelle dieses Problem jedoch zu umgehen. Woher haben diese über­haupt Ihre Telefon­nummer? Oftmals ergattern Betrüger Telefon­nummern im Dark Web, wo sie nach einem Data Breach weiter­verkauft werden.

Wenn Sie sich vor Vishing-Angriffen schützen möchten, können Sie Ihre Nummer auf privat stellen. Seien Sie zudem vorsichtig, wem Sie Ihre Nummer geben. Indem Sie die Zugriffe für mobile Apps einschränken, beispiels­weise auf das Adress­buch, können Sie verhindern, dass die Nummern Anderer in falsche Hände geraten.

Wie Sie einen Vishing-Betrug erkennen

Online-Betrüger sind nicht immer die kriminellen Super­hirne, als die sie oftmals dargestellt werden. Wenn Sie auf folgende Anzeichen achten, können Sie einen Vishing-Betrug erkennen und abwenden, bevor etwas Schlimmes passiert.

1. Sie werden aufgefordert, vertrauliche Informationen preis­zugeben. Egal, ob es sich um Ihre Konto­daten, Ihre Adresse, Ihr Geburts­datum, Ihre Sozial­versicherungs­nummer, Ihre Anmelde­daten oder andere persönliche Daten handelt, geben Sie diese niemals an unseriöse Anrufer weiter. Vertrauens­würdige Institutionen würden Sie nie über das Telefon nach solchen Informationen fragen. Im Zweifels­fall beenden Sie das Gespräch und rufen Sie die Institution über die offizielle Nummer auf der Web­site an, um sich zu vergewissern.

2. Die Anfrage des Anrufers ist verdächtig dringend. Um Sie dazu zu bringen, wert­volle Informationen preis­zugeben, wird die Aufforderung des Betrügers oft als dringlich dargestellt. Auf diese Weise werden Sie gezwungen, schnell zu handeln, ohne genügend Zeit zum Nach­denken zu haben und zu erkennen, dass der Anrufer möglicher­weise nichts Gutes im Schilde führt. Halten Sie immer inne und über­legen Sie, ob die Forderung des Anrufers vernünftig erscheint.

3. Der Anrufer sagt Ihnen, dass er von einer vertrauens­würdigen Institution anruft. Das bedeutet natürlich nicht automatisch, dass der Anrufer ein Betrüger ist. Vertrauens­würdige Institutionen melden sich in der Tat gelegentlich per Telefon. Können Sie allerdings den Anrufer am Telefon nicht 100%ig identifizieren, dann seien Sie vorsichtig.

4. Der Anruf ist kurz und endet abrupt. Manchmal versuchen Betrüger, Sie zu einem Rückruf zu bewegen, indem sie kurze Anrufe tätigen, die enden, bevor sie über­haupt klingeln. Da hierfür oftmals eine kosten­pflichtige Nummer verwendet wird, kann der Rückruf unerwartet teuer werden. Wenn Sie also einen Anruf von einer unbekannten Nummer verpasst haben, sollten Sie diese zunächst googeln. Im Internet finden sich Über­sichten häufig genutzter Spam-Nummern. Blockieren Sie diese in Ihrem Mobil­telefon.

Wenn Sie glauben, dass Sie Ziel eines Vishing-Angriffs sein könnten, sollten Sie den Anruf sofort beenden. Alternativ können Sie einfach nichts sagen oder auf die Fragen des Anrufers mit Gegen­fragen antworten. Eine weitere Option ist es, bei einem verdächtigen Anruf gar nicht erst den Hörer abzunehmen.

Beliebte Vishing-Scams

Es spielt keine Rolle, ob es sich um eine Einzel­person oder ein großes Unter­nehmen handelt, beide sind lohnens­werte Ziele für einen Vishing-Betrug. Bei Firmen werden gerne Hier­archien ausgenutzt, um an Firmen­informationen zu gelangen. So kann sich ein Betrüger beispiels­weise als Ihr Vorgesetzter ausgeben und Sie bitten, eine Rechnung zu begleichen oder eine Soft­ware herunter­zuladen. Leider tun viele ahnungs­lose Opfer, was ihr Chef ihnen sagt. Insbesondere in Zeiten des Home­office werden solche Anrufe zu wenig hinter­fragt.

Smarte Vishing-Angriffe machen sich aktuelle Ereignisse zunutze, wie z. B. die COVID-19-Pandemie. Die Ängste und Sorgen der Menschen ausnutzend, wandten sich Cyber­kriminelle 2020 und 2021 an ihre Opfer mit angeblichen Angeboten für Impfungen und Tests gegen das Corona­virus. Dies ist nur ein Beispiel dafür, wie Vishing genutzt wird, um Opfer zu täuschen. Andere sind beispiels­weise:

Als Behörde oder Autoritäts­person auftreten

Der Anrufer gibt sich als vertrauens­würdige Autoritäts­person aus. Dies können Vertreter der Regierung, des Finanzamtes, der Polizei oder einer lokalen Behörde sein. In Deutsch­land ist ein Anruf von Europol äußerst beliebt mit der Vorgabe, dass es um gestohlene persönliche Daten ginge. Der Anrufer möchte Ihre Identität sicher­stellen und bittet Sie daher um vertrauliche Informationen, die daraufhin für einen Identitäts­diebstahl oder eine Konto­über­nahme genutzt werden können.

Gerne werden hierfür normal aussehende Telefon­nummern verwendet, teil­weise werden sogar echte Nummern von Institutionen gefälscht, was den Anruf legitim aussehen lässt.

Anruf vom technischen Support

Die IT-Abteilung Ihrer Firma oder der technische Support von Micro­soft ruft Sie an und teilt Ihnen mit, dass anomale und verdächtige Aktivitäten in Ihrem Konto fest­gestellt wurden. Glücklicher­weise kann Ihnen ein Link zum Herunter­laden der neuesten Soft­ware-Version zugesendet werden, um das Problem zu beheben. In Wirklichkeit versucht der Anrufer, Sie dazu zu bringen, Malware auf Ihrem Gerät zu installieren — lassen Sie sich nicht täuschen. In einigen Fällen ist es den Kriminellen gelungen, das Opfer dazu zu bringen, Fern­zugriff auf seinen Computer zu gewähren. Das heißt, dass die Betrüger freie Hand bekommen, um auf dem Gerät des Opfers zu tun, was sie wollen.

Investitions- und Kredit­angebote

Heutzutage kann man mehr oder weniger alle Geld­anlagen und Bank­geschäfte online erledigen. Cyber­kriminelle machen sich dies zunutze. Ihre Alarm­glocken sollten schrillen, wenn Sie ein Angebot erhalten, das zu gut klingt, um wahr zu sein. Sie sind mit Sicherheit Ziel eines Schnee­ball­systems oder eines Hacker­angriffs. Denken Sie daran, dass echte Investoren und Kredit­geber nicht aus heiterem Himmel auf Sie zukommen, ohne Sie und Ihre Zahlungs­fähigkeit gründlich zu über­prüfen.

Telemarketing und Gewinn­spiele

Herzlichen Glück­wunsch! Sie haben ein Preis­ausschreiben gewonnen, an dem Sie nie teil­genommen oder von dem Sie noch nie gehört haben. Was auch immer der Anrufer sagt, was Sie tun sollen, seien Sie vorsichtig. In solchen Fällen versuchen die Betrüger, Ihre persönlichen oder finanziellen Daten zu stehlen, die dann für einen Identitäts­diebstahl oder zum Leer­räumen Ihres Kontos verwendet werden.

Probleme mit Ihrem Kredit­karten­konto

Viele Menschen sind auf den Zugang zu ihrem Bank­konto und ihrer Kredit­karte angewiesen. Betrüger wissen das und geben daher gerne vor, dass es ein Problem mit Ihrer Kredit­karte oder Ihrem Konto gibt. Wenn Sie jemand am Telefon nach Ihren Konto­daten fragt, legen Sie auf, da es sich höchst­wahr­scheinlich um einen Betrug handelt.

Unter­schiede zwischen Phishing, Smishing & Vishing

Wie bereits erwähnt, ist Vishing eine Art des Phishings. Vishing-Scams zeichnen sich dadurch aus, dass sie per Sprache erfolgen, während Betrüger bei Phishing-Angriffen in der Regel auf E‑Mails zurück­greifen. Telefon­anrufe können jedoch auch nur Teil eines größeren Betrugs sein.

Eine andere, ähnliche Form des Betrugs ist Smishing. Hier nutzen Kriminelle in erster Linie Text­nach­richten und Instant-Messaging-Dienste wie Whats­App. Smishing-Opfer erhalten Nach­richten mit betrügerischen Links, die zu gefälschten Web­sites führen, über die dann vertrauliche Informationen gestohlen werden oder das Gerät des Opfers mit Malware infiziert wird.

Schlimmer noch: Smishing kann dazu verwendet werden, Nach­richten in bereits bestehende Nach­richten­verläufe einzufügen, z. B. zwischen dem Nutzer und einem Liefer­dienst oder einer anderen bekannten Institution.

Auch wenn die Methoden von Phishing, Vishing und Smishing unter­schiedlich sind, haben alle drei das gleiche Motiv: Die Betrüger möchten an Ihre persönlichen Daten oder Ihr Geld gelangen. Alle drei Methoden dienen zudem dazu, das Gerät des Opfers mit verschiedenen Arten von Malware wie Trojanern und Spyware zu infizieren.