Anzeige

Vishing

“Herzlichen Glückwunsch! Sie haben bei unserem Gewinnspiel gewonnen. Wenn Sie uns Ihre Kontoverbindung nennen, überweisen wir noch heute den Gewinn!” Wer über das Telefon persönliche Informationen und Kontodaten an unbekannte Dritte weitergibt, ist vermutlich auf eine Vishing-Masche hereingefallen – und das passiert täglich!

In letzter Zeit nehmen neben Phishing-Angriffen auch sogenannte Vishing-Attacken verstärkt zu, vor denen das FBI im Zusammengang mit der Home-Office-Regelung durch die Corona-Pandemie warnt. Die Angrifft zielen darauf ab private Daten für kriminelle Zwecke zu erbeuten. Die Angst vor Coronaviren ist unter anderem ein beliebtes Lockmittel, um über Malware-basierte Angriffe Geld zu erbeuten. Aber was bedeutet Vishing eigentlich genau und wie funktioniert es? 

Am Telefon mit Betrüger*innen

Vishing ist eine Abkürzung für Voice-Phishing. Wie der Name schon vermuten lässt, geht es bei dieser Art von Angriff darum, Benutzer*innen über das Telefon dazu zu bringen sensible Daten preiszugeben. Während beim Phishing Links mit trügerischer Software in Onlinewerbung oder E-Mails auftauchen, wird die betroffenen Personen durch Vishing zu eigenständigen Handlungen über das Telefon angeleitet. Betrüger*innen geben sich dabei als vertrauenswürdige Personen aus, etwa Bankangestellte. 

Der Startschuss einer solchen Attacke ist unter anderem eine fälschlich erhaltene Kontobuchung oder die vermeintliche Sperrung des PCs. Daraufhin werden Nutzer*innen entweder dazu aufgefordert bei einer bestimmten Telefonnummer anzurufen, damit das Problem gegen eine Gebühr behoben werden kann oder direkt telefonisch kontaktiert. Durch den persönlichen Kontakt am Telefon werden Opfer dazu gebracht freiwillig ihre Kreditkartendaten und persönlichen Informationen preiszugeben, die anschließend für betrügerische Abbuchungen genutzt werden. 

Um an persönliche Informationen zu gelangen, werden beim Vishing menschliche Emotionen, zum Beispiel Angst, ausgenutzt. Hinzu kommt, dass die Opfer beim Vishing mit einer menschlichen Stimme konfrontiert sind, wodurch schnell Vertrauen aufgebaut wird. Diese gezielte zwischenmenschliche Beeinflussing wird auch Social Engineering genannt. Häufig werden dabei gezielt ältere Personen ausgesucht, die wenig technikaffin sind und dadurch keine Erfahrung mit dieser Form von Betrug haben. 

Die Methoden beim Vishing sind vielfältig

Die Angriffe können über gezielte Anrufe und Sprachnachrichten erfolgen oder über Mails und Anzeigen, in denen Benutzer*innen ihrerseits zum Anruf aufgefordert werden. Im Vorfeld werden über soziale Netzwerke bereits Informationen zusammengetragen, wie Name, Wohnort oder E-Mail-Adresse, um die Telefonate so authentisch wie möglich zu gestalten und Vertrauen aufzubauen. Um die Erfolgschance zu erhöhen, verwenden Betrüger*innen oft Überrumpelungstaktiken oder bauen Druck auf, indem die Dringlichkeit des Problems betont wird. 

Besonders beliebt bei Betrüger*innen ist es sich als Bankmitarbeiter*in oder Angestellte*r im Support einer Technikfirma auszugeben, um Daten des Online-Bankings abzugleichen, eine Überprüfung der PIN vorzunehmen oder ein (vermeintliches) Softwareproblem zu lösen. Dafür werden Betroffenen aufgefordert ein Programm zu installieren, welches Betrüger*innen den kompletten Zugriff auf den Rechner ermöglicht. Daraufhin kann jegliche Information manipuliert werden, wie zum Beispiel im Browser einen falschen Kontostand anzuzeigen oder Daten zu verschlüsseln. Eine weitere Masche ist es den Opfern mitzuteilen, dass sie in einem Gewinnspiel gewonnen haben und ihre Kontodaten für den Versand des Gewinns benötigt werden. 

Außerdem werden nicht nur Privatpersonen, sondern auch Unternehmen Opfer von Vishing. Es gibt mittlerweile gezielte Vishing-Angriffe, die auf Mitarbeitende von Unternehmen im Homeoffice abzielen. Dabei werden bevorzugt Anmeldedaten für unternehmensinterne Netzwerke gesammelt, die im Anschluss teuer an kriminelle Banden verkauft werden.

Wie kann Vishing vermieden werden?

Die Vorbeugung von Vishing-Angriffen erfolgt sowohl auf der Seite der Benutzer*innen, als auch auf Unternehmensseite. Benutzer*innen sollten sich stets vor solchen Angriffen in Acht nehmen und immer ein gesundes Maß an Misstrauen hegen, wenn sie am Telefon nach sensiblen Informationen gefragt werden. Unternehmen wiederum sollten ihr Bestes tun, um ihre Angestellten zu schulen und in Lösungen investieren, die diese Art von Angriffen verhindern. 

Wenn Zweifel über die Rechtmäßigkeit eines Anrufs aufkommen, sollte die Rufnummer überprüft und das Telefongespräch beendet werden. Anschließend können betroffene Personen das Unternehmen im Internet ausfindig machen und über eine selbst recherchierte Telefonnummer zurückrufen, um herauszufinden, ob es wirklich ein wichtiges Anliegen gibt. Grundsätzlich gilt: niemals Passwörter, Anmeldedaten oder Bankinformationen (wie PINs) über das Telefon herausgeben. 

Fazit

Kurz und knapp auf den Punkt gebracht: Beim Vishing nutzen Betrüger*innen den persönlichen Kontakt über das Telefon zu ihrem Vorteil aus. Durch Überrumpelungstaktiken werden die Opfer dazu gebracht ihre persönlichen  Daten preiszugeben, die anschließend dazu verwendet werden Geld zu erbeuten. Dadurch, dass die Betrüger*innen vorab in sozialen Netzwerken nach privaten Informationen recherchieren, um im Telefonat schnell Vertrauen aufzubauen, gilt es besonders an dieser Stelle wachsam zu sein. Wenn die Vermutung aufkommt, dass man selber Opfer einer solchen Masche geworden ist, gilt es umgehend die Bank und die Polizei zu kontaktieren, um den größtmöglichen Schaden abzuwenden. 

Kryštof Hilar, CTO bei ThreatMark


Artikel zu diesem Thema

Phishing
Aug 18, 2021

Neue Betrugsmasche: Spam-Mail mit Vishing-Nummern

Cyberangriffe in Europa und Deutschland nehmen explosionsartig zu und richten dabei einen…
Cyber Security
Aug 11, 2021

Die vergessenen Security-Basics: Spam und Phishing richtig abwehren

Spam ist nicht nur störend, sondern auch eine reale Gefahr. Vielen Anwendern ist dies…

Weitere Artikel

Hacker Corona

Corona-Virus als Treiber für Cyberangriffe

Tenable hat die Ergebnisse einer Studie veröffentlicht, nach der 78 % der deutschen Unternehmen die jüngsten geschäftsschädigenden Cyberangriffe auf Schwachstellen in Technologien zurückführen, die während der Corona-Pandemie eingeführt wurden.
Cyber Security

Cybercrime: Worum sich Unternehmen jetzt kümmern sollten

Online-Betrug ist so präsent wie nie zuvor. Allein im Bereich E-Commerce sind neun von zehn Händlern in Deutschland, Österreich und der Schweiz im vergangenen Jahr mit Betrug oder entsprechenden Versuchen konfrontiert worden, wie die Studie „Betrug im…
LKW

Fortschrittliche LKW-Technologie begünstigt Cyberangriffe

Je mehr Hightech in LKW-Flotten verbaut wird, desto effizienter wird das Flottenmanagement. Hinzu kommen Sicherheitsaspekte im Straßenverkehr. Doch mit der Vernetzung steigen auch die Risiken für einen Cyberangriff auf die Logistikbranche.
Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.