Anzeige

Vishing

“Herzlichen Glückwunsch! Sie haben bei unserem Gewinnspiel gewonnen. Wenn Sie uns Ihre Kontoverbindung nennen, überweisen wir noch heute den Gewinn!” Wer über das Telefon persönliche Informationen und Kontodaten an unbekannte Dritte weitergibt, ist vermutlich auf eine Vishing-Masche hereingefallen – und das passiert täglich!

In letzter Zeit nehmen neben Phishing-Angriffen auch sogenannte Vishing-Attacken verstärkt zu, vor denen das FBI im Zusammengang mit der Home-Office-Regelung durch die Corona-Pandemie warnt. Die Angrifft zielen darauf ab private Daten für kriminelle Zwecke zu erbeuten. Die Angst vor Coronaviren ist unter anderem ein beliebtes Lockmittel, um über Malware-basierte Angriffe Geld zu erbeuten. Aber was bedeutet Vishing eigentlich genau und wie funktioniert es? 

Am Telefon mit Betrüger*innen

Vishing ist eine Abkürzung für Voice-Phishing. Wie der Name schon vermuten lässt, geht es bei dieser Art von Angriff darum, Benutzer*innen über das Telefon dazu zu bringen sensible Daten preiszugeben. Während beim Phishing Links mit trügerischer Software in Onlinewerbung oder E-Mails auftauchen, wird die betroffenen Personen durch Vishing zu eigenständigen Handlungen über das Telefon angeleitet. Betrüger*innen geben sich dabei als vertrauenswürdige Personen aus, etwa Bankangestellte. 

Der Startschuss einer solchen Attacke ist unter anderem eine fälschlich erhaltene Kontobuchung oder die vermeintliche Sperrung des PCs. Daraufhin werden Nutzer*innen entweder dazu aufgefordert bei einer bestimmten Telefonnummer anzurufen, damit das Problem gegen eine Gebühr behoben werden kann oder direkt telefonisch kontaktiert. Durch den persönlichen Kontakt am Telefon werden Opfer dazu gebracht freiwillig ihre Kreditkartendaten und persönlichen Informationen preiszugeben, die anschließend für betrügerische Abbuchungen genutzt werden. 

Um an persönliche Informationen zu gelangen, werden beim Vishing menschliche Emotionen, zum Beispiel Angst, ausgenutzt. Hinzu kommt, dass die Opfer beim Vishing mit einer menschlichen Stimme konfrontiert sind, wodurch schnell Vertrauen aufgebaut wird. Diese gezielte zwischenmenschliche Beeinflussing wird auch Social Engineering genannt. Häufig werden dabei gezielt ältere Personen ausgesucht, die wenig technikaffin sind und dadurch keine Erfahrung mit dieser Form von Betrug haben. 

Die Methoden beim Vishing sind vielfältig

Die Angriffe können über gezielte Anrufe und Sprachnachrichten erfolgen oder über Mails und Anzeigen, in denen Benutzer*innen ihrerseits zum Anruf aufgefordert werden. Im Vorfeld werden über soziale Netzwerke bereits Informationen zusammengetragen, wie Name, Wohnort oder E-Mail-Adresse, um die Telefonate so authentisch wie möglich zu gestalten und Vertrauen aufzubauen. Um die Erfolgschance zu erhöhen, verwenden Betrüger*innen oft Überrumpelungstaktiken oder bauen Druck auf, indem die Dringlichkeit des Problems betont wird. 

Besonders beliebt bei Betrüger*innen ist es sich als Bankmitarbeiter*in oder Angestellte*r im Support einer Technikfirma auszugeben, um Daten des Online-Bankings abzugleichen, eine Überprüfung der PIN vorzunehmen oder ein (vermeintliches) Softwareproblem zu lösen. Dafür werden Betroffenen aufgefordert ein Programm zu installieren, welches Betrüger*innen den kompletten Zugriff auf den Rechner ermöglicht. Daraufhin kann jegliche Information manipuliert werden, wie zum Beispiel im Browser einen falschen Kontostand anzuzeigen oder Daten zu verschlüsseln. Eine weitere Masche ist es den Opfern mitzuteilen, dass sie in einem Gewinnspiel gewonnen haben und ihre Kontodaten für den Versand des Gewinns benötigt werden. 

Außerdem werden nicht nur Privatpersonen, sondern auch Unternehmen Opfer von Vishing. Es gibt mittlerweile gezielte Vishing-Angriffe, die auf Mitarbeitende von Unternehmen im Homeoffice abzielen. Dabei werden bevorzugt Anmeldedaten für unternehmensinterne Netzwerke gesammelt, die im Anschluss teuer an kriminelle Banden verkauft werden.

Wie kann Vishing vermieden werden?

Die Vorbeugung von Vishing-Angriffen erfolgt sowohl auf der Seite der Benutzer*innen, als auch auf Unternehmensseite. Benutzer*innen sollten sich stets vor solchen Angriffen in Acht nehmen und immer ein gesundes Maß an Misstrauen hegen, wenn sie am Telefon nach sensiblen Informationen gefragt werden. Unternehmen wiederum sollten ihr Bestes tun, um ihre Angestellten zu schulen und in Lösungen investieren, die diese Art von Angriffen verhindern. 

Wenn Zweifel über die Rechtmäßigkeit eines Anrufs aufkommen, sollte die Rufnummer überprüft und das Telefongespräch beendet werden. Anschließend können betroffene Personen das Unternehmen im Internet ausfindig machen und über eine selbst recherchierte Telefonnummer zurückrufen, um herauszufinden, ob es wirklich ein wichtiges Anliegen gibt. Grundsätzlich gilt: niemals Passwörter, Anmeldedaten oder Bankinformationen (wie PINs) über das Telefon herausgeben. 

Fazit

Kurz und knapp auf den Punkt gebracht: Beim Vishing nutzen Betrüger*innen den persönlichen Kontakt über das Telefon zu ihrem Vorteil aus. Durch Überrumpelungstaktiken werden die Opfer dazu gebracht ihre persönlichen  Daten preiszugeben, die anschließend dazu verwendet werden Geld zu erbeuten. Dadurch, dass die Betrüger*innen vorab in sozialen Netzwerken nach privaten Informationen recherchieren, um im Telefonat schnell Vertrauen aufzubauen, gilt es besonders an dieser Stelle wachsam zu sein. Wenn die Vermutung aufkommt, dass man selber Opfer einer solchen Masche geworden ist, gilt es umgehend die Bank und die Polizei zu kontaktieren, um den größtmöglichen Schaden abzuwenden. 

Kryštof Hilar, CTO bei ThreatMark


Artikel zu diesem Thema

Phishing
Aug 18, 2021

Neue Betrugsmasche: Spam-Mail mit Vishing-Nummern

Cyberangriffe in Europa und Deutschland nehmen explosionsartig zu und richten dabei einen…
Cyber Security
Aug 11, 2021

Die vergessenen Security-Basics: Spam und Phishing richtig abwehren

Spam ist nicht nur störend, sondern auch eine reale Gefahr. Vielen Anwendern ist dies…

Weitere Artikel

TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.
Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.