Vishing ist ein Cyberverbrechen, bei dem die Angreifer versuchen über das Telefon an sensible Informationen der Zielperson zu gelangen.
Oft passen Cyberkriminelle ihre Vishing-Angriffe an die Jahreszeit oder eine aktuelle Nachrichtenmeldung an.
Beispielsweise hinterlassen Kriminelle während der Steuersaison oft Nachrichten, die vorgeben, von der Steuerbehörde zu stammen. Während der COVID-19-Pandemie riefen Cyberkriminelle Menschen an, die Impfstoffe und Testkits versprachen, wenn sie ihre Bankkontodaten und Postanschrift angaben.
Was ist Vishing?
Vishing ist ein Phishing-Angriff, bei der die Betrüger das Telefon dazu benutzen, persönliche, sensible und vertrauliche Informationen von ihren Opfern zu
stehlen.
Bei Vishing, auch als Voice-Phishing bezeichnet, nutzen die Anrufer clevere Social-Engineering-Taktiken, um die Zielperson zum Handeln zu bewegen, indem sie private Informationen und Zugriff auf Bankkonten preisgeben.
Wie beim Phishing oder Smishing geht es beim Vishing darum, die Zielperson davon zu überzeugen, dass sie das Richtige tun, indem sie dem Anrufer antworten.
Oftmals gibt der Anrufer vor, von der Regierung, dem Finanzamt, der Polizei, der
Bank des Opfers oder einer anderen seriösen Organisation aus anzurufen.
Die Cyberkriminellen sind sehr geschult in der Anwendung verschiedener Social-Engineering-Techniken, wie zum Beispiel Drohungen und überzeugende Sprache, um der Zielperson das Gefühl zu geben, dass ihnen keine andere Wahl bleibt, als die gewünschten Informationen bereitzustellen.
Einige Cyberkriminelle nutzen eine eindringliche Sprache, um ihre Konversation so darzustellen, als ob sie dem Opfer helfen würden, zum Beispiel eine Strafanzeige zu vermeiden.
Eine weitere gängige Taktik besteht darin, bedrohliche Voicemails zu hinterlassen, die den Empfänger auffordern, sofort zurückzurufen, sonst riskiert er eine Verhaftung, die Schließung von Bankkonten oder Schlimmeres.
Wie funktioniert Vishing?
Ein erfolgreicher Vishing-Angriff erfordert mehr als nur das Anrufen zufälliger Telefonnummern.
Cyberkriminelle nutzen einen strategischen Ansatz, um Opfer zu bestehlen:
- Der Cyberkriminelle beginnt damit, seine potentiellen Opfer zu recherchieren.
Dieser Vorgang kann das Versenden von Phishing-E-Mails beinhalten. Der Angreifer hofft, dass jemand antwortet und dadurch persönliche Informationen preisgibt.
- Wenn die Zielperson bereits durch eine Phishing-E-Mail getäuscht wurde, ist es unwahrscheinlich, dass es dem Anrufer gegenüber misstrauisch ist. Je nach Komplexitätsgrad des Vishing-Angriffs erwartet das Opfer einen Anruf.
- Sobald der Angreifer jemanden am Telefon hat, besteht sein nächster Schritt darin, an die menschlichen Instinkte des Opfers zu appellieren: Vertrauen,
Angst, Gier und Hilfsbereitschaft. Abhängig vom Vishing-Angriff kann der Betrüger alle oder nur eine dieser Social-Engineering-Techniken anwenden, um dem Opfer das Gefühl zu geben, das Richtige zu tun. Der Cyberkriminelle
kann nach Bankkontoinformationen oder Kreditkartendaten fragen oder die Zielperson dazu auffordern, Maßnahmen zu ergreifen, indem es Geld überweist, vertrauliche arbeitsbezogene Dokumente per E-Mail verschickt oder Angaben zu seinem Arbeitgeber macht.
- Die Cyberkriminalität hört hier allerdings nicht auf. Da der Angreifer nun über diese sensiblen und persönlichen Informationen der Zielperson verfügt,
können weitere Straftaten begangen werden. Beispielsweise kann der Betrüger nun das Bankkonto des Opfers belasten oder einen Identitätsdiebstahl begehen.
Einige Vishing-Angreifer geben den Opfern eine Telefonnummer, die sie anrufen können, wenn sie Fragen haben oder beispielsweise die Bearbeitung ihrer Steuern nachverfolgen oder die Ergebnisse ihres COVID-19-Virustests erfahren möchten.
Dies trägt dazu bei, den Anrufer zu legitimieren. Wenn das Opfer die Nummer anruft, wird es möglicherweise mit der Voicemail verbunden oder spricht mit einem Menschen, der den Vishing-Betrug fortsetzt.
Vier gängige Vishing-Techniken
Hier finden Sie eine Liste mit den vier gängigsten Vishing-Techniken:
1. Wardialing
Der Cyberkriminelle verwendet eine Software, um bestimmte Vorwahlen
anzurufen und dabei eine Nachricht zu verwenden, die eine örtliche Bank oder eine andere legitime örtliche Organisation betrifft.
Wenn der Anruf entgegengenommen wird, beginnt die automatische Nachricht, in der die Zielperson aufgefordert wird, ihren vollständigen Namen, Kreditkartendaten, Bankkontoinformationen, Postanschrift und sogar Sozialversicherungsdaten anzugeben.
In der aufgezeichneten Nachricht wird in der Regel erklärt, dass diese Informationen benötigt werden, um zu bestätigen, dass das Konto des Opfers nicht kompromittiert wurde, oder um gültige Kontodaten zu
bestätigen.
2. VoIP
Durch VoIP können Cyberkriminelle sehr einfach gefälschte Nummern erstellen und sich dahinter verstecken. Diese Nummern sind schwer zu verfolgen und können zur Erstellung von Telefonnummern verwendet werden, die lokal erscheinen oder eine 1-800-Vorwahl verwenden.
Einige Cyberkriminelle erstellen sogar VoIP-Nummern, die scheinbar von einer
Regierungsbehörde, einem örtlichen Krankenhaus oder einer Polizeidienststelle stammen.
3. Anrufer ID Spoofing
Wie beim VoIP-Vishing versteckt sich der Cyberkriminelle hinter einer gefälschten Telefonnummer, indem er die Anrufer-ID fälscht.
Sie geben möglicherweise ihren Namen als „Unbekannt“ an oder geben vor, einen
legitimen Anrufer zu repräsentieren.
4. "Dumpster Diving"
Eine einfache und beliebte Methode, gültige Telefonnummern zu sammeln, besteht darin, Müllcontainer hinter Banken, Bürogebäuden und beliebigen Organisationen zu durchsuchen.
Oft finden Kriminelle genügend Informationen, um einen gezielten Vishing-Angriff gegen ausgesuchte Zielpersonen durchzuführen.
Entscheidend für den Erfolg jeder Art von Phishing ist Social Engineering.
Menschen sollten gegenüber Anrufern misstrauisch sein, die eine dringliche, energische oder überzeugende Sprache verwenden. Denken Sie daran, dass der technische Support von Microsoft, Amazon oder Ihr örtliches Krankenhaus niemals nach Ihren persönlichen Bankdaten oder PIN-Codes fragen wird.
Beispiele von Vishing
Vishing ist leider keine Seltenheit und diese drei Beispiele verdeutlichen, wie
einfach es für Betrüger sein kann, Zielpersonen zum Handeln zu überreden.
- Regierungsvertreter
Der Anrufer gibt vor, im Namen der Regierung anzurufen und möchte z.B.
ihre persönlichen Identifikationsdaten überprüfen. Der Anrufer kann damit drohen, Steuerrückerstattungen oder Sozialversicherungszahlungen auszusetzen, wenn das Opfer nicht die zur Bestätigung seines Kontos und seiner Identität erforderlichen Informationen bereitstellt.
- Bankidentitätsbetrug
Mithilfe einer gefälschten Telefonnummer und Anrufer-ID gibt der Cyberkriminelle vor, im Namen der Bank des Opfers anzurufen. Der Anrufer gibt an, dass auf dem Konto des Opfers ungewöhnliche Aktivitäten stattgefunden haben, und bittet das Opfer, seine Bankkontodaten einschließlich seiner Postanschrift als Identitätsnachweis zu bestätigen.
- Telemarketing-Angriff
Jeder möchte einen kostenlosen Preis gewinnen, und Cyberkriminelle nutzen
dies aus, um ahnungslose Opfer zur Herausgabe vertraulicher Informationen
zu verleiten. Der Anrufer behauptet, diese Informationen seien erforderlich, um den kostenlosen Preis zu bearbeiten und sicherzustellen, dass das Opfer ihn rechtzeitig erhält.
So erkennen und verhindern Sie Vishing
Jeder kann von Betrügern ins Ziel genommen werden für einen Vishing-Angriff.
Hier erfahren Sie, auf was Sie besonders aufmerksam sein sollten, wenn Sie einen
unerwarteten Anruf erhalten:
- Teilen oder bestätigen Sie niemals Ihre persönlichen Daten am Telefon.
- Hören Sie dem Anrufer sehr aufmerksam zu. Achten Sie auf die verwendete
Sprache und denken Sie nach, bevor Sie antworten. - Seien Sie vorsichtig bei Telefonnummern, die Ihnen der Anrufer zur
Bestätigung seiner Identität gibt. Suchen Sie selbst nach der Telefonnummer
und rufen Sie die Nummer mit einem anderen Telefon an. - Beantworten Sie keine Anrufe von unbekannten Nummern. Lassen Sie den
Anruf an Ihre Voicemail weiterleiten und hören Sie sich die Nachricht
aufmerksam an. - Stellen Sie Fragen. Wenn der Anrufer versucht, Ihnen einen kostenlosen
Preis zu schenken oder Ihnen etwas zu verkaufen, bitten Sie ihn um einen
Nachweis, anhand dessen Sie überprüfen können, wer er ist und wo er
arbeitet.
Sind Sie einem Betrug zum Opfer gefallen?
Wir, die MFP – Manufaktur für Problemlösungen, sind Experten im Bereich der
Finanzkriminalität.
Wir sind darauf spezialisiert verloren geglaubte digitale Vermögenswerte zu
identifizieren, verfolgen und wiederherzustellen.
