Was ist Vishing (Sprach-Phishing)? Kurze Übersicht (2023)

Was ist Vishing?

Sie haben wahrscheinlich schon von Phishing-Angriffen gehört. In diesem Fall haben Sie wahrscheinlich eine Ahnung davon, was Vishing ist, nur weil es sich so anhört. Und in der Tat, der Hinweis steckt im Namen: Vishing ist eine Art von Phishing. Genauer gesagt ist es Voice-Phishing.

So wie diejenigen, die phishen, keine Fische fangen, sind auch Vishing-Kriminelle weit davon entfernt, Ihnen Gutes zu wünschen. Ein paar Anrufe, und Ihre Bankdaten können in die falschen Hände geraten. Zum Glück sind Sie für solche Angriffe gewappnet, wenn Sie wissen, was Sie zu erwarten haben.

Zusammenfassung

• Vishing oder Voice Phishing ist eine Social-Engineering-Taktik, bei der Personen durch Telefonanrufe dazu verleitet werden, sensible Informationen preiszugeben, wobei sie sich oft als vertrauenswürdige Institutionen ausgeben.
• Die Täter verwenden fortschrittliche Techniken wie die Fälschung von Anrufer-IDs und interaktive Sprachdialogsysteme, um glaubwürdig zu erscheinen und die Opfer zur Herausgabe von persönlichen Daten, Finanzinformationen oder Anmeldedaten zu verleiten.
• Zu den wirksamen Vorbeugungsmaßnahmen gegen Vishing gehört es, unaufgeforderten Anrufen gegenüber skeptisch zu bleiben, niemals vertrauliche Daten am Telefon preiszugeben, wenn Sie sich der Identität des Anrufers nicht absolut sicher sind, und mutmaßliche Vishing-Versuche den Behörden zu melden.

Werden Sie kein Opfer von Cyberkriminalität. Schützen Sie Ihre Geräte mit dem besten Antivirenprogramm und Ihre Privatsphäre mit dem besten VPN-Dienst.

Was ist Vishing? – eingehend

Vishing-Betrügereien haben eine relativ einfache Struktur. Sie erhalten einen Anruf von jemandem, der sich als Mitarbeiter der Sozialversicherung oder des Finanzamts ausgibt. Man teilt Ihnen mit, dass mit Ihrem Konto etwas nicht in Ordnung ist und bringt Sie nach und nach dazu, persönliche Daten preiszugeben.

Das nächste, was Sie wissen, ist, dass Sie einem völlig Fremden alle Informationen gegeben haben, die er braucht, um Geld von Ihrem Konto abzuheben. Oder, noch schlimmer, Sie haben ihnen das Geld selbst gegeben.

Dieses Szenario mag auf den ersten Blick unwahrscheinlich klingen. Schließlich sollten Sie es besser wissen, als sich von einem Telefonanruf täuschen zu lassen. Und genau das denken auch die meisten Vishing-Opfer.

Die Gefahr bei Vishing-Betrügereien besteht darin, dass sich Cyber-Kriminelle oft als Mitglieder einer Regierungsbehörde oder ähnlichem vorstellen. Auch wenn wir uns selbst für unabhängig oder rebellisch halten, würden die meisten Menschen diese Art von Autorität nicht anzweifeln. Dies gilt insbesondere, wenn der Anrufer behauptet, Informationen über Sie zu haben.

Leider ist dies der Ort, an dem Vishing-Betrügereien gedeihen. Die Betrüger sammeln in der Regel einige Informationen über das Opfer und nutzen diese, um dessen Vertrauen zu gewinnen. Wenn die Kriminellen damit Erfolg haben, wird der Angriff wahrscheinlich erfolgreich sein.

Wie funktioniert Vishing?

Vishing-Betrügereien laufen in vier Phasen ab:

1. Forschung
2. Bewertung des Opfers
3. Der Anruf
4. Sammeln und Missbrauchen von Informationen des Opfers

Forschung

Ein Vishing-Betrug beginnt mit viel Sorgfalt. Cyber-Kriminelle sind auf persönliche und private Informationen angewiesen, die sie über das Opfer finden können, also müssen sie so viel wie möglich davon haben, bevor der Angriff beginnt.

In der heutigen Zeit ist es viel einfacher, an bestimmte persönliche Informationen zu gelangen. Böswillige müssen sich nicht einmal in das Konto des Opfers hacken oder einbrechen – ein wenig Surfen in sozialen Netzwerken reicht völlig aus.

Sie werden zwar keine Angaben zu Ihrem Bankkonto oder Ihrer Kreditkarte in Ihrem Profil speichern, aber es gibt andere Dinge, die ein Krimineller nutzen könnte. Viele Profile in sozialen Netzwerken enthalten zum Beispiel Telefonnummern, Berufe und Informationen über den Aufenthaltsort von Personen. Auch wenn all diese Daten nicht ausreichen, um einen Vishing-Angriff zu starten, können sie als gute Grundlage dienen.

Das Sammeln von Informationen erfolgt oft automatisch über Programme, die massenhaft Informationen von Nutzern “abgreifen”. Cyber-Kriminelle können jedoch manchmal auch ganz persönlich werden, indem sie den Müll eines Benutzers durchwühlen, um nützliche Informationen auszugraben. Unabhängig davon, wie sie die Daten sammeln, können sie sie nutzen, um geeignete Opfer zu finden.

Bewertung des Opfers

Bei einem Vishing-Betrug werden häufig Phishing-Angriffe als erster Kontakt eingesetzt. In diesem Fall senden die Kriminellen eine E-Mail, die sich als seriöse Organisation ausgibt. In dieser – oft automatisierten – Nachricht wird das Opfer aufgefordert, seine Kontaktdaten mitzuteilen oder eine andere Aktion durchzuführen.

Die Kontaktaufnahme kann auch über Textnachrichten oder soziale Medien erfolgen. Wenn das Opfer antwortet, ist es wahrscheinlich anfällig für den Vishing-Angriff. Mit anderen Worten: Opfer, die sich auf falsche E-Mails oder andere Nachrichten einlassen, werden wahrscheinlich auch Anrufe entgegennehmen, selbst von einem verdächtigen Anrufer.

Einige Vishing-Angriffe überspringen diesen Schritt und nutzen einfach einen automatisierten Dienst, um eine große Anzahl von Personen anzurufen.

Der Anruf

Der eigentliche Phishing-Betrug beginnt in dem Moment, in dem das Telefon klingelt. Da viele Geräte heutzutage über eine Anrufer-ID verfügen, verwenden Betrüger verschiedene Techniken, um ihren Anruf als echt auszugeben.

Zum Beispiel können sie das Opfer während des Phishing-Angriffs auf den Anruf vorbereiten. Nehmen wir an, Sie wurden von jemandem kontaktiert, von dem Sie glauben, dass er ein seriöser Mitarbeiter eines renommierten Unternehmens ist. Man hat Ihnen gesagt, dass Sie in der nächsten Stunde einen Anruf erwarten können und genau das passiert auch. Warum sollten Sie nicht abnehmen?

Eine weitere Methode der Internetkriminalität, um Menschen anzurufen, ist die Verwendung der gleichen Ortsvorwahl wie das Opfer. Die Leute sind nicht so abgeneigt, solche Anrufe zu beantworten, verglichen mit Anrufen, die von unbekannten Nummern und anderen Gebieten kommen.

Wie bereits erwähnt, geben sich Vishing-Betrüger oft als seriöse Unternehmen, Vertreter der Sozialversicherung oder Mitglieder anderer Behörden aus. Wenn das Opfer auf den Trick hereinfällt und den Betrüger als legitimen Anrufer akzeptiert, wird es dem Kriminellen wahrscheinlich gelingen, Kreditkartendetails, Informationen über Finanzkonten oder andere wichtige Daten zu erhalten.

Beschaffung und Missbrauch von Informationen

Sobald die Betrüger die Kontoinformationen und Finanzdaten des Opfers erhalten haben, gehen sie zu schwereren kriminellen Aktivitäten über.

Cyber-Kriminelle können das Kreditkartenkonto nutzen, um betrügerische Transaktionen durchzuführen, sich Zugang zu Bankkonten zu verschaffen und massive finanzielle Schäden anzurichten. Doch damit sind ihre Aktivitäten wahrscheinlich noch nicht beendet.

Betrüger können sogar Identitätsdiebstahl begehen, um sich als das Opfer auszugeben, insbesondere wenn sie die Identifikationsdaten der Person wie die Sozialversicherungsnummer haben. Der Identitätsdiebstahl kann auch dazu genutzt werden, den Kreislauf des Sprachbetrugs fortzusetzen, indem Freunde und Kollegen des Opfers kontaktiert werden.

Was Betrüger Ihnen erzählen

Wir haben bereits festgestellt, dass sich die Kriminellen beim Voice Phishing als echte Anrufer ausgeben. Sie könnten sich ausgeben als:

• Regierungsbehörden
• Mitglieder eines Finanzinstituts
• Die Steuerbehörde IRS (Internal Revenue Service)
• Strafverfolgungsbehörden
• Ein echtes Geschäft
• Technische Unterstützung

Wenn sie sich als Regierungsbehörde ausgeben, wie es beim IRS-Steuerbetrug der Fall ist, werden die Kriminellen direkt nach Ihren sensiblen Daten fragen. Sie könnten sogar eine Zahlung oder Zugang zu Ihren Kontodaten verlangen.

Ebenso könnten sie sich als Mitarbeiter Ihrer Bank oder eines anderen Finanzinstituts ausgeben. In diesem Fall werden die Kriminellen oft nach Ihren Kontodaten fragen.

Vishing-Anrufe können aber auch in Form von technischem Support-Betrug erfolgen. In diesem Fall behauptet der Betrüger, es gäbe ein Problem mit einem Konto oder einem der Geräte des Benutzers. Sie können sich dann Zugang zum Computer des Opfers verschaffen, oft durch den Missbrauch der Internet-Protokoll-Adresse (IP).

Telefonbetrug kann auch wie eine weniger offizielle Angelegenheit aussehen. Sie könnten zum Beispiel einen Anruf erhalten, in dem Sie über einen Preis informiert werden, den Sie gewonnen haben, obwohl Sie sich nicht an die Teilnahme an einem Wettbewerb erinnern. Diese Art von Betrug ist relativ häufig, weil sie auf statistischer Wahrscheinlichkeit beruht: Rufen Sie tausend Leute an und sagen Sie ihnen, dass sie das Gewinnspiel gewonnen haben. Die Chancen stehen gut, dass es einige gibt, die sich tatsächlich für das Gewinnspiel angemeldet haben.

Vishing Beispiele – Häufige Vishing-Betrügereien

Zu den häufigsten Techniken, die bei Vishing-Angriffen eingesetzt werden, gehören:

• Wardialing
• VoIP
• Spoofing der Anrufer-ID
• Containertauchen

Wardialing

Wardialing ist eine automatisierte Methode für Phishing-Betrügereien, die auf einer bestimmten Vorwahl basiert. Die Methode wurde ursprünglich entwickelt, um verwundbare Einstiegspunkte in Webserver zu finden, aber sie funktioniert genauso gut für Vishing. Bei dieser Technik wird eine automatisierte Nachricht gesendet, die angeblich von einer zuverlässigen Organisation stammt. Die Nachricht fordert das Opfer in der Regel auf, sein Konto zu bestätigen, fragt nach persönlichen oder finanziellen Informationen oder droht dem Opfer, den Betrüger direkt zu kontaktieren.

VoIP

Dies ist eine besonders gefährliche Technik, da die Kriminellen spezielle Software verwenden, um Anrufe von scheinbar legitimen Telefonnummern zu tätigen.

Die betreffende Telefonnummer könnte wie eine 1-800-Nummer aussehen oder von einer vertrauenswürdigen Institution wie einer Polizeibehörde oder einem Krankenhaus stammen. Das macht den Rest des Social Engineering für die Betrüger viel einfacher und der Vishing-Anruf wird wahrscheinlicher.

Spoofing der Anrufer-ID

Spoofing ähnelt VoIP insofern, als der Anruf scheinbar von einer echten Regierungs- oder Geschäftsorganisation kommt. Manchmal ist die Telefonnummer versteckt oder es wird statt einer echten ID nur etwas wie “Polizei” oder “Finanzamt” angezeigt.

In diesem Fall kann der Telefonbetrug erfolgreich sein, wenn das Opfer noch nie Kontakt mit solchen Agenturen hatte und nicht weiß, wie deren Ausweise normalerweise aussehen.

Containertauchen

Dumpster Diving ist genau das, wonach es klingt. Kriminelle suchen im Müll nach sensiblen Informationen und durchsuchen oft Müllcontainer hinter Unternehmen oder Banken.

Diese Methode ist zwar weitaus weniger technisch als der Rest, kann aber überraschend effektiv sein. Wenn Ihre Telefonnummer auf einem weggeworfenen Stück Papier steht, reicht das für die Betrüger aus, um mit Ihnen Kontakt aufzunehmen und einen Vishing-Angriff zu starten.

Was tun, wenn Sie von einem Vishing-Betrug betroffen sind?

Ein großer Teil der Verteidigung gegen Vishing besteht darin, zu erkennen, was passiert. Hier ist, worauf Sie achten sollten:

1. Seien Sie vorsichtig, wenn der Anrufer Sie nach sensiblen Informationen fragt. In den meisten Fällen werden Behörden, Banken, Krankenhäuser oder die Polizei Ihre Daten nicht am Telefon erfragen. Geben Sie bei Anrufen nicht Ihre Kreditkarten- oder Sozialversicherungsdaten preis.
2. Achten Sie darauf, ob der Anrufer eine bestimmte Sprache verwendet, die an grundlegende Triebe wie Gier oder Angst appelliert. Wenn Organisationen offizielle Geschäfte abwickeln, werden sie niemals eine solche Sprache verwenden und stattdessen unparteiisch und angemessen distanziert klingen.
3. Wenn der Anrufer auf Ihre persönlichen Daten besteht, fragen Sie ihn stattdessen nach seinen Daten. Beenden Sie dann den Anruf und überprüfen Sie die Legitimität des Anrufers anhand der Angaben, die er Ihnen gemacht hat. Denken Sie daran, dass ein Vishing-Betrug auf Social Engineering beruht. Die Betrüger haben wahrscheinlich nicht die Mittel, um eine detaillierte falsche Identität zu erstellen.
4. Falls der Anrufer Sie auffordert, einen Anruf zu tätigen oder Textnachrichten zu senden oder zu empfangen, überprüfen Sie die angegebenen Nummern, bevor Sie etwas unternehmen. Wenn möglich, rufen Sie diese Nummern von einem anderen Telefon aus an, anstatt von Ihrem eigenen.
5. Manchmal ist es am einfachsten, einen Vishing-Angriff zu vermeiden, indem Sie den Anruf gar nicht erst entgegennehmen. Wenn Sie von einer unbekannten Nummer angerufen werden, nehmen Sie nicht ab, sondern lassen Sie die Voicemail den Anruf entgegennehmen. Und wenn Sie bereits mit einem verdächtig klingenden Anrufer telefonieren, sollten Sie nicht zögern, aufzulegen, wenn Sie einige rote Fahnen bemerken.

Was ist der Unterschied zwischen Vishing, Phishing und Smishing?

Vishing, Phishing und Smishing mögen wie ein dummer Scherz klingen, aber alle drei stellen eine ernste Gefahr dar. Diese Arten von Angriffen werden von Cyberkriminellen genutzt, um an persönliche oder finanzielle Informationen zu gelangen.

Phishing

Ein Phishing-Angriff ist wahrscheinlich die bekannteste Methode. Bei diesen Angriffen werden gefälschte Websites, Nachrichten und E-Mails verwendet, um das Opfer dazu zu bringen, auf einen Link zu klicken. Phishing beinhaltet oft Malware und ähnliche digitale Techniken, um an persönliche Informationen zu gelangen.

Smishing

Als Unterkategorie des Phishings werden beim Smishing ausschließlich Nachrichten verwendet. Diese Art von Angriff kann weniger effektiv sein als andere, aber gefälschte Nachrichten sind einfacher einzurichten und zu automatisieren. Mit anderen Worten: Beim Smishing können die Kriminellen die Software starten und abwarten, während die persönlichen Daten gesammelt werden.

Vishing

Inzwischen sollten Sie genau wissen, was Vishing ist und wie es funktioniert. Wie einige Arten von Phishing beinhaltet auch ein Vishing-Angriff Social Engineering. Diese Methode zeichnet sich dadurch aus, dass die Kriminellen oft einen proaktiven Ansatz verfolgen und das Opfer direkt am Telefon ansprechen.

Wie Sie online sicher bleiben:

• Verwenden Sie sichere Passwörter: Verwenden Sie für jedes Konto ein einzigartiges und komplexes Passwort. Ein Passwort-Manager kann Ihnen dabei helfen, diese zu erstellen und zu speichern. Aktivieren Sie außerdem die Zwei-Faktor-Authentifizierung (2FA), wann immer sie verfügbar ist.
• Investieren Sie in Ihre Sicherheit: Der Kauf des besten Antivirenprogramms für Windows 11 ist der Schlüssel für Ihre Online-Sicherheit. Ein hochwertiges Antivirenprogramm wie Norton, McAfee oder Bitdefender schützt Ihren PC vor verschiedenen Online-Bedrohungen, einschließlich Malware, Ransomware und Spyware.
• Seien Sie vorsichtig bei Phishing-Versuchen: Seien Sie vorsichtig, wenn Sie verdächtige Mitteilungen erhalten, in denen nach persönlichen Daten gefragt wird. Seriöse Unternehmen werden niemals per E-Mail oder SMS nach sensiblen Daten fragen. Bevor Sie auf einen Link klicken, vergewissern Sie sich über die Echtheit des Absenders.
• Bleiben Sie auf dem Laufenden: In unserem Blog behandeln wir eine breite Palette von Cybersicherheitsthemen. Und es gibt mehrere glaubwürdige Quellen (in englischer Sprache), die Berichte über Bedrohungen und Empfehlungen anbieten, wie NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike und viele mehr.

Viel Spaß beim Surfen!

Häufig gestellte Fragen

Nachstehend finden Sie die am häufigsten gestellten Fragen.