Was ist Voice-Phishing?
Der Begriff Vishing setzt sich aus den Wörtern Voicecall
, also Anruf, und Phishing
zusammen. Phishing ist eine beliebte Methode von Cyberkriminellen, um persönliche Daten wie Passwörter, Kontodaten und andere vertrauliche Informationen zu stehlen oder um Geräte mit Malware, wie z. B. Trojanern, zu infizieren. Während E‑Mails für Phishing-Angriffe genutzt werden, verwenden Betrüger und Cyberkriminelle Telefonanrufe für Vishing. Selbst Ihr altes Festnetztelefon kann ein Risiko für Ihre Cybersicherheit darstellen!
Dank Technologien wie VoiP (Voice over Internet Protocol, also Internettelefonie) und IVR (Interactive Voice Response, ein digitales Sprachmenü, das Anrufe vorfiltert) können Betrüger leicht viele Opfer auf der ganzen Welt erreichen. Beliebt ist die Verwendung falscher Identitäten, um die Opfer dazu zu bringen, den Hörer abzunehmen und vertrauliche Informationen preiszugeben. Aufgrund dieser und anderer Methoden zur Täuschung von Opfern, wie beispielsweise die Verwendung unbekannter Telefonnummern, ist es teilweise schwieriger als gedacht, einen Vishing-Betrug zu erkennen.
Heutzutage sind rund 30 % aller weltweiten Anrufe betrügerischer Natur. Telefon-Spam ist in Deutschland zwar verboten, mithilfe ständig wechselnder Telefonnummern versuchen Kriminelle dieses Problem jedoch zu umgehen. Woher haben diese überhaupt Ihre Telefonnummer? Oftmals ergattern Betrüger Telefonnummern im Dark Web, wo sie nach einem Data Breach weiterverkauft werden.
Wenn Sie sich vor Vishing-Angriffen schützen möchten, können Sie Ihre Nummer auf privat stellen. Seien Sie zudem vorsichtig, wem Sie Ihre Nummer geben. Indem Sie die Zugriffe für mobile Apps einschränken, beispielsweise auf das Adressbuch, können Sie verhindern, dass die Nummern Anderer in falsche Hände geraten.
Wie Sie einen Vishing-Betrug erkennen
Online-Betrüger sind nicht immer die kriminellen Superhirne, als die sie oftmals dargestellt werden. Wenn Sie auf folgende Anzeichen achten, können Sie einen Vishing-Betrug erkennen und abwenden, bevor etwas Schlimmes passiert.
1. Sie werden aufgefordert, vertrauliche Informationen preiszugeben. Egal, ob es sich um Ihre Kontodaten, Ihre Adresse, Ihr Geburtsdatum, Ihre Sozialversicherungsnummer, Ihre Anmeldedaten oder andere persönliche Daten handelt, geben Sie diese niemals an unseriöse Anrufer weiter. Vertrauenswürdige Institutionen würden Sie nie über das Telefon nach solchen Informationen fragen. Im Zweifelsfall beenden Sie das Gespräch und rufen Sie die Institution über die offizielle Nummer auf der Website an, um sich zu vergewissern.
2. Die Anfrage des Anrufers ist verdächtig dringend. Um Sie dazu zu bringen, wertvolle Informationen preiszugeben, wird die Aufforderung des Betrügers oft als dringlich dargestellt. Auf diese Weise werden Sie gezwungen, schnell zu handeln, ohne genügend Zeit zum Nachdenken zu haben und zu erkennen, dass der Anrufer möglicherweise nichts Gutes im Schilde führt. Halten Sie immer inne und überlegen Sie, ob die Forderung des Anrufers vernünftig erscheint.
3. Der Anrufer sagt Ihnen, dass er von einer vertrauenswürdigen Institution anruft. Das bedeutet natürlich nicht automatisch, dass der Anrufer ein Betrüger ist. Vertrauenswürdige Institutionen melden sich in der Tat gelegentlich per Telefon. Können Sie allerdings den Anrufer am Telefon nicht 100%ig identifizieren, dann seien Sie vorsichtig.
4. Der Anruf ist kurz und endet abrupt. Manchmal versuchen Betrüger, Sie zu einem Rückruf zu bewegen, indem sie kurze Anrufe tätigen, die enden, bevor sie überhaupt klingeln. Da hierfür oftmals eine kostenpflichtige Nummer verwendet wird, kann der Rückruf unerwartet teuer werden. Wenn Sie also einen Anruf von einer unbekannten Nummer verpasst haben, sollten Sie diese zunächst googeln. Im Internet finden sich Übersichten häufig genutzter Spam-Nummern. Blockieren Sie diese in Ihrem Mobiltelefon.
Wenn Sie glauben, dass Sie Ziel eines Vishing-Angriffs sein könnten, sollten Sie den Anruf sofort beenden. Alternativ können Sie einfach nichts sagen oder auf die Fragen des Anrufers mit Gegenfragen antworten. Eine weitere Option ist es, bei einem verdächtigen Anruf gar nicht erst den Hörer abzunehmen.
Beliebte Vishing-Scams
Es spielt keine Rolle, ob es sich um eine Einzelperson oder ein großes Unternehmen handelt, beide sind lohnenswerte Ziele für einen Vishing-Betrug. Bei Firmen werden gerne Hierarchien ausgenutzt, um an Firmeninformationen zu gelangen. So kann sich ein Betrüger beispielsweise als Ihr Vorgesetzter ausgeben und Sie bitten, eine Rechnung zu begleichen oder eine Software herunterzuladen. Leider tun viele ahnungslose Opfer, was ihr Chef
ihnen sagt. Insbesondere in Zeiten des Homeoffice werden solche Anrufe zu wenig hinterfragt.
Smarte Vishing-Angriffe machen sich aktuelle Ereignisse zunutze, wie z. B. die COVID-19-Pandemie. Die Ängste und Sorgen der Menschen ausnutzend, wandten sich Cyberkriminelle 2020 und 2021 an ihre Opfer mit angeblichen Angeboten für Impfungen und Tests gegen das Coronavirus. Dies ist nur ein Beispiel dafür, wie Vishing genutzt wird, um Opfer zu täuschen. Andere sind beispielsweise:
Als Behörde oder Autoritätsperson auftreten
Der Anrufer gibt sich als vertrauenswürdige Autoritätsperson aus. Dies können Vertreter der Regierung, des Finanzamtes, der Polizei oder einer lokalen Behörde sein. In Deutschland ist ein Anruf von Europol äußerst beliebt mit der Vorgabe, dass es um gestohlene persönliche Daten ginge. Der Anrufer möchte Ihre Identität sicherstellen und bittet Sie daher um vertrauliche Informationen, die daraufhin für einen Identitätsdiebstahl oder eine Kontoübernahme genutzt werden können.
Gerne werden hierfür normal
aussehende Telefonnummern verwendet, teilweise werden sogar echte Nummern von Institutionen gefälscht, was den Anruf legitim aussehen lässt.
Anruf vom technischen Support
Die IT-Abteilung Ihrer Firma oder der technische Support von Microsoft ruft Sie an und teilt Ihnen mit, dass anomale und verdächtige Aktivitäten in Ihrem Konto festgestellt wurden. Glücklicherweise kann Ihnen ein Link zum Herunterladen der neuesten Software-Version zugesendet werden, um das Problem zu beheben. In Wirklichkeit versucht der Anrufer, Sie dazu zu bringen, Malware auf Ihrem Gerät zu installieren — lassen Sie sich nicht täuschen. In einigen Fällen ist es den Kriminellen gelungen, das Opfer dazu zu bringen, Fernzugriff auf seinen Computer zu gewähren. Das heißt, dass die Betrüger freie Hand bekommen, um auf dem Gerät des Opfers zu tun, was sie wollen.
Investitions- und Kreditangebote
Heutzutage kann man mehr oder weniger alle Geldanlagen und Bankgeschäfte online erledigen. Cyberkriminelle machen sich dies zunutze. Ihre Alarmglocken sollten schrillen, wenn Sie ein Angebot erhalten, das zu gut klingt, um wahr zu sein. Sie sind mit Sicherheit Ziel eines Schneeballsystems oder eines Hackerangriffs. Denken Sie daran, dass echte Investoren und Kreditgeber nicht aus heiterem Himmel auf Sie zukommen, ohne Sie und Ihre Zahlungsfähigkeit gründlich zu überprüfen.
Telemarketing und Gewinnspiele
Herzlichen Glückwunsch! Sie haben ein Preisausschreiben gewonnen, an dem Sie nie teilgenommen oder von dem Sie noch nie gehört haben. Was auch immer der Anrufer sagt, was Sie tun sollen, seien Sie vorsichtig. In solchen Fällen versuchen die Betrüger, Ihre persönlichen oder finanziellen Daten zu stehlen, die dann für einen Identitätsdiebstahl oder zum Leerräumen Ihres Kontos verwendet werden.
Probleme mit Ihrem Kreditkartenkonto
Viele Menschen sind auf den Zugang zu ihrem Bankkonto und ihrer Kreditkarte angewiesen. Betrüger wissen das und geben daher gerne vor, dass es ein Problem mit Ihrer Kreditkarte oder Ihrem Konto gibt. Wenn Sie jemand am Telefon nach Ihren Kontodaten fragt, legen Sie auf, da es sich höchstwahrscheinlich um einen Betrug handelt.
Unterschiede zwischen Phishing, Smishing & Vishing
Wie bereits erwähnt, ist Vishing eine Art des Phishings. Vishing-Scams zeichnen sich dadurch aus, dass sie per Sprache erfolgen, während Betrüger bei Phishing-Angriffen in der Regel auf E‑Mails zurückgreifen. Telefonanrufe können jedoch auch nur Teil eines größeren Betrugs sein.
Eine andere, ähnliche Form des Betrugs ist Smishing. Hier nutzen Kriminelle in erster Linie Textnachrichten und Instant-Messaging-Dienste wie WhatsApp. Smishing-Opfer erhalten Nachrichten mit betrügerischen Links, die zu gefälschten Websites führen, über die dann vertrauliche Informationen gestohlen werden oder das Gerät des Opfers mit Malware infiziert wird.
Schlimmer noch: Smishing kann dazu verwendet werden, Nachrichten in bereits bestehende Nachrichtenverläufe einzufügen, z. B. zwischen dem Nutzer und einem Lieferdienst oder einer anderen bekannten Institution.
Auch wenn die Methoden von Phishing, Vishing und Smishing unterschiedlich sind, haben alle drei das gleiche Motiv: Die Betrüger möchten an Ihre persönlichen Daten oder Ihr Geld gelangen. Alle drei Methoden dienen zudem dazu, das Gerät des Opfers mit verschiedenen Arten von Malware wie Trojanern und Spyware zu infizieren.