March 6, 2022
Sicherheit
8 min gelesen

Was ist Vishing? Vishing-Angriffe erklärt

Vishing ist eine besondere Form des Phishing-Angriffs, bei der die Stimme über das Telefon verwendet wird. Der Anruf in Kombination mit Social Engineering führt die Opfer zum Schaden.

Ross K.
Sicherheitsexperte
Vishing ist eine besondere Form von Phishing-Angriffen. Der Buchstabe "v" weist darauf hin, dass diese Form des Angriffs über das Telefon erfolgt. Vishing verleitet die Opfer dazu, ihre persönlichen Daten preiszugeben. Bei diesen Versuchen können auch Social-Engineering-Techniken wie Pretexting und Tricks wie Spoofing der Anrufer-ID zum Einsatz kommen. Vishers verwenden in der Regel die Voice-over-Internet-Protocol (VoIP)-Technologie, die es Ihnen ermöglicht, Anrufe über Ihre Breitband-Internetverbindung statt über eine normale Telefonleitung zu tätigen. Das macht ihre Bemühungen noch effizienter. Was sollten Sie also über Vishing und Vishing-Angriffe wissen?

Wie funktioniert das Vishing?

Vishing wird mit der Absicht betrieben, dem Ziel persönliche Daten zu entlocken, meist um daraus einen finanziellen Vorteil zu ziehen. Vishing funktioniert, indem das Opfer telefonisch kontaktiert und nach vertraulichen Informationen wie Kontonummern, Passwörtern, PINs und Sozialversicherungsnummern gefragt wird.
Jemand gibt vor, dass die angeforderten Daten benötigt werden, um Kundenkonten zu überprüfen oder den Sicherheitsschutz zu verbessern usw. All dies ist nur eine clevere Fassade des Social Engineering, um das Vertrauen eines ahnungslosen Opfers zu gewinnen.
Diese Kriminellen können auch eine Art Verkaufsgespräch über kostenlose Geschenke oder niedrige Zinssätze nutzen, um ihre Opfer zur Herausgabe persönlicher Daten zu verleiten. Vishing ist keine neue Form des Betrugs, aber sie hat sich heutzutage zu einer viel gefährlicheren Bedrohung entwickelt. Das liegt vor allem daran, dass die VoIP-Anruftechnologie mit Roboteranrufern kompatibel ist. Durch diesen technologischen Fortschritt können diese Operationen in viel größerem Maßstab durchgeführt werden und sind daher für diejenigen, die solche Pläne aushecken, viel profitabler.
Vishing kann sehr effektiv sein, wenn es Tausende auf einmal anspricht, weil die Verbindung in Echtzeit stattfindet, während der Empfänger bei herkömmlichen Phishing-Mails und E-Mails Zeit hat, sie zu analysieren und zu beantworten.

Wie erkennt man einen Vishing-Angriff?

Wenn Sie jemand aus heiterem Himmel anruft und Sie auffordert, Ihre Daten herauszugeben, sollte Ihnen als Erstes Vishing in den Sinn kommen. Das trifft vielleicht nicht zu 100 % zu, aber es ist wichtig, sich dessen bewusst zu sein. Tatsache ist, dass kein seriöses Unternehmen einen Kunden telefonisch kontaktieren sollte, um seine Daten sofort zu ändern oder zu besprechen. Wenn überhaupt, ruft Sie Ihr Vorgesetzter oder Vertreter an, um Ihnen mitzuteilen, dass etwas nicht in Ordnung ist, und Sie aufzufordern, so schnell wie möglich etwas zu ändern, aber er wird Sie niemals nach Ihren Personalausweisen, Kontonummern oder Passwörtern fragen. Wenn Sie nach einem dieser Dinge gefragt werden, legen Sie auf und melden Sie die Nummer Ihrem Netzbetreiber und dem Unternehmen, für das sich der Anrufer ausgeben wollte.
Die Betrüger versuchen in der Regel zu beweisen, dass sie echt sind, und ihre Identität zu bestätigen, indem sie bestimmte Details über Sie oder Ihr Konto erwähnen. Sie könnten vorgeben, dass sie von einem Finanzinstitut, einem Kreditkartenunternehmen, dem technischen Kundendienst usw. anrufen.
Selbst wenn die Anrufer-ID mit dem Unternehmen übereinstimmt, von dem sie angeblich anrufen, kann sie gefälscht sein. Vishers können spezielle Software verwenden, um die Nummern zu ändern, die in Ihrer Anrufer-ID angezeigt werden. Daher sollten Sie immer wachsam sein und die gesamte Nummer über einen anderen Kanal überprüfen, bevor Sie den Anruf entgegennehmen oder irgendwelche persönlichen Informationen preisgeben. Im Zweifelsfall sollten Sie gar nicht erst ans Telefon gehen.

Bemerkenswerte Beispiele für Vishing-Angriffe

Wie Sie sich wahrscheinlich denken können und wie wir bereits erwähnt haben, handelt es sich hierbei um einen der ältesten Tricks der Welt. Nur werden die Vishers jetzt, wo sie über Robo-Calls und eine viel ausgefeiltere Technologie verfügen, immer gefährlicher. Im Laufe der Geschichte hat es zahlreiche lohnende Beispiele für Vishing-Angriffe gegeben.

IRS fordert Zahlungen in iTunes-Geschenkkarten

Ein Fall, der mir in den Sinn kommt, ereignete sich im Jahr 2015 in den gesamten Vereinigten Staaten. Vishers hatten es auf fast eine Million Menschen in den gesamten USA abgesehen, indem sie sich als IRS-Mitarbeiter ausgaben und Zahlungen für Steuern und fällige Bußgelder im Zusammenhang mit Steuermisswirtschaft und ähnlichen Angelegenheiten verlangten. Alles scheint gut zu sein, bis man erfährt, wie die Zahlung gefordert wurde. Mit iTunes-Geschenkkarten!
Tausende fielen auf den Betrug herein und überwiesen pro Antrag iTunes-Geschenkkarten im Wert von bis zu 500 Dollar. Doch leider können die Opfer nur sich selbst die Schuld geben, weil sie sich der Situation scheinbar nicht bewusst sind. Wenn das Finanzamt oder Steuerbeamte bei Ihnen anrufen, um Zahlungen über iTunes-Geschenkkarten zu verlangen, sollten Sie wissen, dass etwas nicht stimmt.

ID-Betrug beim mobilen Banking in Europa

Eine andere Betrugsmasche, die heutzutage häufig vorkommt und über Smishing und Vishing durchgeführt wird, ist auf Europa ausgerichtet. Er wird einfach "Mobile Bank ID" genannt.
In Skandinavien und vielen anderen EU-Ländern gibt es separate ID-Apps, mit denen man sich beim Online-Banking anmelden und Transaktionen authentifizieren kann. Sie sind integriert, aber völlig unabhängig und getrennt von den Banken (eine Art 2FA).
Bei dieser Masche kontaktierten schwedische Vishing-Hacker Bankkunden, gaben sich als Bankvertreter aus und wiesen sie auf ein besorgniserregendes Sicherheitsproblem in Bezug auf ihre Bank-ID hin. Sie wurden aufgefordert, ein paar einfache Schritte zu befolgen, um mit der ID-App zu überprüfen, ob das Konto kompromittiert wurde oder nicht. Die ganze Zeit über würden die Nutzer den Zugang zu ihren Konten gewähren, ohne auch nur ihr Passwort zu nennen. Ein sehr cleveres Social Engineering, das für den Nutzer harmlos erscheint. Sobald sie sich in die Konten eingeloggt haben, würden die Vishers sie ausräumen, und da bestimmte Überweisungen sehr schwer zu verfolgen und zu stornieren sind, würde das Geld einfach gestohlen werden.
Seitdem wurden die Banking-ID-Apps verbessert, um diese Form des Betrugs durch Vishing zu verhindern, aber Smishing ist immer noch weit verbreitet.

Millionen-Dollar-Betrug zu Weihnachten

Im Jahr 2010 nahm ein Betrüger Kontakt zu einer der größten nordeuropäischen Banken auf und gab sich als Vertreter eines großen Firmenkunden aus. Über einige Wochen hinweg rief er häufig in den Geschäftsstellen an und gewann das Vertrauen der Bankangestellten, insbesondere das einer Person aus der Abteilung für Unternehmensdienstleistungen.
Kurz vor Weihnachten rief der Besucher an und bat um eine ungewöhnliche und sofortige Überweisung von 7,5 Millionen Dollar auf ausländische Sonderkonten. Die Bankangestellten, die sich bereits persönlich mit dem Anrufer vertraut gemacht hatten, gaben der Bitte ohne weitere Prüfung statt. Da dies kurz vor Weihnachten geschah, bemerkte der Kunde das Fehlen des Geldes erst nach den Feiertagen, als es längst weg war.
Wie Sie sehen, fällt Vishing in die bei weitem größte Kategorie der Internet- und Internetkriminalität, die jährlich für fast 35 % des gesamten finanziellen Schadens verantwortlich ist. Es lohnt sich, darüber Bescheid zu wissen, um es zu erkennen und in Zukunft zu verhindern.

Sind Vishing-Angriffe gefährlicher als Smishing oder E-Mail-Phishing?

Ehrlich gesagt, gibt es bei Vishing-Angriffen keine Schadensbegrenzung. Obwohl es einige Präventivmaßnahmen gibt und immer mehr Menschen wissen, wie das funktioniert, bleiben die Kriminellen nicht untätig und finden immer neue Wege, um neue Technologien zu ihrem Vorteil zu nutzen und weiterzuentwickeln.
Aber ist Vishing etwas, worüber Sie sich Sorgen machen sollten? Oder sollten Sie sich eher um die anderen Varianten solcher Betrügereien kümmern, die über SMS-Nachrichten - Smishing und E-Mail-Phishing - erfolgen?
Vishing ist in jeder Hinsicht eine ausgefeiltere Version von E-Mail-Phishing und Smishing. Worin besteht der Unterschied? Die Kommunikation in Echtzeit und das Hören der Stimme einer anderen Person bieten viel mehr Möglichkeiten für einen schnellen Vertrauensgewinn.
Beantworten Sie folgende Frage: Glauben Sie, dass Menschen am ehesten etwas kaufen, wenn sie eine E-Mail oder eine SMS aus heiterem Himmel erhalten oder wenn sie persönlich angerufen werden? Ja, es gibt etwas an der Sprachkommunikation, das die Menschen dazu bringt, einander und den Informationen, die ausgetauscht werden, mehr zu vertrauen.
Es ist leicht, eine E-Mail zu fälschen, es ist leicht, etwas zu schreiben, das nicht der Wahrheit entspricht. Aber es gibt etwas an Menschen, das das Opfer glauben lässt, dass die Person am anderen Ende des Telefons tatsächlich das ist, was sie vorgibt zu sein. Hinzu kommt, dass der Schutz vor Vishing weit weniger ausgereift ist als der Schutz vor E-Mail-Phishing und Smishing.

Schlussfolgerung

Wenn Sie mehr über Vishing wissen wollen, dann hat Ihnen dieser Artikel hoffentlich das nötige Wissen vermittelt. Auch wenn Sie Schutzsoftware verwenden können, gibt es keinen Ersatz dafür, Ihr eigenes Bewusstsein zu schärfen und zu versuchen, Vishing-Angriffe zu erkennen, bevor und wenn sie passieren. Das Wichtigste ist, dass Sie nicht unvorsichtig werden. Egal, wer anruft oder welche Sicherheitsprobleme erwähnt werden, seien Sie immer misstrauisch gegenüber seltsamen Anfragen und tun Sie nichts, was Sie nicht sofort tun möchten. Denken Sie daran, dass niemand am Telefon nach Passwörtern, Passcodes oder Kontodaten fragen sollte. Nehmen Sie sich Zeit und wenden Sie sich zur Überprüfung an eine zweite Quelle.
Weitere Blogbeiträge
December 12, 2024
Anleitungen
4 min gelesen
Was ist Tor und warum Sie es für das höchste Maß an Privatsphäre nutzen sollten
Erfahren Sie, wie Tor Ihre Privatsphäre und Sicherheit im Jahr 2025 verbessert. Entdecken Sie, warum Tor für Anonymität online unerlässlich ist und wie es nahtlos mit Kraden für sichere Nachrichtenübermittlung integriert wird.
Ross K.
Sicherheitsexperte
September 17, 2024
Anleitungen
3 min gelesen
Die Zukunft der mobilen Privatsphäre: Warum GrapheneOS 2025 unverzichtbar ist
GrapheneOS revolutioniert die mobile Privatsphäre und Sicherheit mit seinem Zero-Trust-Design und fortschrittlichen Schutzfunktionen. Erfahren Sie, warum es die beste Wahl ist, um Ihre Daten im Jahr 2025 zu schützen.
Ross K.
Sicherheitsexperte
Ein Sicherheits- und IT-Unternehmen, das es sich zur Aufgabe gemacht hat, die Privatsphäre eines jeden Menschen zu einem Standard zu machen.
© 2022 Dragon Secure GmbH. Bahnhofstrasse 32, 6300, Zug, Schweiz
info@kraden.com