Vishing: Wie Sie Voice Phishing erkennen und Angreifer abwehren

Der Begriff „Vishing“ setzt sich aus den beiden Wörtern „Voice“ (dt. „Stimme“) und „Phishing“ zusammen, weshalb diese moderne Betrugsmasche häufig auch Voice Phishing genannt wird. Angreifer nutzen beim Vishing die Technik der IP-Telefonie aus, um eine Vielzahl kostengünstiger bzw. kostenloser Betrugsanrufe durchzuführen und so Daten, Passwörter oder Bankinformationen von ahnungslosen Opfern zu stehlen.

Wir erklären die Strategien der „Visher“ und zeigen, wie Sie sich gegen die betrügerischen VoIP-Anrufe schützen können.

Mit einer Kombination aus technischer und emotionaler Manipulation versuchen Visher, an wichtige Daten ihrer Opfer zu gelangen. Technisch bedeutet Vishing, dass ein Betrüger VoIP-Technologie (Voice over IP) manipuliert, um seine eigene Identität und Rufnummer zu verbergen. Der Betrüger täuscht also vor, von einer Telefonnummer anzurufen, die ihm nicht gehört bzw. nicht mit seiner IP-Adresse in Verbindung steht. Voice Phishing ist für die Täter attraktiv, da die Kosten für VoIP-Anrufe sehr niedrig sind. Ein Visher kann mit einer aktiven Internetverbindung also viele Tausend Anrufe machen und im Erfolgsfall eine Vielzahl an Daten sammeln.

Zu der technischen Komponente kommt beim Voice Phishing eine emotionale Komponente: Angreifer denken sich eine Geschichte aus, die es für das Opfer plausibel und notwendig erscheinen lässt, sofort zu handeln und sensible Daten weiterzugeben. Man spricht in diesem Fall auch von Social Engineering, also der gezielten, zwischenmenschlichen Beeinflussung, um an vertrauliche Informationen zu gelangen. Visher nutzen durch psychologische Tricks gezielt typische menschliche Verhaltensweisen aus, um die Opfer zur Preisgabe sensibler Informationen zu bewegen. Obwohl viele unterschiedliche und perfide Vishing-Betrugsmaschen existieren, gibt es ein Muster, das allen Voice-Phishing-Attacken gemeinsam ist:

1. Der Angreifer schildert am Telefon ein Problem, von dem Sie zum ersten Mal hören.
2. Um das Problem zu beheben, fordert der Visher persönliche Daten wie Zugangsdaten zu einem Account, Konto- oder Kreditkartendaten von Ihnen.
3. Der Angreifer appelliert an die Dringlichkeit der Situation und will sofortiges, schnelles Handeln provozieren.

In der Praxis nutzen Betrüger immer wieder dieselben Geschichten, um an die Daten ihrer Opfer zu gelangen. Verschaffen Sie sich einen Überblick über die gängigsten Maschen, um betrügerische Anrufe instinktiv von legitimen Anrufen unterscheiden zu können.

Ein unter Betrügern beliebter Ansatzpunkt beim Voice Phishing ist, sich als Supportmitarbeiter einer großen Software-Firma auszugeben. Der Angreifer täuscht in diesem Fall ein vermeintliches Software-Problem vor, bei dessen Lösung er Ihnen behilflich sein will. Dazu sollen Sie ein Programm herunterladen, das dem Visher vollen Fernzugriff auf den Rechner gibt. Einmal installiert, hat der Angreifer die Möglichkeit, Schadsoftware zu installieren und persönliche Daten zu stehlen.

Ein weiteres Beispiel für Vishing ist, wenn der Anrufer Ihnen mitteilt, dass Sie einen Preis in einem Gewinnspiel gewonnen haben. Um den Preis zu erhalten, müssten Sie allerdings erst die Versandkosten bezahlen. Sie werden daher um Ihre Kontodaten gebeten. Zusätzlich sollen Sie oft eine Einverständniserklärung für das elektronische Lastschriftverfahren erteilen. Die Kriminellen buchen dann entweder regelmäßig Geld unter dem Vorwand ab, sie hätten ein Abonnement abgeschlossen, oder verkaufen die Daten an andere Betrüger weiter.

Sehr häufig zielt Voice Phishing auf Ihr Bank- oder Kreditkartenkonto ab, weshalb sich viele Kriminelle als Bankmitarbeiter ausgeben. In diesem Szenario findet der Datendiebstahl meistens ganz ohne direkten persönlichen Kontakt statt: Der Visher hinterlässt eine Nachricht auf dem Anrufbeantworter bzw. in der Mailbox, die Sie darüber informiert, dass Ihr Bankkonto durch einen Hack oder einen technischen Fehler in Gefahr sei.

Wenn Sie die Nummer zurückrufen, hören Sie eine Bandansage, die Ihre Zugangsdaten zum Onlinebanking oder Ihre Kreditkartendaten abfragt. Der Angreifer hofft, dass Sie die Nachricht abhören und in Panik geraten. Schließlich gibt es kaum etwas Sensibleres als die eigenen Finanzdaten.

Um Vishing zu erkennen und erfolgreich abzuwehren, ist Wachsamkeit und gesundes Misstrauen gegenüber Autoritäten notwendig. Folgende Hinweise sollten Sie bei Anrufen von vermeintlichen Unternehmensmitarbeitern grundsätzlich beachten:

Tipp 1: Versuchen Sie immer nachzuvollziehen, ob die Nummer des Angreifers überhaupt eine offizielle Nummer der Firma sein kann, die der Angreifer vorgeblich vertritt. Doch selbst wenn Sie die Nummer auf der Website des Unternehmens finden, ist dies keine Garantie dafür, dass der Anruf legitim ist. Das Vortäuschen einer Telefonnummer ist ein wichtiger Bestandteil von Vishing. Der Check der Nummer kann nur einen ersten Anhaltspunkt liefern und besonders schlecht vorbereitete Angriffe abwehren.

Tipp 2: Sobald Sie Zweifel haben, sollten Sie das Gespräch unterbrechen und den Kundenservice des Unternehmens selbst kontaktieren. Fragen Sie, ob die Nummer bekannt und das Vorgehen üblich ist. Verwenden Sie dabei immer nur die Telefonnummern, die auf der Website des Unternehmens angegeben sind. Rufen Sie keine Nummern an, die Sie lediglich in einer vermeintlichen E-Mail des Unternehmens gefunden haben. Solche E-Mails können Teil einer (Voice-)Phishing-Attacke sein.

Tipp 3: Geben Sie niemals Log-in- oder Bankdaten am Telefon weiter. Kein seriöses Unternehmen wird Sie am Telefon jemals nach Zugangsdaten für Ihre Accounts fragen. Wenn ein Anrufer Sie bittet, Kontodaten oder personenbezogene Daten anzugeben, lehnen Sie dies ab – und melden den Kontakt der betroffenen Firma.

Tipp 4: Wenn Sie vermuten, Opfer von Voice Phishing geworden zu sein, melden Sie den Vorfall der Polizei und erstatten Sie Anzeige! Außerdem sollten Sie den Vorfall der Firma melden, als dessen Mitarbeiter sich der Betrüger ausgegeben hat. Sind Kontodaten betroffen, sprechen Sie mit Ihrer Bank und lassen Sie das Konto vorübergehend sperren. Zugangsdaten zu Accounts lassen sich oft online auf der Website sperren. Falls Sie dasselbe Passwort für verschiedene Accounts nutzen (was keinesfalls zu empfehlen ist), müssen Sie das Passwort unbedingt überall ändern.

Tipp 4: Wenn Sie vermuten, Opfer von Voice Phishing geworden zu sein, melden Sie den Vorfall der Polizei und erstatten Sie Anzeige! Außerdem sollten Sie den Vorfall der Firma melden, als dessen Mitarbeiter sich der Betrüger ausgegeben hat. Sind Kontodaten betroffen, sprechen Sie mit Ihrer Bank und lassen Sie das Konto vorübergehend sperren. Zugangsdaten zu Accounts lassen sich oft online auf der Website sperren. Falls Sie dasselbe Passwort für verschiedene Accounts nutzen (was keinesfalls zu empfehlen ist), müssen Sie das Passwort unbedingt überall ändern.

Mit der eingangs formulierten Vishing-Definition lässt sich Vishing von anderen Methoden des digitalen Datendiebstahls abgrenzen.

Während das Einfallstor für Kriminelle beim Voice Phishing die IP-Telefonie ist, greifen diese beim sogenannten Phishing auf E-Mails zurück, um persönliche Daten der nichtsahnenden Nutzer „abzufischen“. Zu diesem Zweck werden die elektronischen Nachrichten möglichst authentisch aufbereitet und mit einem Link zu einer schädlichen Website versehen. Eine Sonderform des Phishings ist dabei das Spear Phishing, bei dem Betrüger es auf ganz bestimmte Daten eines oder mehrerer Opfer abgesehen haben. Spear Phisher werfen also kein großes Betrugsnetz aus, sondern greifen fokussiert und zielgerichtet an.

Smishing funktioniert prinzipiell sehr ähnlich, allerdings wird bei dieser Betrugsmasche die SMS als Mittel zum Datendiebstahl genutzt.

Vishing, Phishing und Smishing unterscheiden sich also durch die vom Trickbetrüger benutzte Art der Kontaktaufnahme und Kommunikation mit den Opfern. Das Ziel bleibt bei allen Varianten dasselbe: persönliche Daten wie Bankdaten, Kreditkartennummern oder Zugangsdaten zu stehlen, um sich finanziell zu bereichern.