Vishing: Wie Sie Voice Phishing erkennen und Angreifer abwehren

Der Begriff „Vishing“ setzt sich aus den beiden Wörtern „Voice“ (dt. „Stimme“) und „Phishing“ zusammen, weshalb diese moderne Be­trugs­ma­sche häufig auch Voice Phishing genannt wird. Angreifer nutzen beim Vishing die Technik der IP-Telefonie aus, um eine Vielzahl kos­ten­güns­ti­ger bzw. kos­ten­lo­ser Be­trugs­an­ru­fe durch­zu­füh­ren und so Daten, Pass­wör­ter oder Bank­in­for­ma­tio­nen von ah­nungs­lo­sen Opfern zu stehlen.

Wir erklären die Stra­te­gien der „Visher“ und zeigen, wie Sie sich gegen die be­trü­ge­ri­schen VoIP-Anrufe schützen können.

Mit einer Kom­bi­na­ti­on aus tech­ni­scher und emo­tio­na­ler Ma­ni­pu­la­ti­on versuchen Visher, an wichtige Daten ihrer Opfer zu gelangen. Technisch bedeutet Vishing, dass ein Betrüger VoIP-Tech­no­lo­gie (Voice over IP) ma­ni­pu­liert, um seine eigene Identität und Rufnummer zu verbergen. Der Betrüger täuscht also vor, von einer Te­le­fon­num­mer anzurufen, die ihm nicht gehört bzw. nicht mit seiner IP-Adresse in Ver­bin­dung steht. Voice Phishing ist für die Täter attraktiv, da die Kosten für VoIP-Anrufe sehr niedrig sind. Ein Visher kann mit einer aktiven In­ter­net­ver­bin­dung also viele Tausend Anrufe machen und im Er­folgs­fall eine Vielzahl an Daten sammeln.

Zu der tech­ni­schen Kom­po­nen­te kommt beim Voice Phishing eine emo­tio­na­le Kom­po­nen­te: Angreifer denken sich eine Ge­schich­te aus, die es für das Opfer plausibel und notwendig er­schei­nen lässt, sofort zu handeln und sensible Daten wei­ter­zu­ge­ben. Man spricht in diesem Fall auch von Social En­gi­nee­ring, also der gezielten, zwi­schen­mensch­li­chen Be­ein­flus­sung, um an ver­trau­li­che In­for­ma­tio­nen zu gelangen. Visher nutzen durch psy­cho­lo­gi­sche Tricks gezielt typische mensch­li­che Ver­hal­tens­wei­sen aus, um die Opfer zur Preisgabe sensibler In­for­ma­tio­nen zu bewegen. Obwohl viele un­ter­schied­li­che und perfide Vishing-Be­trugs­ma­schen exis­tie­ren, gibt es ein Muster, das allen Voice-Phishing-Attacken gemeinsam ist:

1. Der Angreifer schildert am Telefon ein Problem, von dem Sie zum ersten Mal hören.
2. Um das Problem zu beheben, fordert der Visher per­sön­li­che Daten wie Zu­gangs­da­ten zu einem Account, Konto- oder Kre­dit­kar­ten­da­ten von Ihnen.
3. Der Angreifer ap­pel­liert an die Dring­lich­keit der Situation und will so­for­ti­ges, schnelles Handeln pro­vo­zie­ren.

In der Praxis nutzen Betrüger immer wieder dieselben Ge­schich­ten, um an die Daten ihrer Opfer zu gelangen. Ver­schaf­fen Sie sich einen Überblick über die gän­gigs­ten Maschen, um be­trü­ge­ri­sche Anrufe in­stink­tiv von legitimen Anrufen un­ter­schei­den zu können.

Ein unter Betrügern beliebter An­satz­punkt beim Voice Phishing ist, sich als Sup­port­mit­ar­bei­ter einer großen Software-Firma aus­zu­ge­ben. Der Angreifer täuscht in diesem Fall ein ver­meint­li­ches Software-Problem vor, bei dessen Lösung er Ihnen be­hilf­lich sein will. Dazu sollen Sie ein Programm her­un­ter­la­den, das dem Visher vollen Fern­zu­griff auf den Rechner gibt. Einmal in­stal­liert, hat der Angreifer die Mög­lich­keit, Schad­soft­ware zu in­stal­lie­ren und per­sön­li­che Daten zu stehlen.

Ein weiteres Beispiel für Vishing ist, wenn der Anrufer Ihnen mitteilt, dass Sie einen Preis in einem Ge­winn­spiel gewonnen haben. Um den Preis zu erhalten, müssten Sie al­ler­dings erst die Ver­sand­kos­ten bezahlen. Sie werden daher um Ihre Kon­to­da­ten gebeten. Zu­sätz­lich sollen Sie oft eine Ein­ver­ständ­nis­er­klä­rung für das elek­tro­ni­sche Last­schrift­ver­fah­ren erteilen. Die Kri­mi­nel­len buchen dann entweder re­gel­mä­ßig Geld unter dem Vorwand ab, sie hätten ein Abon­ne­ment ab­ge­schlos­sen, oder verkaufen die Daten an andere Betrüger weiter.

Sehr häufig zielt Voice Phishing auf Ihr Bank- oder Kre­dit­kar­ten­kon­to ab, weshalb sich viele Kri­mi­nel­le als Bank­mit­ar­bei­ter ausgeben. In diesem Szenario findet der Da­ten­dieb­stahl meistens ganz ohne direkten per­sön­li­chen Kontakt statt: Der Visher hin­ter­lässt eine Nachricht auf dem An­ruf­be­ant­wor­ter bzw. in der Mailbox, die Sie darüber in­for­miert, dass Ihr Bankkonto durch einen Hack oder einen tech­ni­schen Fehler in Gefahr sei.

Wenn Sie die Nummer zu­rück­ru­fen, hören Sie eine Band­an­sa­ge, die Ihre Zu­gangs­da­ten zum On­line­ban­king oder Ihre Kre­dit­kar­ten­da­ten abfragt. Der Angreifer hofft, dass Sie die Nachricht abhören und in Panik geraten. Schließ­lich gibt es kaum etwas Sen­si­ble­res als die eigenen Fi­nanz­da­ten.

Um Vishing zu erkennen und er­folg­reich ab­zu­weh­ren, ist Wach­sam­keit und gesundes Miss­trau­en gegenüber Au­to­ri­tä­ten notwendig. Folgende Hinweise sollten Sie bei Anrufen von ver­meint­li­chen Un­ter­neh­mens­mit­ar­bei­tern grund­sätz­lich beachten:

Tipp 1: Versuchen Sie immer nach­zu­voll­zie­hen, ob die Nummer des An­grei­fers überhaupt eine of­fi­zi­el­le Nummer der Firma sein kann, die der Angreifer vor­geb­lich vertritt. Doch selbst wenn Sie die Nummer auf der Website des Un­ter­neh­mens finden, ist dies keine Garantie dafür, dass der Anruf legitim ist. Das Vor­täu­schen einer Te­le­fon­num­mer ist ein wichtiger Be­stand­teil von Vishing. Der Check der Nummer kann nur einen ersten An­halts­punkt liefern und besonders schlecht vor­be­rei­te­te Angriffe abwehren.

Tipp 2: Sobald Sie Zweifel haben, sollten Sie das Gespräch un­ter­bre­chen und den Kun­den­ser­vice des Un­ter­neh­mens selbst kon­tak­tie­ren. Fragen Sie, ob die Nummer bekannt und das Vorgehen üblich ist. Verwenden Sie dabei immer nur die Te­le­fon­num­mern, die auf der Website des Un­ter­neh­mens angegeben sind. Rufen Sie keine Nummern an, die Sie lediglich in einer ver­meint­li­chen E-Mail des Un­ter­neh­mens gefunden haben. Solche E-Mails können Teil einer (Voice-)Phishing-Attacke sein.

Tipp 3: Geben Sie niemals Log-in- oder Bankdaten am Telefon weiter. Kein seriöses Un­ter­neh­men wird Sie am Telefon jemals nach Zu­gangs­da­ten für Ihre Accounts fragen. Wenn ein Anrufer Sie bittet, Kon­to­da­ten oder per­so­nen­be­zo­ge­ne Daten anzugeben, lehnen Sie dies ab – und melden den Kontakt der be­trof­fe­nen Firma.

Tipp 4: Wenn Sie vermuten, Opfer von Voice Phishing geworden zu sein, melden Sie den Vorfall der Polizei und erstatten Sie Anzeige! Außerdem sollten Sie den Vorfall der Firma melden, als dessen Mit­ar­bei­ter sich der Betrüger aus­ge­ge­ben hat. Sind Kon­to­da­ten betroffen, sprechen Sie mit Ihrer Bank und lassen Sie das Konto vor­über­ge­hend sperren. Zu­gangs­da­ten zu Accounts lassen sich oft online auf der Website sperren. Falls Sie dasselbe Passwort für ver­schie­de­ne Accounts nutzen (was kei­nes­falls zu empfehlen ist), müssen Sie das Passwort unbedingt überall ändern.

Tipp 4: Wenn Sie vermuten, Opfer von Voice Phishing geworden zu sein, melden Sie den Vorfall der Polizei und erstatten Sie Anzeige! Außerdem sollten Sie den Vorfall der Firma melden, als dessen Mit­ar­bei­ter sich der Betrüger aus­ge­ge­ben hat. Sind Kon­to­da­ten betroffen, sprechen Sie mit Ihrer Bank und lassen Sie das Konto vor­über­ge­hend sperren. Zu­gangs­da­ten zu Accounts lassen sich oft online auf der Website sperren. Falls Sie dasselbe Passwort für ver­schie­de­ne Accounts nutzen (was kei­nes­falls zu empfehlen ist), müssen Sie das Passwort unbedingt überall ändern.

Mit der eingangs for­mu­lier­ten Vishing-De­fi­ni­ti­on lässt sich Vishing von anderen Methoden des digitalen Da­ten­dieb­stahls abgrenzen.

Während das Ein­falls­tor für Kri­mi­nel­le beim Voice Phishing die IP-Telefonie ist, greifen diese beim so­ge­nann­ten Phishing auf E-Mails zurück, um per­sön­li­che Daten der nichts­ah­nen­den Nutzer „ab­zu­fi­schen“. Zu diesem Zweck werden die elek­tro­ni­schen Nach­rich­ten möglichst au­then­tisch auf­be­rei­tet und mit einem Link zu einer schäd­li­chen Website versehen. Eine Son­der­form des Phishings ist dabei das Spear Phishing, bei dem Betrüger es auf ganz bestimmte Daten eines oder mehrerer Opfer abgesehen haben. Spear Phisher werfen also kein großes Be­trugs­netz aus, sondern greifen fo­kus­siert und ziel­ge­rich­tet an.

Smishing funk­tio­niert prin­zi­pi­ell sehr ähnlich, al­ler­dings wird bei dieser Be­trugs­ma­sche die SMS als Mittel zum Da­ten­dieb­stahl genutzt.

Vishing, Phishing und Smishing un­ter­schei­den sich also durch die vom Trick­be­trü­ger benutzte Art der Kon­takt­auf­nah­me und Kom­mu­ni­ka­ti­on mit den Opfern. Das Ziel bleibt bei allen Varianten dasselbe: per­sön­li­che Daten wie Bankdaten, Kre­dit­kar­ten­num­mern oder Zu­gangs­da­ten zu stehlen, um sich fi­nan­zi­ell zu be­rei­chern.