“Herzlichen Glückwunsch! Sie haben bei unserem Gewinnspiel gewonnen. Wenn Sie uns Ihre Kontoverbindung nennen, überweisen wir noch heute den Gewinn!” Wer über das Telefon persönliche Informationen und Kontodaten an unbekannte Dritte weitergibt, ist vermutlich auf eine Vishing-Masche hereingefallen – und das passiert täglich!
In letzter Zeit nehmen neben Phishing-Angriffen auch sogenannte Vishing-Attacken verstärkt zu, vor denen das FBI im Zusammengang mit der Home-Office-Regelung durch die Corona-Pandemie warnt. Die Angrifft zielen darauf ab private Daten für kriminelle Zwecke zu erbeuten. Die Angst vor Coronaviren ist unter anderem ein beliebtes Lockmittel, um über Malware-basierte Angriffe Geld zu erbeuten. Aber was bedeutet Vishing eigentlich genau und wie funktioniert es?
Am Telefon mit Betrüger*innen
Vishing ist eine Abkürzung für Voice-Phishing. Wie der Name schon vermuten lässt, geht es bei dieser Art von Angriff darum, Benutzer*innen über das Telefon dazu zu bringen sensible Daten preiszugeben. Während beim Phishing Links mit trügerischer Software in Onlinewerbung oder E-Mails auftauchen, wird die betroffenen Personen durch Vishing zu eigenständigen Handlungen über das Telefon angeleitet. Betrüger*innen geben sich dabei als vertrauenswürdige Personen aus, etwa Bankangestellte.
Der Startschuss einer solchen Attacke ist unter anderem eine fälschlich erhaltene Kontobuchung oder die vermeintliche Sperrung des PCs. Daraufhin werden Nutzer*innen entweder dazu aufgefordert bei einer bestimmten Telefonnummer anzurufen, damit das Problem gegen eine Gebühr behoben werden kann oder direkt telefonisch kontaktiert. Durch den persönlichen Kontakt am Telefon werden Opfer dazu gebracht freiwillig ihre Kreditkartendaten und persönlichen Informationen preiszugeben, die anschließend für betrügerische Abbuchungen genutzt werden.
Um an persönliche Informationen zu gelangen, werden beim Vishing menschliche Emotionen, zum Beispiel Angst, ausgenutzt. Hinzu kommt, dass die Opfer beim Vishing mit einer menschlichen Stimme konfrontiert sind, wodurch schnell Vertrauen aufgebaut wird. Diese gezielte zwischenmenschliche Beeinflussing wird auch Social Engineering genannt. Häufig werden dabei gezielt ältere Personen ausgesucht, die wenig technikaffin sind und dadurch keine Erfahrung mit dieser Form von Betrug haben.
Die Methoden beim Vishing sind vielfältig
Die Angriffe können über gezielte Anrufe und Sprachnachrichten erfolgen oder über Mails und Anzeigen, in denen Benutzer*innen ihrerseits zum Anruf aufgefordert werden. Im Vorfeld werden über soziale Netzwerke bereits Informationen zusammengetragen, wie Name, Wohnort oder E-Mail-Adresse, um die Telefonate so authentisch wie möglich zu gestalten und Vertrauen aufzubauen. Um die Erfolgschance zu erhöhen, verwenden Betrüger*innen oft Überrumpelungstaktiken oder bauen Druck auf, indem die Dringlichkeit des Problems betont wird.
Besonders beliebt bei Betrüger*innen ist es sich als Bankmitarbeiter*in oder Angestellte*r im Support einer Technikfirma auszugeben, um Daten des Online-Bankings abzugleichen, eine Überprüfung der PIN vorzunehmen oder ein (vermeintliches) Softwareproblem zu lösen. Dafür werden Betroffenen aufgefordert ein Programm zu installieren, welches Betrüger*innen den kompletten Zugriff auf den Rechner ermöglicht. Daraufhin kann jegliche Information manipuliert werden, wie zum Beispiel im Browser einen falschen Kontostand anzuzeigen oder Daten zu verschlüsseln. Eine weitere Masche ist es den Opfern mitzuteilen, dass sie in einem Gewinnspiel gewonnen haben und ihre Kontodaten für den Versand des Gewinns benötigt werden.
Außerdem werden nicht nur Privatpersonen, sondern auch Unternehmen Opfer von Vishing. Es gibt mittlerweile gezielte Vishing-Angriffe, die auf Mitarbeitende von Unternehmen im Homeoffice abzielen. Dabei werden bevorzugt Anmeldedaten für unternehmensinterne Netzwerke gesammelt, die im Anschluss teuer an kriminelle Banden verkauft werden.
Wie kann Vishing vermieden werden?
Die Vorbeugung von Vishing-Angriffen erfolgt sowohl auf der Seite der Benutzer*innen, als auch auf Unternehmensseite. Benutzer*innen sollten sich stets vor solchen Angriffen in Acht nehmen und immer ein gesundes Maß an Misstrauen hegen, wenn sie am Telefon nach sensiblen Informationen gefragt werden. Unternehmen wiederum sollten ihr Bestes tun, um ihre Angestellten zu schulen und in Lösungen investieren, die diese Art von Angriffen verhindern.
Wenn Zweifel über die Rechtmäßigkeit eines Anrufs aufkommen, sollte die Rufnummer überprüft und das Telefongespräch beendet werden. Anschließend können betroffene Personen das Unternehmen im Internet ausfindig machen und über eine selbst recherchierte Telefonnummer zurückrufen, um herauszufinden, ob es wirklich ein wichtiges Anliegen gibt. Grundsätzlich gilt: niemals Passwörter, Anmeldedaten oder Bankinformationen (wie PINs) über das Telefon herausgeben.
Fazit
Kurz und knapp auf den Punkt gebracht: Beim Vishing nutzen Betrüger*innen den persönlichen Kontakt über das Telefon zu ihrem Vorteil aus. Durch Überrumpelungstaktiken werden die Opfer dazu gebracht ihre persönlichen Daten preiszugeben, die anschließend dazu verwendet werden Geld zu erbeuten. Dadurch, dass die Betrüger*innen vorab in sozialen Netzwerken nach privaten Informationen recherchieren, um im Telefonat schnell Vertrauen aufzubauen, gilt es besonders an dieser Stelle wachsam zu sein. Wenn die Vermutung aufkommt, dass man selber Opfer einer solchen Masche geworden ist, gilt es umgehend die Bank und die Polizei zu kontaktieren, um den größtmöglichen Schaden abzuwenden.
Kryštof Hilar, CTO bei ThreatMark