Was ist ein Vishing-Angriff?
Vishing steht für „Voice Phishing“, also den betrügerischen Einsatz von Telefonanrufen und Sprachnachrichten mithilfe von Social‑Engineering-Techniken, bei dem Personen zur Preisgabe privater Informationen wie Bankdaten und Kennwörter verleitet werden sollen. Ein Vishing-Angriff kann auch gegen Unternehmen gerichtet sein. Dann geben sich die Angreifenden als Beschäftigte von Internetdiensten aus, um Zugriff auf Kennwörter und Informationen des Unternehmens zu erlangen.
Vishing-Angriffen zielen darauf ab, die Opfer davon zu überzeugen, Informationen bereitzustellen, welche Angreifer zu ihrer finanziellen Bereicherung nutzen können. Dies kann vom Kreditkarten- bis hin zum Identitätsdiebstahl reichen. Beim Vishing, das gegen Unternehmen gerichtet ist, sind die Ziele ähnlich – finanzielle Bereicherung –, oft besteht jedoch größeres Interesse daran, Informationen über Sicherheitsmaßnahmen für zukünftige Angriffe zu sammeln.
Weitere Informationen
Phishing, Vishing und Smishing im Vergleich
Phishing ist ein Oberbegriff für Angriffe, bei denen versucht wird, sich als seriöse Personen, Unternehmen oder Organisationen auszugeben, um Anmeldedaten oder vertrauliche Informationen zu stehlen. Die beliebteste Ausprägung dieser Angriffsform ist das E‑Mail-Phishing, bei dem oft CEOs anvisiert und geschäftliche E‑Mail-Konten kompromittiert werden.
Smishing ist eine Form des Phishing-Angriffs, bei dem eine Interaktion mit den Opfern über betrügerische Textnachrichten erfolgt.
Vishing beschreibt – wie eingangs erläutert – eine Form des Phishing-Angriffs, bei dem die Interaktion mit den Opfern über Telefonanrufe und Sprachnachrichten erfolgt.
Wie funktioniert ein Vishing-Angriff?
Ein Vishing-Angriff verläuft in der Regel in folgenden drei Schritten:
1. Beschaffung von Telefonnummern
In der Regel erfolgt dies über andere Phishing-Methoden oder den Zugriff auf private Daten, die von Unternehmen gespeichert wurden. Beispielsweise könnten Personen bei Restaurants oder Einzelhandelsgeschäften ihre Telefonnummer angegeben haben. Manchmal verwenden die Angreifenden Software, die mehrere Personen unter einer Telefonnummer mit derselben Vorwahl anruft, und hoffen, dass jemand abnimmt und die Nummer bestätigt. Bei einem Vishing-Angriff wird das Profil der Rufnummernanzeige gefälscht, sodass der Anruf scheinbar von einer Ortsvorwahl oder einer vertrauenswürdigen Organisation wie einer Bank stammt.
2. Beschaffung von Vertrauen
Ganz gleich, ob sie sich als Kreditkarten-, Energieversorgungs- oder Lieferunternehmen ausgeben, die Täuschungsmanöver der Angreifenden zielen darauf ab, sich Vertrauen zu verschaffen. Dies geht häufig mit einer dringenden Aufforderung einher, etwa: „Ein nicht autorisierter Nutzer hat Ihre Kreditkarte verwendet. Bestätigen Sie jetzt Ihre Identität, um die Belastung Ihres Kontos zu verhindern.“ Die Nachrichten suggerieren eine Dringlichkeit, die das potenzielle Opfer in Panik versetzen soll, damit es reagiert, ohne sich zu vergewissern, ob die Informationen den Tatsachen entsprechen.
3. Beschaffung von persönlichen Daten zur finanziellen Bereicherung
War der Vishing-Angriff erfolgreich, nutzen Angreifende die beschafften persönlichen Daten zur finanziellen Bereicherung: Beispielsweise können sie mit der gestohlenen Kreditkartennummer Einkäufe tätigen oder sogar eine neue Kreditkarte beantragen. Mit den richtigen Informationen können Angreifende Ihre Identität stehlen oder Ihre Bankkonten leeren. Wenn Sie in der Lage sind, einen Vishing-Angriff zu erkennen, können Sie genau das verhindern.
So erkennen Sie Vishing-Angriffe
Um einen Vishing-Angriff zu erkennen, müssen Sie die Täuschungsmethoden und Absichten der Angreifenden verstehen. Wenn Sie über Umstände Bescheid wissen, die Sie zum Angriffsziel machen könnten – etwa ein kürzlich aufgetretenes technisches Problem in einem Unternehmen oder verdächtige E‑Mails –, ist es leichter für Sie, wachsam zu bleiben. Vishing-Angriffe zielen darauf ab, an private Daten – von Einzelpersonen oder Unternehmen – zu gelangen. Die beste Verteidigung besteht in der Fähigkeit, einen laufenden Vishing-Angriff zu erkennen.
Anzeichen für einen Vishing-Angriff
- Das oberste Warnsignal für einen Vishing-Angriff besteht darin, dass die anrufende Person nach Ihren Daten fragt. Einige Angreifende verfügen bereits über Teilinformationen und setzen diese ein, um Sie dazu zu bewegen, ihr fehlendes Wissen zu ergänzen. Seien Sie immer vorsichtig, wenn jemand telefonisch um Ihre Bankkontodaten, die Sozialversicherungsnummer oder andere personenbezogenen Daten bittet.
- Mittels psychologischer Taktiken werden Emotionen wie Angst, Gier und ein Dringlichkeitsgefühl hervorgerufen. Die Androhung einer bevorstehenden Festnahme oder drängender Probleme mit Ihrem Konto soll Sie dazu veranlassen, unüberlegte Maßnahmen zu ergreifen. Bei solchen Anrufen sollten Sie in erster Linie Ruhe bewahren und auflegen, um Vishing-Angriffen vorzubeugen.
- Anrufe wegen Kontoproblemen oder technischem Support: Häufig werden ungewollt Meldungen auf Ihrem Computer angezeigt, denen zufolge Ihr Gerät infiziert sei. Dann werden Sie dazu aufgefordert, eine gebührenfreie Nummer anzurufen, die sich als technischer Support ausgibt.
Weitere Informationen
Wer fällt Vishing-Angriffen am häufigsten zum Opfer?
Gegen Unternehmen gerichtete Vishing-Angriffe konzentrieren sich auf neue Mitarbeitende, Personalabteilungen, IT-Teams und Call‑Center. Mitarbeitende, die frisch eingestellt wurden oder für Anrufe an andere Abteilungen zuständig sind, sind einem höheren Angriffsrisiko ausgesetzt. Vishing-Betrüger geben sich häufig als technischer Support aus und wollen ihr Gegenüber davon überzeugen, ihnen Zugriff auf Rechner zu gewähren. Manchmal fordern sie potenzielle Opfer dazu auf, Software mit schädlichem Code zu installieren, um sich weiteren Zugriff auf das Unternehmen zu verschaffen.
Gegen Einzelpersonen gerichtete Vishing-Angriffe konzentrieren sich häufig auf Durchschnittsverbraucher, die wahrscheinlich über ein Konto bei einer großen Bank oder einem Lieferdienst verfügen. Bei Vishing-Angriffen werden die Details oft vage formuliert, um die betrügerischen Absichten nicht zu verraten. Denn einem Angreifer wird es kaum gelingen, eine Person davon zu überzeugen, dass ihr Bankkonto gefährdet ist, wenn er die falsche Bank nennt. Angreifende nutzen Gefühle wie Angst, Gier und Panik aus, damit ihre Opfer den Angriff nicht als solchen erkennen.
Die 5 Angriffstypen des Vishing
| Typen | Beschreibung |
|---|---|
| 1. Wardialing | Wardialing ist ein Vishing-Angriff, bei dem Cyberkriminelle bestimmte Vorwahlen anrufen und den Opfern mit einer automatisierten Nachricht Angst einflößen. Sie geben vor, im Namen einer örtlichen Bank, eines Unternehmens oder einer Polizeistelle anzurufen, um sich zu vergewissern, dass das Konto der betreffenden Person nicht kompromittiert wurde. Dabei erfragen sie in der Regel vertrauliche Informationen wie Postanschrift, Bankkontodaten und sogar Sozialversicherungsnummern. |
| 2. VoIP | VoIP-Vishing zählt zu den Methoden, die am schwierigsten erkennbar sind, da Cyberkriminelle sich dabei hinter einer gefälschten Nummer verstecken. Dabei handelt es sich in der Regel um falsche Nummern mit der Orts- oder einer gebührenfreien Vorwahl. |
| 3. Containern | Das Containern ist eine Methode, die viele ausschließlich in der Rettung von Lebensmitteln verorten. Doch sie findet nach dem gleichen Prinzip tatsächlich auch im Phishing Anwendung. Die Vorgehensweise ist wie folgt: Kriminelle durchsuchen Müll-Container hinter Banken oder anderen wichtigen Organisationen und Unternehmen nach ausreichend Informationen, um einen gezielten Angriff auf ein Opfer durchzuführen. Zu den potenziell erbeuteten Daten gehören etwa Informationen zum Kontotyp, die Telefonnummer und die E‑Mail-Adresse. Mithilfe von Social‑Engineering-Techniken können sie dann zum Angriff übergehen. |
| 4. Anrufer-ID-Spoofing | Dieser Angriffstyp ähnelt dem VoIP-Vishing – mit dem Unterschied, dass als Anrufer‑ID beispielsweise „Finanzamt“ oder „Polizeistelle“ anstelle der Rufnummer angezeigt wird. |
| 5. Technischer Support | Betrüger geben sich als Mitarbeitende des Kundensupports großer Unternehmen wie Apple, Microsoft oder der Deutschen Bank aus. Denken Sie daran, dass Banken Sie niemals telefonisch nach persönlichen Daten wie Sozialversicherungsnummern fragen würden. |
Verhinderung und Abwehr von Vishing-Angriffen
Die wichtigste Maßnahme zur Vorbeugung gegen Vishing-Angriffe besteht darin, einen kühlen Kopf zu bewahren und keine privaten Informationen preiszugeben. Diese Strategie eignet sich gut gegen Vishing-Betrüger, da sie deren Angriffsversuche im Keim erstickt. Für Betriebe gibt es zusätzliche Schritte, die befolgt werden können, um sicherzustellen, dass die Mitarbeitenden sich im Sinne der Unternehmenssicherheit verhalten. Um einen Vishing-Angriff zu verhindern, kann es ausreichen, schlichtweg den Telefonhörer aufzulegen. Doch es gibt auch Präventivmaßnahmen, die darüber hinausgehen.
4 Tipps zur Verhinderung von Vishing-Angriffen
- Halten Sie Informationen geheim: Geben Sie keine Anmeldedaten und Kennwörter preis und geben Sie niemals Pass- oder Ausweisdaten weiter. Dadurch bleiben Ihre Konten und Ihre Identität besser geschützt.
- Tragen Sie sich in eine Robinsonliste ein: Dies ist ein kostenloser Dienst, der Ihre Telefonnummer für unerwünschte Anrufe sperrt. Zwar werden Vishing-Angreifer sich nicht an diese Sperre halten, doch wenn Sie auf der Schutzliste stehen, sollten seriöse Organisationen und Unternehmen gar nicht erst anrufen. Somit ist die Wahrscheinlichkeit geringer, dass es sich bei unbekannten Rufnummern um rechtmäßige Anrufe handelt.
- Unbekannte Rufnummern prüfen: Verwenden Sie Apps zur Überprüfung jeder unbekannten Nummer, die Sie anruft.
- Unbekannte Anrufe an die Voicemail weiterleiten lassen: Alternativ können Sie unbekannte Anrufe an die Voicemail weiterleiten lassen und den Teilnehmer anschließend direkt zurückrufen. Wenn es so aussieht, als würde Ihre Bank anrufen, Sie aber misstrauisch sind, rufen Sie direkt bei der Bank an und erkundigen sich, ob sie wirklich versucht hat, Sie zu kontaktieren. Dieses vorsichtige Verhalten kostet Sie möglicherweise etwas mehr Zeit, ist allerdings besser, als wertvolle persönliche Daten preiszugeben.
So können Unternehmen Vishing-Angriffen vorbeugen
Die beste Geschäftstaktik zur Vorbeugung gegen Vishing besteht darin, gute Cybersicherheit zu betreiben. Dies beginnt etwa mit einer Sicherheitsschulung für neue Mitarbeitende, um ihnen die Gefahr zu vermitteln, die Vishing-Angriffe für ein Unternehmen darstellen können. Machen Sie ihnen bewusst, dass sie nur verifiziertem technischem Personal Zugriff auf ihren Rechner gewähren dürfen.
Indem Sie Verdachtsfälle melden und den Hörer auflegen, wenn Sie einen möglichen Vishing-Anruf erhalten, können Sie Vishing-Versuche vereiteln. Erfolgreiche Vishing-Angriffe auf Unternehmen können zu weiteren Sicherheitsrisiken führen, weshalb Vorbeugung von entscheidender Bedeutung ist. Doch auch wenn Sie bereits einem Vishing-Angriff zum Opfer gefallen sind, gibt es noch Möglichkeiten, sich davon wieder zu erholen.
EXPERTEN-TIPP
Befolgen Sie die in diesem Leitfaden aufgeführten Tipps für die Implementierung eines umfassenden Schulungsprogramms zur Cybersicherheit für Ihre Mitarbeitenden. Es ist wichtig, dass sie über die häufigsten Angriffsarten in Ihrer Branche auf dem Laufenden bleiben und wissen, wie Mitarbeitende anvisiert werden. Nur so lernen sie, wie sie aktiv zum Schutz des Unternehmens beitragen können. Dazu gehört auch eine Schulung zur Erkennung von Phishing-Versuchen. „How To Create a Comprehensive Employee Cybersecurity Training Program“ lesen
So erholen Sie sich von einem Vishing-Angriff
Wie Sie sich von den Folgen eines Vishing-Angriffs erholen, hängt davon ab, wann Sie den Betrug als solchen erkennen. Während eines Angriffs oder unmittelbar danach sind die besten Zeitpunkte zum Reagieren, aber auch nachdem bereits Schaden angerichtet wurde, lässt dieser sich noch beheben. Das Verbrechen zu melden, ist immer ein guter Anfang.
Erforderliche Maßnahmen während eines laufenden Vishing-Angriffs
Wenn Sie während eines Telefonats feststellen, dass es sich um einen Vishing-Angriff handelt, legen Sie auf! Vishing-Betrüger können nicht auf Ihren Rechner oder Ihre persönlichen Daten zugreifen, wenn Sie ihnen diesen Zugriff nicht verschaffen. Sie können die Rufnummer jederzeit nach dem Auflegen melden und sollten dies insbesondere dann tun, wenn geschäftliche Informationen abgegriffen werden sollten.
Erforderliche Maßnahmen für Vishing-Opfer
Auch wer infolge eines Social‑Engineering-Angriffs wie Vishing bereits Daten preisgegeben hat, kann noch Maßnahmen ergreifen. Die erste besteht darin, all Ihre Kennwörter zu ändern, Ihr Finanzinstitut anzurufen und das Verbrechen zu melden. Die Federal Trade Commission nimmt Meldungen zu Vishing entgegen. Vorrangig müssen diejenigen Websites und Dienste behandelt werden, die in Besitz der von Ihnen preisgegebenen Informationen gelangt sind.
Einige Konten verwenden Multi‑Faktor-Authentifizierung, andere benachrichtigen Sie, wenn ein neues Gerät auf Ihr Konto zugreift. Überprüfen Sie diese Sicherheitsmaßnahmen, um sicherzustellen, dass sie noch funktionieren. Sie sollten auch alle Dienstanbieter (zum Beispiel Kreditkartenunternehmen und Banken) kontaktieren, die über Ihre kompromittierten Daten verfügen. Durch diese Maßnahmen sollte sich der künftige Schaden durch Vishing-Angriffe minimierten lassen.
