Bei Anruf Betrug: Eine Einführung in Vishing-Attacken und wie man ihnen nicht zum Opfer fällt

Ein Anruf von einer Steuerbehörde zählt nicht gerade zu den Dingen, auf die sich die meisten von uns freuen. Was dieses Szenario allerdings noch unendlich schlimmer machen kann, ist, wenn sich herausstellt, dass die Person, die sich als Steuerbeamter ausgegeben hat, tatsächlich ein Betrüger war, der Sie um Haus und Hof zu bringen versucht.

Dies passiert viel häufiger, als Sie wahrscheinlich denken, und hat das deutsche Bundeszentralamt für Steuern (BZSt) und Finanzverwaltungen verschiedener Bundesländer dazu veranlasst, Steuerzahler regelmäßig vor betrügerischen E-Mails und Anrufen zu warnen, in denen Erstattungsbeträge versprochen, Zahlungen gefordert oder gar Drohungen ausgesprochen werden.

Laut Umfragen aus dem Jahr 2022 unter erwerbstätigen Erwachsenen und IT-Experten sahen sich nahezu sieben von zehn Befragten bereits einmal mit einer Vishing-Attacke konfrontiert, was im Vergleich zu 2020 einen Anstieg um 54% darstellt. Diese Woche werden wir tiefer in die Welt von Vishing-Betrug eintauchen, um herauszufinden, warum und wie er erfolgt und welche Strategien Privatpersonen und Unternehmen anwenden können, um zu verhindern, dass sie ihm zum Opfer fallen.

Das Wichtigste vorweg: Was genau bedeutet Vishing?

Was also ist Vishing? Das aus den englischen Begriffen „Voice“ (Stimme) und „Phishing“ gebildete Kofferwort Vishing bezieht sich im Hinblick auf Cybersicherheit auf eine Social-Engineering-Methode, bei der Betrüger Telefonie und Sprachtechnologie nutzen, um persönliche Daten wie Passwörter und Bankkontoinformationen oder Geld von ihren Opfern zu stehlen.

Per Definition fällt Vishing-Betrug unter den Überbegriff „Phishing-Attacken“. Phishing beschreibt Betrugsmaschen, die über diverse Wege – einschließlich via E-Mail, SMS und Anrufen – erfolgen, um Opfer zum Preisgeben sensibler Informationen zu bewegen und mit diesen Identitätsdiebstahl zu begehen… doch mehr dazu später.

Wie funktioniert Vishing – und was macht Vishing-Betrug so effektiv?

In Vishing-Angriffen, erklärt https://www.computerweekly.com/de/definition/Vishing, nutzen Betrüger Telefonanrufe und Sprachnachrichten, um sich als bekannte und seriöse Unternehmen auszugeben und ihre Opfer dazu zu verleiten, ihnen Geld zu senden oder sensible Informationen herauszugeben. Diese Anrufe können durch reale Personen, Roboterstimmen oder Deepfakes – oder all diese zusammen – getätigt werden.

So kann ein Vishing-Versuch beispielsweise damit beginnen, dass die Betrüger ihrem anvisierten Opfer eine Sprachnachricht hinterlassen, die es darauf aufmerksam macht, dass sein Apple-Pay-Konto aufgrund von verdächtigen Aktivitäten gesperrt wurde. Sie fordern das Opfer dazu auf, eine hinterlassene Telefonnummer anzurufen, um das Kundendienst- oder Betrugsteam zu kontaktieren und das Problem zu beheben. Wer auch immer diesen Anruf entgegennimmt, wird das Opfer nach sensiblen Informationen wie einer PIN oder Anmeldedaten fragen, um seine „Identität zu bestätigen“ und „das Konto wieder zu aktivieren“.

Selbstverständlich würde keine seriöse Firma, Regierungsbehörde oder Finanzinstitution jemals Kunden darum bitten, ihren Benutzernamen und ihr Passwort fürs Online-Banking, ihre Sozialversicherungsnummer oder ihre Debitkarteninformartionen per Telefon preiszugeben. Ebenso wenig sollte niemand sich dazu verleiten lassen, derartige Informationen an unerbetene Anrufer herauszugeben, ganz egal, für wen diese sich ausgeben.

Warum also fallen Opfer weiterhin auf diese Tricks herein? Lassen Sie uns einmal einen Blick auf die wichtigsten Gründe hierfür werfen.

1. Gefälschte Telefonnummern
   Im Zuge des Vishing-Betrugs fälschen Kriminelle oftmals die Telefonnummern etablierter Unternehmen oder Einzelpersonen, um seriös zu erscheinen und Menschen zu weniger Wachsamkeit zu verleiten. Zum Beispiel warnte die ACCC im Frühjahr 2023 australische Verbraucher vor einer neuen Masche, bei der Hacker ihren Anruf so aussehen lassen, als käme er von der tatsächlichen Telefonnummer einer Bank, oder eine SMS senden, die im selben Thread wie echte Nachrichten der Bank erscheint. Die zuständige Regulierungsbehörde erhielt allein im Jahr 2022 14.603 Meldungen von Betrugsmaschen, in denen die Betrüger sich als Bank ausgaben und die insgesamt zu Verlusten in Höhe von mehr als 20 Millionen Dollar führten.
2. Tricks, um Vertrauen aufzubauen
   Ein weiterer Grund, warum Vishing-Attacken so überzeugend sein können, ist, dass Betrüger oftmals persönliche Informationen nutzen, die sie aus anderen Quellen bezogen haben, um einen Vishing-Angriff als ehrlichen Austausch zu tarnen,erklärt die Bank of America.So kennen sie möglicherweise Details wie Ihre Adresse oder die letzten vier Ziffern Ihrer Sozialversicherungsnummer, die sie entweder online gefunden oder im Darknet erworben haben. Die Kenntnis dieser Informationen in Kombination mit einem freundlichen, höflichen Umgangston und Fachjargon wird eingesetzt, um das Opfer zu beruhigen und in trügerischer Sicherheit zu wiegen.
3. Handlungsdruck
   Menschen dazu zu bewegen, ohne Nachdenken zu handeln, ist eine entscheidende Waffe im Arsenal von Vishing-Betrügern. Wie Sie an den Vishing-Beispielen im folgenden Abschnitt sehen werden, erreichen sie dies, indem sie eine emotionale Reaktion bei ihren Opfern hervorrufen, wie Angst, Habgier, Neugier oder den Wunsch, zu helfen. So mahnte beispielsweise die Bundessteuerbehörde der Vereinigten Staaten Steuerzahlerim Anschluss an Hurrikan Florence, sich vor Betrügern zu hüten, die ihre Großzügigkeit auszunutzen versuchten, indem sie sich als existierende Wohltätigkeitsorganisationen ausgaben oder neue erfanden, um Gelder oder Finanzinformationen via Telefon oder auf anderem Wege zu erbeuten.

Von fiktiven Rechnungen bis hin zu Hauptgewinnen: Beispiele für Vishing-Attacken

An dieser Stelle sollte angemerkt werden, dass Vishing-Attacken in jeglicher Form und Größe auftreten. Manche zielen auf Privatpersonen ab, andere nehmen Unternehmen ins Visier- Manche Betrüger gelüstet es nach Geld, anderen nach Rache. Hier geben wir Ihnen einen Überblick über die gängigsten Beispiele von Vishing-Angriffen.

1. Die nicht bezahlte Rechnung
   In diesem klassischen Vishing-Beispiel geben Betrüger vor, im Auftrag einer Regierungsbehörde – in den meisten Fällen des Finanzamts – anzurufen und drohen mit einer Geldbuße, der Sperrung einer Gewerbeerlaubnis oder eines Führerscheins oder gar einer Verhaftung oder Abschiebung, falls das Opfer nicht zahlt.
2. Das kompromittierte Konto
   Eine weitere List ist, wenn Betrüger sich als Angestellte der Bank oder des Kreditkarteninstituts ausgeben, bei dem das Opfer Kunde ist, und es auf angebliche ungewöhnliche Kontoaktivitäten aufmerksam machen. Der Empfänger des Anrufs wird dann darum gebeten, personenbezogene Informationen anzugeben, um seine Identität zu bestätigen.
3. Die Teilnahme an einem Programm
   Medicare-Betrug in den USA ist ein gutes Beispiel für diese Unterart von Vishing-Angriffen, mit der arglose Senioren während des Anmeldezeitraums anvisiert werden. Ziel dieser Masche ist es, personenbezogene Informationen oder die Medicare-Nummer der Opfer zu stehlen, die dann für gefälschte Anspruchsforderungen genutzt werden können.
4. Der Gewinn eines Preises oder Wettbewerbs
   Einer der ältesten Tricks ist die Masche mit dem Gewinn. Hierbei wird auf die Tatsache gesetzt, dass die meisten von uns nicht nein sagen, wenn es etwas umsonst gibt. Wenn Personen jedoch arglos ihre persönlichen Details weitergeben, damit ihr „Preis ausgezahlt werden kann“, werden sie schnell von Gewinnern zu Betrugsopfern.
5. Das technische Problem
   In diesem Fall rufen Vishing-Betrüger ihre anvisierten Opfer – meist Mitarbeiter in großen Unternehmen – an, um technische Hilfe bei der Behebung eines IT-Problems oder bei der Ausführung eines Computer-Updates anzubieten. Indem sie sich als IT-Fachkräfte ausgeben, bringen sie ihre Opfer dazu, ihre Anmeldedaten auf einer gefälschten Webseite einzugeben oder – in einem noch schlimmeren Szenario – ihnen Fernzugriff auf ihr Gerät zu gewähren.

Phishing vs. Smishing vs. Vishing: Was ist der Unterschied?

Im Hinblick auf das Endziel unterscheiden sie sich kaum. Phishing-, Smishing- und Vishing- Attacken werden alle inszeniert, um Geld oder personenbezogene Informationen der Opfer zu erbeuten. Auf welche Art und Weise die Betrüger vorgehen, variiert jedoch stark – was eine komplette Taxonomie auf Nachahmung basierender Cyberattacken hervorgebracht hat.

Phishing-Attacken verdanken ihren Namen der Tatsache, dass Hacker wahllos nach Opfern fischen, indem sie gefälschte E-Mail-Adressen, Webseiten oder Telefonnummern als Köder einsetzen. Laut demGabler Wirtschaftslexikon bedeutet Phishing, „dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.“

Phishing-Angriffe erfolgen über SMS, soziale Medien oder per Telefon und reichen von der Spielart mit dem nigerianischen Prinzen bis hin zu Nachrichten betreff der Zurücksetzung einer Netflix-Mitgliedschaft, die kaum vom Original zu unterscheiden sind. Phishing-Maschen, in denen Anrufe und Sprachnachrichten als primärer Angriffsvektor verwendet werden, werden als Vishing-Attacken bezeichnet. Smishing – oder SMS-Phishing – nutzt SMS oder andere populäre Messenger-Apps, wie WhatsApp, Viber, Snapchat oder Slack.

Wie können Sie Vishing verhindern? 5 Tipps zum Abwehren von Vishing-Attacken

1. Skepsis bewahren
   Wie wir bereits oben erwähnt haben, nutzen Vishing-Betrüger oftmals einen Notfall (z. B. die Sperrung eines Kontos) oder dringenden Handlungsbedarf (z. B. eine ausstehende Lieferung) als Vorwand, um Opfer dahingehend zu manipulieren, sensible Informationen preiszugeben. Dies sollte bei Ihnen stets die Alarmglocken schellen lassen – ebenso wie alles, was zu schön, um wahr zu sein (z. B. ein Gewinn) oder schlichtweg ungewöhnlich (z. B. ein Finanzamt, das Gutscheine zur Begleichung von Steuerschulden akzeptiert) erscheint.
2. Vorm Handeln nachdenken – und lieber nochmals prüfen
   Um unseren vorherigen Punkt weiterzuführen: Bestätigen Sie unbedingt die Legitimität von Anfragen durch unbekannte Anrufer, bei denen es um Geldzahlungen oder persönliche Details geht. Falls Ihnen etwas merkwürdig vorkommt, legen Sie auf, recherchieren Sie die Telefonnummer der betreffenden Organisation, von der der Anrufer angeblich angerufen hat, und kontaktieren Sie sie über deren offizielle Telefonnummer. Bedenken Sie außerdem, dass kein seriöses Unternehmen Kunden anruft, um sensible Informationen von ihnen einzuholen.
3. Anrufe von unbekannten Nummern ignorieren
   Die beste Möglichkeit, sich vor Vishing-Betrug zu hüten, ist, Anrufe und Sprachnachrichten von unbekannten Nummern gänzlich zu ignorieren. Falls Sie einen solchen Anruf annehmen, stellen Sie sicher, dass Sie keinesfalls irgendwelche persönlichen Informationen preisgeben, insbesondere Anmeldedaten, Bankkarteninformationen oder Einmalkennworte (One-Time-Passwords, OTP). Reagieren Sie außerdem keinesfalls auf irgendwelche Aufforderungen von Roboterstimmen, da diese möglicherweise Ihre Stimme aufzeichnen und diese Aufnahme zu einem späteren Zeitpunkt für finstere Machenschaften missbrauchen.
4. Sicherheit durch Tools und Schulungen stärken
   Laut einer Studie ist nahezu der Hälfte (47%) aller Unternehmen im Jahr 2021 eine Vishing- oder Social-Engineering-Attacke widerfahren, und 36% der Befragten nannten Schulungen zur Stärkung des Sicherheitsbewusstseins als zentrale Maßnahme, um vor solchen Angriffsversuchen zu schützen. Machen Sie Schulungen zum Thema Vishing zum festen Bestandteil des Cybersicherheitslehrplans Ihres Unternehmens – von den Alarmsignalen, nach denen Ausschau gehalten werden sollte, bis hin zur Handhabung und Meldung betrügerischer Anrufe – intern oder bei den zuständigen Behörden.