Sie haben vielleicht schon von diesem Szenario in den Nachrichten gehört: Jemand erhält einen dringenden Anruf vom Finanzamt, in dem behauptet wird, er schulde eine hohe Summe an unbezahlten Steuern, und ein Beamter würde vor seiner Tür stehen, wenn er nicht sofort zahlt. Die Zielperson des Vishing-Angriffs gerät in Panik und sendet sofort eine elektronische Zahlung. Als das Opfer schließlich seinen Fehler bemerkt, ist es zu spät - sein Finanzinstitut teilt ihm mit, dass das Geld weg ist.
Was ist ein Vishing-Angriff?
Ein Vishing-Angriff ist eine Art von Phishing-Angriff, bei dem ein Bedrohungsakteur Social-Engineering-Taktiken über Sprachkommunikation einsetzt, um ein Ziel zu betrügen. Das Wort "Vishing" ist eine Kombination aus "Voice" oder "VoIP" (Voice over Internet Protocol) und "Phishing". Der Betrüger kann entweder versuchen, die Zielperson davon zu überzeugen, ihm Geld zu schicken oder einige oder alle der folgenden sensiblen Informationen weiterzugeben:
- Name
- Adresse
- Datum der Geburt
- Nutzernamen
- Passwörter
- Informationen zur Kreditkarte
- Bankdaten
- Staatliche Nummern (z. B. Sozial Security oder Sozialversicherung)
Was ist der Unterschied zwischen Vishing, smishing, Quishing und Phishing?
Vishing kann ebenso wie smishing und Quishing als Phishing-Angriff betrachtet werden. Alle drei Arten von Angriffen unterscheiden sich nur durch die verwendeten Bedrohungsvektoren. Phishing gibt es mindestens seit den Anfängen der E-Mail, und sowohl Vishing als auch smishing sind Kombinationen aus dem Wort "Phishing" und der verwendeten Kommunikationsmethode. Vishing (Voice-Phishing) erfolgt über Sprachkommunikation, während smishing (SMS-Phishing) SMS-Nachrichten als Angriffsmedium verwendet. Quishing ist ein Phishing-Angriff über einen betrügerischen QR-Code.
Was ist ein Social-Engineering-Angriff?
Bei verschiedenen Formen von Phishing, einschließlich Vishing, können Social Engineering-Taktiken zum Einsatz kommen. In Bezug auf die Cybersicherheit ist Social Engineering die Manipulation menschlicher Emotionen, um das rationale Denken der Zielperson zu beeinträchtigen und sie dazu zu bringen, eine fragwürdige Aktion auszuführen. Sehen wir uns einige Möglichkeiten an, wie Social Engineering einen Vishing-Angriff verstärken kann:
- Angst: Bei einem IRS-Betrug kann ein Betrüger die Zielperson mit der Androhung von Gefängnisstrafen zur Zahlung falscher Steuern zwingen.
- Habgier: Ein Betrüger kann einer Zielperson von einem gefälschten Lottogewinn erzählen und eine Vorauszahlung für Steuern und Gebühren verlangen.
- Liebe: Jemand aus einer kriminellen Bande kann sich als Liebespartner ausgeben und um Geld für eine Flugreise oder einen Notfall bitten. Oft beginnen solche Betrügereien in den sozialen Medien und entwickeln sich später zu Vishing-Angriffen.
- Wut: Ein Betrüger kann die Wut manipulieren, indem er zum Beispiel um Spenden gegen einen unliebsamen politischen Kandidaten bittet.
- Mitgefühl: Eine gefälschte Wohltätigkeitsorganisation ruft Menschen an und hofft, Geld für eine Katastrophe, einen Notfall oder einen anderen scheinbar edlen Zweck zu sammeln. Ein klassisches Beispiel für den Betrug an älteren Menschen ist, dass sich Betrüger am Telefon als deren Verwandte oder Bekannte ausgeben und so gezielt ältere Menschen ansprechen.
Wie wird Vishing durchgeführt?
Vishing funktioniert, indem Social Engineering mit Sprachkommunikationstools kombiniert wird. Ein Angreifer kann Robo-Anrufe, internationale Telefonnummern oder Voice-over-Internet-Protocol-Software (VOIP) verwenden, um einen Angriff zu starten. Betrüger können auch betrügerische Textnachrichten verschicken, die die Opfer dazu bringen, sie über Links oder Telefonnummern anzurufen. Vishing kann sich gegen Einzelpersonen und Organisationen richten. Ein Bedrohungsakteur kann einen solchen Angriff zum Beispiel nutzen, um Informationen von einem Unternehmen zu sammeln.
Beispiel für einen Vishing-Angriff
Leider geraten jedes Jahr viele Menschen in die Fänge von Vishing-Betrügern. Oft ist die Drohung, einer Regierungsbehörde Geld zu schulden, überzeugend und beängstigend genug für die Opfer, um zu zahlen. In den USA geben sich Vishing-Betrüger oft als Beamte des Internal Revenue Service (IRS) aus, die anrufen, um Steuern einzutreiben, und drohen mit Gefängnis, wenn das Opfer nicht zahlt, was es angeblich schuldet.
Das Gleiche gilt für Kanada, wo eine Reihe von Kanadiern von Betrügern, die sich als die kanadische Steuerbehörde (CRA) ausgaben, "heimgesucht" wurden. Ein Opfer dieses Betrugs beschrieb, wie dumm er sich fühlte, weil er darauf hereingefallen war, und sagte, dass dies einer der schwierigsten Aspekte der ganzen Situation für ihn war.
Manchmal können Vishing-Angriffe bekanntlich nach hinten losgehen, wie bei Keniel Aeon Thomas aus Jamaika, der sich das falsche Ziel ausgesucht hatte. Der Betrüger dachte wahrscheinlich, er hätte ein leichtes Ziel, als der 90-jährige William Webster den Hörer abnahm. Thomas erzählte Herrn Webster, er und seine Frau Lynda hätten 15,5 Millionen Dollar und einen Mercedez-Benz gewonnen. Doch bevor er den Gewinn mit ihnen teilen könne, müssten die Websters 50.000 Dollar überweisen, um die Steuern zu bezahlen. Der Erpresser wusste nicht, dass Webster ein ehemaliger CIA-Direktor, ein FBI-Direktor und ein Bundesrichter war. Das Paar setzte sich mit dem FBI in Verbindung, damit ein Agent die Anrufe mithören konnte, und dank der schnellen Reaktion der Websters wurde der Betrüger schließlich inhaftiert.
Leider gehen die meisten Vishing-Geschichten nicht so gut aus. Bevor Thomas verurteilt wurde, hatte er 30 Personen um Hunderttausende von Dollar betrogen. Deshalb ist es wichtig, Vishing- oder Betrugsanrufe zu erkennen, um sich zu schützen, wenn Sie den nächsten Anruf erhalten.
Wie man Vishing stoppt
Personen, die Opfer von Vishing-Angriffen werden, können über das Risiko gut informiert sein, werden aber einfach überrumpelt. Bedrohungsakteure ändern ihre Taktik regelmäßig und versuchen, Menschen auf neue Weise zu täuschen. Es kann sein, dass Sie an einem geschäftigen Tag einen Anruf erhalten, bei dem das Letzte, was Sie erwarten, ein Vishing-Angriff ist, oder dass der Anrufer Informationen verwendet, die so vertraut klingen, dass sie überzeugend wirken. Um auf der Hut zu sein, wenn Sie einen dieser Anrufe erhalten, sollten Sie einige Dinge beachten:
- Achten Sie auf den Tonfall des Anrufers. Betrüger können auch einen unhöflichen oder ungeduldigen Tonfall verwenden, um Dringlichkeit zu suggerieren oder Angst zu schüren, im Gegensatz zu den geschulten Mitarbeitern der Organisation, die sie angeblich vertreten.
- Bleiben Sie ruhig und atmen Sie durch. Vishing-Angreifer erzeugen ein falsches Gefühl der Dringlichkeit, indem sie Ihre Emotionen ausnutzen. Geben Sie keine vertraulichen Informationen am Telefon weiter, ohne die Identität des Anrufers zu überprüfen. Sie können das Unternehmen überprüfen und direkt anrufen.
- Seien Sie wachsam, auch wenn der Anrufer einige Ihrer Informationen hat. Er könnte zum Beispiel einige Ihrer öffentlich zugänglichen Daten aus dem Internet gesammelt haben, wie Ihren Namen, Ihren Standort oder Ihre IP-Adresse.
- Überprüfen Sie Ihre Anrufe mit der Anrufer-ID und nehmen Sie keine unbekannten oder verdächtigen Nummern entgegen. Warten Sie darauf, dass der Anrufer Ihnen eine Sprachnachricht hinterlässt, um zu entscheiden, ob Sie zurückrufen sollten. Denken Sie daran, dass viele Robocall-Betrügereien einem erkennbaren Skript folgen.
- Seien Sie vorsichtig und legen Sie einfach auf, wenn Sie vermuten, dass es sich um einen Betrüger handelt.
Wie kann ich Vishing melden?
Wenden Sie sich in den USA an die FTC und das FBI, um einen Vishing-Betrug zu melden, oder an die zuständige Strafverfolgungsbehörde in Ihrem Land. Sie können sich auch an die Organisation wenden, die ein Betrüger benutzt, um Sie zu manipulieren, z. B. an die Steuerbehörde, wenn Sie vermuten, dass Sie Opfer eines Steuerbetrugs geworden sind. Wenn der Anrufer angibt, für eine bestimmte Organisation zu arbeiten, suchen Sie die offizielle Telefonnummer dieser Organisation heraus und rufen Sie sie direkt an, um nach den Anrufen zu fragen.