Was ist Vishing?

Vishing oder Voice Phishing ist ein Phishing-Angriff, bei dem Telefonanrufe verwendet werden, um dich dazu zu bringen, persönliche, vertrauliche und sensible Informationen preiszugeben, oft finanzielle Details.

DIGITALES FUSSABDRUCK-SCANNING

Vielleicht hast du schon einmal von diesem Szenario in den Nachrichten gehört: Jemand erhält einen dringenden Anruf vom IRS, der behauptet, er schulde eine große Summe an unbezahlten Steuern, und ein Beamter würde an seiner Tür erscheinen, wenn er nicht sofort zahlt. In Panik versetzt, schickt das Opfer des Vishing-Angriffs sofort eine elektronische Zahlung. Wenn das Opfer schließlich seinen Fehler bemerkt, ist es zu spät — seine Bank teilt ihm mit, dass das Geld weg ist.

Was ist ein Vishing-Angriff?

Ein Vishing-Angriff ist eine Art von Phishing-Angriff, bei dem ein Bedrohungsakteur Social-Engineering-Taktiken über Sprachkommunikation einsetzt, um ein Ziel zu betrügen. Das Wort „Vishing“ ist eine Kombination aus „Voice“ oder „VoIP“ (Voice over Internet Protocol) und „Phishing.“ Der Betrüger versucht entweder, das Ziel dazu zu bringen, ihm Geld zu schicken oder eine oder alle der folgenden sensiblen Informationen preiszugeben:

  • Name
  • Adresse
  • Geburtsdatum
  • Benutzernamen
  • Passwörter
  • Kreditkarteninformationen
  • Bankdaten
  • Regierungsnummern (z. B. Sozialversicherungs- oder Sozialversicherungsnummern)

Was ist der Unterschied zwischen Vishing, Smishing, Quishing und Phishing?

Vishing, genau wie Smishing und Quishing, können als Phishing-Angriffe betrachtet werden. Alle drei Angriffsarten unterscheiden sich nur durch die Bedrohungsvektoren, die sie verwenden. Phishing existiert seit den frühen Tagen des E-Mails, und sowohl Vishing als auch Smishing sind Kombinationen des Wortes „Phishing“ und der verwendeten Kommunikationsmethode. Vishing (Voice Phishing) erfolgt über Sprachkommunikation, und Smishing (SMS Phishing) verwendet SMS-Textnachrichten als Angriffsmedium. Quishing ist ein Phishing-Angriff über gefälschte QR-Codes.

Was ist ein Social-Engineering-Angriff?

Verschiedene Formen von Phishing, einschließlich Vishing, können Social-Engineering-Taktiken anwenden. Im Bereich der Cybersicherheit bedeutet Social Engineering, menschliche Emotionen zu manipulieren, um das rationale Denken eines Ziels zu reduzieren, damit sie versuchen, eine fragwürdige Handlung auszuführen. Schauen wir uns einige Möglichkeiten an, wie Social Engineering ein Vishing-Angriff verstärken kann:

  • Angst: Während eines IRS-Betrugs kann ein Betrüger ein Ziel in Angst versetzen, um falsche Steuern zu zahlen, mit der Drohung einer Inhaftierung.
  • Gier: Ein Angreifer könnte einem Ziel von einem gefälschten Lotteriegewinn erzählen und im Voraus eine Zahlung für Steuern und Gebühren verlangen.
  • Liebe: Jemand aus einer Verbrecherbande könnte sich als romantischer Partner ausgeben und um Geld für Flugreisen oder einen Notfall bitten. Solche Betrügereien beginnen oft in sozialen Medien und entwickeln sich später zu Vishing-Angriffen.
  • Wut: Ein Betrüger könnte Wut ausnutzen, indem er um Spenden gegen einen unbeliebten politischen Kandidaten bittet, zum Beispiel.
  • Mitgefühl: Eine gefälschte Wohltätigkeitsorganisation könnte kalt Menschen anrufen, in der Hoffnung, Geld für eine Katastrophe, einen Notfall oder eine andere scheinbar edle Sache zu sammeln. In einem klassischen Beispiel für Seniorenbetrug könnten Betrüger ältere Menschen anrufen und sich als Verwandte oder Bekannte ausgeben.

Wie wird Vishing durchgeführt?

Vishing funktioniert, indem es Social Engineering mit Sprachkommunikationstools verbindet. Ein Angreifer könnte Robocalls, internationale Telefonnummern oder Voice over Internet Protocol (VOIP) Software verwenden, um einen Angriff zu starten. Betrüger können auch gefälschte Textnachrichten senden, die Opfer dazu bringen, sie über Links oder Telefonnummern anzurufen. Vishing kann sowohl auf Einzelpersonen als auch auf Organisationen abzielen. Ein Bedrohungsakteur kann einen solchen Angriff nutzen, um Informationen von einem Unternehmen zu sammeln, zum Beispiel.

Beispiel für einen Vishing-Angriff

Leider fallen jedes Jahr viele Menschen auf Vishing-Betrügereien herein. Oft ist die Drohung, Geld an eine Regierungsbehörde zu schulden, überzeugend und beängstigend genug, damit Opfer zahlen. In den USA geben sich Vishing-Betrüger oft als Beamte des Internal Revenue Service (IRS) aus, die anrufen, um Steuern einzutreiben und mit Gefängnisstrafe drohen, wenn das Opfer nicht zahlt, was es angeblich schuldet.

Dasselbe gilt in Kanada, wo eine Reihe von Kanadiern von Bedrohungsakteuren "vished" wurden, die behaupteten, von der Canadian Revenue Agency (CRA) zu sein. Ein Opfer dieses Betrugs beschrieb, dass es sich so dumm vorkam, darauf hereinzufallen, und dass dies für ihn/sie einer der schwierigsten Teile der ganzen Situation war.

Manchmal können Vishing-Angriffe auf berühmte Weise fehlschlagen, wie im Fall von Keniel Aeon Thomas aus Jamaika, der die falsche Zielperson auswählte. Der Betrüger dachte wahrscheinlich, er hat einen leichten Fang, als der 90-jährige William Webster ans Telefon ging. Thomas erzählte Mr. Webster, dass er und seine Frau Lynda 15,5 Millionen Dollar und einen Mercedez-Benz gewonnen hätten. Aber bevor er ihnen den Gewinn übertragen konnte, müssten die Websters ihm einen Banküberweisung von 50.000 Dollar schicken, um die Steuern zu decken. Was der Erpresser nicht wusste, war, dass Webster ein ehemaliger CIA-Direktor, FBI-Direktor und Bundesrichter war. Das Paar kontaktierte das FBI, damit ein Agent die Anrufe abhören konnte, und letztendlich landete der Betrüger dank der schnellen Reaktion der Websters im Gefängnis.

Leider enden die meisten Vishing-Geschichten nicht so gut. Bevor Thomas verurteilt wurde, hatte er 30 Menschen um Hunderttausende Dollar betrogen. Deshalb ist es wichtig, Vishing- oder Betrugspmponenzen zu erkennen, um sich zu schützen, wenn du den nächsten Anruf erhältst.

Wie kann man Vishing stoppen?

Menschen, die Opfer von Vishing-Angriffen werden, sind möglicherweise gut über das Risiko informiert, werden aber einfach überrascht. Bedrohungsakteure ändern regelmäßig ihre Taktiken, um Menschen auf neue Weise zu täuschen. Du kannst während eines geschäftigen Tages ans Telefon gehen, wenn du am wenigsten mit einem Vishing-Angriff rechnest, oder der Anrufer könnte Informationen verwenden, die vertraut genug klingen, um überzeugend zu sein. Um wachsam zu bleiben und bereit zu sein, wenn du einen dieser Anrufe erhältst, denke an Folgendes:

  • Achte auf den Tonfall des Anrufers. Betrüger könnten auch einen unhöflichen oder ungeduldigen Ton verwenden, um Dringlichkeit zu implizieren oder Angst zu erzeugen, im Gegensatz zu den geschulten Mitarbeitern der Organisation, die sie vorgeben zu vertreten.
  • Bleib ruhig und nimm dir einen Moment. Vishing-Angreifer erzeugen ein falsches Gefühl der Dringlichkeit, indem sie deine Emotionen ausnutzen. Teile keine sensiblen Informationen am Telefon ohne Überprüfung der Identität des Anrufers. Du kannst ihre Organisation recherchieren und direkt anrufen.
  • Bleib misstrauisch, selbst wenn der Anrufer einige deiner Informationen hat. Zum Beispiel könnten sie einige deiner öffentlich zugänglichen Daten aus dem Internet gesammelt haben, wie deinen Namen, Standort oder deine IP-Adresse.
  • Nutze die Bildschirmfunktion bei Anrufen mit Anruferkennung und nimm keine unbekannten oder verdächtigen Nummern an. Warte, bis der Anrufer dir eine Sprachnachricht hinterlässt, um zu entscheiden, ob du zurückrufen solltest. Denke daran, viele Robocall-Betrugsmaschen folgen einem erkennbaren Drehbuch.
  • Sei vorsichtig und lege einfach auf, wenn du vermutest, dass es ein Betrüger ist.

Wie melde ich Vishing?

In den USA wende dich an die FTC und das FBI, um Vishing-Betrügereien zu melden, oder an die zuständige Strafverfolgungsbehörde in deinem Land. Du kannst auch die Organisation anrufen, die ein Betrüger benutzt, um dich zu manipulieren, z. B. die IRS, wenn du vermutest, dass du Ziel eines IRS-Betrugs bist. Wenn der Anrufer sagt, er sei von einer bestimmten Organisation, suche die offizielle Telefonnummer dieser Organisation heraus und rufe sie direkt an, um nach den Anrufen zu fragen. 

Verwandte Artikel