Social Engineering: Was ist Vishing?

vishing social engineering attack

Inhaltsverzeichnis

Diesen Artikel teilen:

Vishing ist eine Kombination aus dem Wort „Voice“ (Sprache) und dem Wort „Phishing“. Es bezieht sich auf Phishing-Betrugsversuche, die über das Telefon ausgeführt werden. Es wird dabei versucht, Personen dazu zu bringen, sensible Finanz- oder Personendaten weiterzugeben. Vishing funktioniert auf dieselbe Art wie Phishing, läuft aber nicht immer über das Internet, sondern über das Telefon.

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Häufige Betrugstechniken:

Geübte Betrüger/Hacker verfügen in der Regel über alles, was sie als legitimiert ausweist:

  • Die richtigen Informationen: Sie kennen bereits Ihren Namen, Ihre Adresse, Ihre Telefonnummer und Bankinformationen. In der Tat verfügen sie über alle die Informationen, von denen Sie erwarten, dass sie ein „echter“ Anrufer auch hat.
  • Dringlichkeit: Man lässt Sie glauben, dass Ihr Geld in Gefahr ist und dass Sie schnell handeln müssen. Furcht führt häufig dazu, dass Menschen etwas tun, ohne darüber nachzudenken..
  • Telefonnummer: Die Telefonnummer sieht aus, als ob sie von einem anderen Anschluss stammt (d.h. spoofing). Sie heben also den Hörer ab und vertrauen schon jetzt dem Anrufer, da die Nummer vertrauenswürdig aussieht.
  • Geschäftsatmosphäre: Sie hören eine Menge Hintergrundgeräusche, so dass es sich wie ein Anruf aus einem Call Center anhört. Die Betrüger arbeiten entweder tatsächlich aus einem Call Center oder spielen Sound-Effekte ab.

Falls das Opfer auf den Betrug hereinfällt und persönliche Informationen preisgibt, wird er oder sie am Ende ein Opfer von Identitätsdiebstahl.

Realitätsnahes Szenario #1

Sie kommen von der Arbeit nach Hause und hören Ihren Anrufbeantworter ab. Sie hören die folgende Nachricht:

“Guten Tag, hier spricht Annemarie Müller von der Firma ABC Telekom. Ich rufe Sie nur an, um Ihnen zu bestätigen, dass wir Ihren Vertrag beenden. Internet- und Festnetzanschluss für Ihre Adresse werden morgen früh abgeschaltet. Allerdings entnehme ich unseren Unterlagen, dass noch Zahlungen offen sind. Bitte wenden Sie sich an unseren Kundendienst unter 01234-… um die ausstehenden Zahlungen zu begleichen.”

Damit wird Dringlichkeit aufgebaut und Sie werden förmlich dazu gezwungen, Ihren Telefonhörer zu greifen und die angegebene Nummer anzurufen. Es meldet sich die ABC Telekom und bietet Ihnen eine automatisierte Möglichkeit, das Beenden Ihres Benutzerkontos zu verhindern. Sie werden darum gebeten, Ihre Personalausweisnummer und die Kreditkartennummer anzugeben, um nachzuweisen, dass Sie tatsächlich der bewusste Vertragspartner sind. Sobald Sie die beiden Nummern eingegeben haben, wird aufgelegt.

Realitätsnahes Szenario #2

Sie schauen in Ihrem Wohnzimmer abends um 20.00 Uhr Fernsehen und das Telefon klingelt. Im Display erscheint die Telefonnummer Ihrer Bank. Sie heben ab.

“Guten Abend, hier spricht die XYZ-Bank. Es gab in der letzten Stunde drei erfolglose Versuche, auf Ihr Konto zuzugreifen. Um Ihr Konto abzusichern und ihre persönlichen Informationen zu schützen, haben wir Ihr Konto gesperrt. Damit kommen wir unserer Verpflichtung nach, alles dafür zu tun, um sicherzustellen, dass Ihre Online Banking-Transaktionen sicher sind. Bitte rufen Sie unsere Sicherheitsabteilung unter 0180-…. an.”

Sie wissen natürlich ganz genau, dass Sie keine “drei erfolglosen Versuche unternommen haben, auf Ihr Bankkonto in der letzten Stunde zuzugreifen”. Stattdessen saßen Sie auf Ihrem Sofa und schauten fern. Dennoch verfolgt jemand auch hier den Zweck, Panik auszulösen und Sie dazu zu bringen, die genannte Nummer anzurufen. Sie werden dann wie folgt gegrüßt:

“Vielen Dank für Ihren Anruf bei der XYZ-Bank. Ihr Anliegen ist uns wichtig und wir zeichnen diesen Anruf aus Gründen der Qualitätssicherung auf. Um Sie an die richtige Abteilung zu verbunden, wählen Sie bitte die folgenden Möglichkeiten.”

  • Für Girokonto oder Sparbuch wählen Sie die 1.
  • Zum Aktivieren einer Kredit- oder EC-Karte wählen Sie die 2.
  • Um eine Zahlung per Scheck zu stoppen, wählen Sie die 3.
  • Um mit einer anderen Abteilung verbunden zu werden, wählen Sie die 4.
  • Für alle anderen Anliegen wählen Sie die 0.

Sie wählen die 4 und eine Telefonstimme bittet Sie, sich zu identifizieren.
“Die Sicherheit unserer Kunden ist für uns wichtig. Um fortzufahren, bitten wir Sie, Ihre Identität zu authentifizieren. Bitte geben Sie Ihre Kontonummer ein, gefolgt von der Rautetaste.”

Sie geben Ihre Kontonummer ein und hören den nächsten Hinweis:
“Vielen Dank. Bitte geben Sie nun Ihre Personalausweisnummer ein, gefolgt von der Rautetaste.”

Sie geben auch diese Nummer ein und erhalten einen weiteren Hinweis durch das Telefonsystem:
“Vielen Dank. Geben Sie nun noch Ihren PIN ein, gefolgt von der Rautetaste.”

Sie geben auch noch den PIN ein und hören nun den nächsten Hinweis:
“Vielen Dank”. Die Leitung ist danach tot oder – noch schlimmer – verbindet sie mit der echten XYZ-Bank, wo Ihnen ein Bankmitarbeiter erklärt, dass Sie gerade Opfer einer Vishing-Attacke geworden sind.

Weshalb ist dies so einfach?

Vishing-Attacken sind sehr schwer nachzuverfolgen, da sie ‚meistens‘ VoIP (Voice over Internet Protocol) verwenden. Dies bedeutet, dass sie den Anruf von einem Computer ausführen, der überall auf der Welt stehen kann.

Und weshalb erscheint dann die Nummer Ihres Telefonanbieters oder Ihrer Bank auf Ihrem Display, wenn es doch tatsächlich die Nummer eines Angreifers ist? Sie “spoofen” sie. Es gibt bestimmte Dienste wie Spoofcard oder Burner (eine kostenlose Handy-App), die es Ihnen erlauben, ihrer Telefonnummer zu „spoofen“, so dass jeder, den Sie anrufen, nicht weiß, dass Sie es sind. Sie können jede beliebige Nummer anzeigen lassen. Dies ermöglicht es Vishing-Attacken, völlig legitim auszusehen. Das Spoofing von Telefonnummern ist manchmal sogar legal (Kampf gegen Spam, Datenschutz, etc.) und manchmal nicht (Online-Betrug) – dies hängt von der lokalen Gesetzgebung und Vorschriften ab..

Wie schützen Sie sich gegen Vishing?

  • Rufen Sie nie die genannte oder im Display angezeigte Nummer an (es sei denn, es ist die Nummer eines Freundes, Verwandten, etc.) Nehmen Sie sich die Zeit, die richtige Nummer nachzusehen und dann anzurufen..
  • Geben Sie nie persönliche Informationen preis – an niemanden! Dies gilt in der Tat für jede Art von Anfrage. Nur zur Info: Seriöse Firmen fragen Sie am Telefon nicht nach Personalausweisnummern, Kreditkartennummern oder PINs.
  • Legen Sie auf, wenn Sie einen verdächtigen Anruf erhalten. Bevor Sie die richtige Nummer des Unternehmens anrufen, recherchieren Sie zuerst ein bisschen im Internet. Höchstwahrscheinlich gibt es dort bereits entsprechende Informationen anderer Opfer.

Verlassen Sie sich vor allem auf den gesunden Menschenverstand. Erkennen Sie die Warnzeichen und vor allem denken Sie nach, bevor Sie handeln!

In diesem Artikel erfahren Sie, wie Sie Social-Engineering-Programme vermeiden können.

Mailfence ist eine E-Mail-Verschlüsselungs-Suite.

Gewinnen Sie Ihre E-Mail-Daten zurück.

Erstellen Sie Ihre kostenlose und sichere E-Mail.

Picture of M Salman Nadeem

M Salman Nadeem

Salman arbeitet als Information Security Analyst für Mailfence. Zu seinen Interessengebieten gehören Kryptographie, Sicherheitsarchitektur und -design, Zugangskontrolle und Betriebssicherheit. Sie können ihm auf LinkedIn folgen @mohammadsalmannadeem.

Empfohlen für Sie