Cyberkriminelle sind immer auf der Suche nach neuen Möglichkeiten, die menschliche Psychologie auszunutzen, und Vishing – oder Voice Phishing – ist eine ihrer trügerischsten Taktiken.
Und mit dem Aufkommen der künstlichen Intelligenz sind die Vishing-Angriffe raffinierter geworden als je zuvor. Bis zu dem Punkt, an dem sie fast nicht mehr von legitimen Anrufen zu unterscheiden sind.
Aber wie funktioniert Vishing, und wie können Sie sich davor schützen, in diese Falle zu tappen? In diesem Artikel gehen wir der Sache auf den Grund:
- die Techniken, die Betrüger für Vishing-Angriffe verwenden;
- Beispiele aus der Praxis für Vishing und die damit verbundenen Kosten;
- Tipps, wie Sie einen Vishing-Angriff erkennen können, wenn er passiert;
- und praktische Schritte zum Schutz Ihrer sensiblen Daten.
Lassen Sie uns nachforschen.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Was ist Vishing?
Lassen Sie uns am Anfang beginnen und definieren, was Vishing eigentlich ist.
Vishing ist eine spezielle Form des Social Engineering, genauer gesagt ein Phishing-Angriff per Telefon. Wie beim Phishing wird das Opfer unter einem vom Betrüger erfundenen Vorwand dazu gedrängt, vertrauliche Informationen preiszugeben.
Wenn Sie das noch nicht getan haben, sollten Sie sich unbedingt unseren Leitfaden zu Phishing-Angriffen ansehen. Viele der in diesem Artikel beschriebenen Techniken sind auch auf Vishing-Angriffe anwendbar, so dass wir sie hier nicht wiederholen.
Wie auch immer, hier ist die Kurzfassung:
- Phishing-Angriffe beruhen auf Vertrauen. Sie wollen das Opfer dazu verleiten, Dinge zu tun, die es bei einer bestimmten Organisation routinemäßig tun würde (auf einen Link klicken, eine Datei herunterladen usw.), weil es ihr vertraut und die Herkunft der Nachricht nicht in Frage stellt;
- Phishing-Angriffe versuchen, Sie dazu zu bringen, entweder auf einen Link zu klicken oder einen Anhang zu öffnen, der zu gefälschten Websites oder sogar Malware führt;
- Betrüger nutzen Dringlichkeit („Sie müssen JETZT handeln“) oder Drohungen („Ihr Konto wird geschlossen“), um Sie zum Handeln zu bewegen, ohne nachzudenken;
- Sie können Sie auch mit einem Köder („Sie haben 1 Million US-Dollar gewonnen! Klicken Sie hier, um Ihren Anspruch geltend zu machen“) ködern, um Sie zu ködern.
Bei Vishing-Angriffen wird diese Taktik jedoch auf die Spitze getrieben.
Schauen wir uns ein konkretes Beispiel an, damit Sie eine Vorstellung davon bekommen.
Sie erhalten eine E-Mail, die vorgibt, von Ihrer Bank zu stammen und Sie warnt, dass „die Schließung Ihres Paypal-Kontos steht unmittelbar bevor. Unsere Aufzeichnungen zeigen, dass Sie einen offenen Saldo haben. Bitte rufen Sie unseren Kundensupport unter 00-… an, um die Löschung Ihres Kontos zu verhindern.“
Sie rufen die Nummer an und ein angeblicher Paypal-Mitarbeiter meldet sich. Dieser fragt Sie dann nach Ihrer nationalen ID-Nummer und Ihrer Kreditkartennummer, um die Inhaberschaft Ihres Kontos zu bestätigen. Sobald Sie die Informationen angegeben haben, wird die Leitung unterbrochen.
Leider haben Sie gerade kritische Informationen an Betrüger weitergegeben, die diese nun nutzen können, um Ihr Bankguthaben zu leeren…
Warum sind Vishing-Angriffe so wirkungsvoll?
Es gibt viele Gründe, warum Vishing-Angriffe so erfolgreich sind:
- Richtige Informationen: Die Angreifer haben bereits Ihren Namen, Ihre Adresse und Ihre Telefonnummer. Die meisten dieser Informationen sind bereits aus früheren Hacks im Darknet bekannt. Das lässt ihre Vorgehensweise völlig legitim erscheinen.
- Dringlichkeit: Ihnen wird vorgegaukelt, dass Ihr Geld oder Ihre Daten in Gefahr sind und dass Sie schnell handeln müssen. Angst verleitet Menschen oft dazu, ohne nachzudenken zu handeln. Dies gilt umso mehr, wenn Sie mit jemandem am Telefon sprechen, wo Sie noch weniger Zeit haben, rational zu denken.
- Die Telefonnummer sieht seriös aus: Dank Spoofing der Anrufer-ID erscheint die Telefonnummer so, als käme sie von einer vertrauenswürdigen Institution. Das macht es viel wahrscheinlicher, dass Sie abheben.
- Dank der künstlichen Intelligenz können Betrüger Vishing-Angriffe in großem Umfang durchführen. Sie können sich sogar als Personen ausgeben, die Sie kennen, indem sie deren Stimmen perfekt imitieren (aber dazu später mehr).
Vishing-Angriffe sind schwer nachzuverfolgen, da sie „meist“ über VoIP (Voice over Internet Protocol) verwenden. Das bedeutet, dass sie einen Anruf auf einem Computer beginnen und beenden, der sich überall auf der Welt befinden kann.
Der Aufstieg der KI bei Vishing-Angriffen
Cyberkriminelle haben ihre Taktiken schon immer angepasst, um neue Technologien auszunutzen, und KI ist da nicht anders.
Vor allem Vishing-Angriffe werden durch KI raffinierter, überzeugender und skalierbarer als je zuvor.
Deepfakes, Sprachsynthese, fortgeschrittenes Targeting… Lassen Sie uns herausfinden, wie KI Vishing-Angriffe gefährlicher macht als je zuvor.
Gefälschte Stimmen
Eine der alarmierendsten Anwendungen von KI bei Vishing-Angriffen ist die Deepfake Voice-Technologie.
Cyberkriminelle können jetzt die Stimme einer Person mit nur einer kurzen Hörprobe klonen, was den Betrug durch Nachahmung überzeugender macht als je zuvor.
Das Erschreckende daran ist, dass Betrüger keine umfangreichen Hörproben benötigen, um die Stimme einer Person zu kopieren. Schon 3 bis 5 Minuten Audiomaterial reichen aus, um eine überzeugende Stimmreplik zu erstellen. Microsoft behauptet sogar, dass sie nur 3 Sekunden Ihrer Stimme benötigen, um sie zu replizieren.
Mit Hilfe dieser Technologie haben Betrüger erfolgreich CEOs (wie wir später in Fallstudien sehen werden) und sogar Familienmitglieder nachgeahmt, um die Opfer zur Überweisung von Geldern oder zur Preisgabe sensibler Informationen zu verleiten.
Je weiter die Technologie voranschreitet, desto schwieriger wird es werden, echte menschliche Stimmen von den von der KI nachgebildeten zu unterscheiden.
KI-Chatbots
Herkömmliche Vishing-Angriffe basierten auf menschlichen Betrügern, aber KI-gesteuerte Sprachroboter können jetzt mit Hilfe der Verarbeitung natürlicher Sprache (NLP) Echtzeitgespräche führen. Diese KI-gesteuerten Systeme können dynamisch auf die Opfer reagieren und überwinden damit die bisherigen Beschränkungen von aufgezeichneten Betrugsnachrichten.
Angreifer nutzen diese Chatbots, um:
- sich als Bankvertreter ausgeben;
- sich als Mitarbeiter des technischen Supports ausgeben, um Anmeldedaten zu stehlen;
- sich als Personalverantwortliche ausgeben, die „Sicherheitsüberprüfungen“ durchführen.
Dadurch sind Vishing-Angriffe plötzlich viel besser skalierbar. Sie brauchen nicht mehr einen einzelnen Betrüger für jedes Opfer: Vishing-Angriffe können jetzt in großem Maßstab automatisiert werden und Tausende von Opfern gleichzeitig angreifen. Dies erhöht ihre Erfolgsquote erheblich.
Hyper-personalisierte Vishing-Angriffe
Dank KI können Cyberkriminelle heute riesige Mengen an persönlichen Daten analysieren, die sie aus sozialen Medien, Datenschutzverletzungen und Online-Interaktionen gewonnen haben.
Die Namen Ihrer Familie und Freunde, wo Sie im Urlaub waren, die Bank, die Sie nutzen, der Name Ihres Haustiers… All diese Informationen sind mit ein wenig Recherche wahrscheinlich frei verfügbar. Aber KI macht diesen ganzen Prozess viel einfacher, schneller und billiger.
Betrüger können daher hochgradig personalisierte Vishing-Angriffe entwickeln, die schwer zu erkennen sind. Der Kontext klingt legitim, was die Erfolgsquote der Angriffe erhöht.
8 Schritte, um sich vor Vishing-Angriffen zu schützen
All dies mag beängstigend klingen. Woher wissen Sie noch, ob ein Anruf legitim ist? Glücklicherweise gibt es immer Strategien, die Sie anwenden können, um Vishing-Angriffe zu erkennen und sich vor ihnen zu schützen. Schauen wir uns diese an:
- Geben Sie niemals persönliche Informationen über das Telefon weiter. Dazu gehören Sozialversicherungsnummern, nationale ID-Nummern, Kreditkartennummern, Anmeldedaten, PIN-Nummern usw. Seriöse Unternehmen werden Sie niemals am Telefon um diese Art von Informationen bitten.
- Rufen Sie niemals eine Nummer an, die Sie per SMS oder E-Mail erhalten haben. Nehmen Sie sich die Zeit, die richtige Nummer herauszufinden (zum Beispiel direkt auf der Website Ihrer Bank) und rufen Sie sie dann an.
- Fühlen Sie sich verdächtig? Legen Sie einfach auf. Es wird nichts Schlimmes passieren, wenn Sie sich ein paar Stunden Zeit nehmen, um das vermeintlich dringende Problem zu untersuchen, bevor Sie etwas unternehmen.
- Begrenzen Sie die Menge der Informationen, die Sie online weitergeben. Je mehr Informationen Betrüger über Sie sammeln können, desto überzeugender können sie ihre Vishing-Angriffe gestalten. Wenn Sie online kommunizieren, bevorzugen Sie sichere Kanäle wie Signal oder verschlüsselte E-Mails.
- Legen Sie einen sicheren Code oder eine Passphrase zwischen Ihnen und Ihren Freunden und Ihrer Familie fest. Wenn Sie jemals misstrauisch werden und den Verdacht haben, dass Sie nicht wirklich mit ihnen sprechen, sondern mit einer KI-Kopie, fragen Sie sie nach der Passphrase. So stellen Sie sicher, dass Sie mit einer echten Person sprechen.
- Gibt es eine Zeit der Stille, bevor Sie abheben? Dies ist wahrscheinlich Teil der Aufklärungsphase eines Vishing-Angriffs. Legen Sie auf und verhindern Sie, dass die Nummer Sie erneut anruft.
- Seien Sie skeptisch bei dringenden Anfragen, insbesondere bei finanziellen Anfragen. Nichts ist jemals so dringend, dass Sie innerhalb von Minuten handeln müssen.
- Aktivieren Sie 2FA(2-Faktor-Authentifizierung), um unbefugten Zugriff auf Ihre Konten zu verhindern.
Beispiele für Vishing-Angriffe in der realen Welt
Lassen Sie uns nun einige reale Fälle von Vishing-Angriffen betrachten und sehen, was wir daraus lernen können.
Der 3 Millionen Dollar-Betrug
Im August 2022 erhielt ein südkoreanischer Arzt eine Reihe von Anrufen von Personen, die sich als Strafverfolgungsbeamte ausgaben.
Die Kriminellen gaben vor, Staatsanwälte zu sein, die Beweise dafür hätten, dass die Bankkonten des Arztes zur Geldwäsche genutzt würden. Wenn er nicht bei den Ermittlungen kooperiere, würden sie ihn verhaften.
Sie verschickten sogar einen gefälschten Haftbefehl per Textnachricht, etwas, was die offizielle Strafverfolgung niemals tun würde. Unter dem Druck dieser Drohungen überwies der Arzt schließlich insgesamt 3 Millionen US-Dollar.
Dieser Fall verdeutlicht die Effektivität von Vishing-Angriffen, die Autorität und Angst ausnutzen. Privatpersonen sollten bei unaufgeforderten Anrufen von vermeintlichen Amtsträgern vorsichtig sein und die Identität über offizielle Kanäle überprüfen, bevor sie etwas unternehmen.
Weitere Informationen finden Sie in diesem Artikel.
Der gefälschte Rettungsschwindel
Erst kürzlich, im Januar 2025, wurde ein älteres Ehepaar in Massachusetts Opfer eines betrügerischen Anrufs eines angeblichen Anwalts.
Ihnen wurde fälschlicherweise mitgeteilt, dass ein enges Familienmitglied verhaftet worden sei und 10.000 US-Dollar für eine Kaution benötige. Ohne die Behauptung zu überprüfen, hoben sie den geforderten Betrag ab und übergaben ihn einem Kurier (der eigentlich nicht an dem Betrug beteiligt war).
Erst später erfuhren sie, dass ihr Familienmitglied nie verhaftet worden war. Aber zu diesem Zeitpunkt waren die 10.000 US$ bereits weg.
Betrüger setzen bei Vishing-Angriffen oft emotionale Manipulation ein, um ihre Opfer zum sofortigen Handeln zu bewegen. Dieser Fall zeigt einmal mehr, wie wichtig es ist, rational zu denken und Behauptungen über sekundäre Kanäle zu überprüfen.
Abschließende Überlegungen zu Vishing-Angriffen
Das war’s mit diesem Leitfaden über Vishing-Angriffe. Wir hoffen, dass er Ihnen nützlich war und dass Sie nun in der Lage sind, solche Angriffe zu erkennen, bevor Sie ihnen zum Opfer fallen.
Wenn Sie Ihre Online-Sicherheit erhöhen möchten, sollte Ihr erster Schritt darin bestehen, einen privaten und sicheren E-Mail-Anbieter zu wählen.
Wir bei Mailfence sind stolz darauf:
- Erweiterte Sicherheitstools: Ende-zu-Ende-Verschlüsselung, symmetrische Verschlüsselung, digitale Signaturen und vieles mehr.
- Kein Tracking oder Werbung. Wir verwenden keine Werbe- oder Marketing-Tracker von Dritten. Wir verfolgen Ihre Aktivitäten in der Anwendung nicht. Mailfence ist völlig frei von Werbung.
- Strenge Datenschutzgesetze. Die Server von Mailfence befinden sich in Belgien, wo strenge Gesetze zum Schutz der Privatsphäre gelten. Nur ein gültiger belgischer Gerichtsbeschluss kann uns zwingen, Daten herauszugeben.
Möchten Sie Ihren Datenschutz und Ihre Cybersicherheit auf die nächste Stufe heben? Erstellen Sie noch heute Ihr kostenloses Konto!
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
