Millionen-Diebstahl durch Vishing-Betrugsmaschen – so schützen Sie sich

Cyberkriminelle sind immer auf der Suche nach neuen Möglichkeiten, die menschliche Psychologie auszunutzen, und Vishing – von „Voice“ und „Phishing“ – ist eine ihrer besonders trügerischen Taktiken.

Mit dem Aufkommen der künstlichen Intelligenz sind Vishing-Angriffe raffinierter geworden als je zuvor. Und zwar bis zu dem Punkt, an dem sie fast nicht mehr von legitimen Anrufen zu unterscheiden sind.

Aber wie funktioniert Vishing? Und wie können Sie sich davor schützen, diesen Betrugsmaschen zum Opfer zu fallen? In diesem Artikel gehen wir der Sache auf den Grund. Wir behandeln diese Themen:

• die Techniken, die Betrüger*innen für Vishing-Angriffe verwenden
• Beispiele aus der Praxis für Vishing und die damit verbundenen Kosten
• Tipps, wie Sie einen Vishing-Angriff erkennen können
• praktische Schritte, wie Sie Ihre sensiblen Daten schützen können

Legen wir los.

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Registrieren

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

Registrieren

4.1 basierend auf 177 Benutzerbewertungen

Was ist Vishing?

Lassen Sie uns ganz am Anfang beginnen und zunächst einmal definieren, was Vishing eigentlich ist.

Bei Vishing handelt es sich um eine spezielle Form des Social Engineering, genauer gesagt um einen Phishing-Angriff, der am Telefon stattfindet. Wie beim Phishing wird das Opfer unter einem von dem*der Betrüger*in erfundenen Vorwand dazu gedrängt, vertrauliche Informationen preiszugeben.

Wenn Sie es noch nicht getan haben, sollten Sie unbedingt einen Blick in unseren Leitfaden zum Thema Phishing-Angriffe werfen. Viele der in diesem Artikel beschriebenen Techniken sind auch auf Vishing-Angriffe anwendbar, wir werden sie hier also nicht wiederholen.

Wenn Sie sich jetzt jedoch nicht den ganzen Leitfaden durchlesen möchten, ist hier eine Kurzfassung:

• Phishing-Angriffe beruhen auf Vertrauen. Die Angreifenden wollen das Opfer durch eine Täuschung dazu verleiten, Dinge zu tun, die es bei einer bestimmten Organisation routinemäßig tun würde (zum Beispiel auf einen Link klicken, eine Datei herunterladen etc.), weil es ihr vertraut und die Herkunft der Nachricht nicht infrage stellt.
  
• Bei einem Phishing-Angriff versucht der*die Angreifende, Sie dazu zu bringen, entweder auf einen Link zu klicken oder einen Anhang zu öffnen, der zu gefälschten Websites oder sogar Malware führt.
  
• Betrüger*innen setzen die Taktik der Dringlichkeit („Sie müssen JETZT handeln“) oder Drohung („Ihr Konto wird geschlossen“) ein, um Sie zum Handeln zu bewegen – ohne dass Sie zuerst darüber nachdenken.
  
• Möglicherweise locken sie Sie in Baiting-Angriffen auch mit einem Köder („Sie haben 1 Million USD-Dollar gewonnen! Klicken Sie hier, um Ihren Anspruch geltend zu machen.“).

Bei Vishing-Angriffen wird diese Taktik jedoch auf die Spitze getrieben.

Schauen wir uns ein konkretes Beispiel an, damit Sie eine Vorstellung davon bekommen.

Sie erhalten eine E-Mail, die den Anschein erweckt, von Ihrer Bank zu stammen. Darin werden Sie mit einem Text gewarnt, der dem folgenden ähneln könnte: „Die Schließung Ihres Paypal-Kontos steht unmittelbar bevor. Laut unserer Aufzeichnungen haben Sie einen offenen Saldo. Bitte rufen Sie unseren Kundensupport an unter 00-…, um die Löschung Ihres Kontos zu verhindern.“

Sie rufen die Nummer an und ein angeblicher Paypal-Mitarbeiter meldet sich. Dieser fragt Sie dann nach Ihrer Personalausweis- oder Reisepassnummer und Ihrer Kreditkartennummer, um zu bestätigen, dass Sie der*die Inhaber*in des Kontos sind. Sobald Sie die Informationen angegeben haben, wird die Leitung unterbrochen.

Leider haben Sie gerade kritische Informationen an Betrüger*innen weitergegeben, die diese jetzt nutzen können, um Ihr Bankkonto abzuräumen …

Warum sind Vishing-Angriffe so wirkungsvoll?

Dafür gibt es viele Gründe:

• Die richtigen Informationen: Die Angreifenden haben bereits Ihren Namen, Ihre Adresse und Ihre Telefonnummer. Der Großteil dieser Daten ist bereits im Dark Web zu finden, weil sie in früheren Hacks bereits abgegriffen wurden. Dadurch wirkt die Methode der Betrüger*innen vollkommen legitim.
  
• Dringlichkeit: Ihnen wird vorgegaukelt, dass Ihr Geld oder Ihre Daten in Gefahr sind und Sie schnell handeln müssen. Angst verleitet Menschen oft dazu, zu handeln, ohne nachzudenken. Dies gilt umso mehr, wenn Sie mit jemandem am Telefon sprechen, wo Sie noch weniger Zeit haben, rational zu denken.
  
• Die Telefonnummer sieht seriös aus: Dank einer Verschleierung der Anrufer-ID sieht die Telefonnummer so aus, als käme sie von einer vertrauenswürdigen Institution. Dadurch ist die Wahrscheinlichkeit viel höher, dass Sie abheben.
  
• Dank künstlicher Intelligenz können Betrüger*innen Vishing-Angriffe in großem Umfang durchführen. Sie können sich sogar als Personen ausgeben, die Sie kennen, indem sie perfekt deren Stimmen imitieren (mehr dazu später).

Vishing-Angriffe sind schwer nachzuverfolgen, da sie meistens über Internet-Telefonie erfolgen. Das bedeutet, die Betrüger*innen beginnen und beenden den Anruf auf einem Computer, der sich überall auf der Welt befinden kann.

Die Zunahme von KI bei Vishing-Angriffen

Cyberkriminelle passen ihre Taktiken schon von je her an, um neue Technologien auszunutzen. Bei KI ist das nicht anders.

Insbesondere Vishing-Angriffe werden durch KI raffinierter, überzeugender und skalierbarer denn je.

Deepfakes, Sprachsynthese, fortgeschrittenes Targeting … Lassen Sie uns herausfinden, wie Vishing-Angriffe durch KI gefährlicher werden als je zuvor.

Deepfake-Stimmen

Eine der besorgniserregendsten Anwendungen von KI bei Vishing-Angriffen ist die Deepfake-Voice-Technologie.

Cyberkriminelle können mittlerweile mit nur einer kurzen Hörprobe die Stimme einer Person klonen. Die daraus resultierenden Betrugsmöglichkeiten durch die Nachahmung von Stimmen werden damit so überzeugend wie noch nie zuvor.

Das Erschreckende daran ist, dass die Betrüger*innen keine umfangreichen Hörproben brauchen, um die Stimme einer Person zu kopieren. Schon drei bis fünf Minuten Audiomaterial reichen aus, um eine überzeugende Stimmreplik zu erstellen. Microsoft behauptet sogar, dass sie nur drei Sekunden Ihrer Stimme benötigen, um sie zu replizieren.

Mithilfe dieser Technologie haben Betrüger*innen erfolgreich CEOs und sogar Familienmitglieder nachgeahmt, um ihre Opfer zum Überweisen von Geld oder zur Preisgabe sensibler Informationen zu verleiten.

Je weiter die Technologie voranschreitet, desto schwieriger wird es werden, eine Unterscheidung zwischen echten menschlichen Stimmen und von der KI nachgebildeten Stimmen treffen zu können.

KI-Chatbots

Herkömmliche Vishing-Angriffe wurden von menschlichen Betrüger*innen durchgeführt. Doch KI-gesteuerte Sprachroboter können jetzt mithilfe der linguistischen Datenverarbeitung Echtzeitgespräche führen. Diese KI-gestützten Systeme können dynamisch auf ihre Opfer reagieren und überwinden damit bei der Durchführung der Betrugsmaschen die bisherigen Beschränkungen von zuvor aufgezeichneten Nachrichten.

Angreifende nutzen solche Chatbots zu diesen Zwecken:

• um sich als Mitarbeitende einer Bank auszugeben
• um vorzutäuschen, für einen technischen Support zu arbeiten – mit dem Ziel, Anmeldeinformationen zu stehlen
• um sich als Mitarbeitende der Personalabteilung auszugeben, die „Sicherheitsüberprüfungen“ durchführen

Dadurch sind Vishing-Angriffe plötzlich viel stärker skalierbar. Man braucht nicht mehr eine*n einzelne*n Betrüger*in für jedes Opfer: Vishing-Angriffe können jetzt in großem Maßstab automatisiert werden und Tausende Opfer gleichzeitig angreifen. Dies erhöht ihre Erfolgsquote erheblich.

Hyper-personalisierte Vishing-Angriffe

Dank KI können Cyberkriminelle heute riesige Mengen an persönlichen Daten analysieren, die sie sich aus Social Media, Datenschutzverletzungen und Online-Interaktionen beschafft haben.

Die Namen Ihrer Verwandten und Freund*innen, wo Sie im Urlaub waren, die Bank, die Sie nutzen, der Name Ihres Haustiers … All diese Informationen sind mit ein wenig Recherche wahrscheinlich frei verfügbar. Aber mit KI wird dieser ganze Prozess viel einfacher, schneller und billiger.

Betrüger*innen können daher hochgradig personalisierte Vishing-Angriffe entwickeln, die schwer zu erkennen sind. Der Kontext klingt legitim, was die Erfolgsquote der Angriffe erhöht.

8 Schritte, wie Sie sich vor Vishing-Angriffen schützen

All dies mag beängstigend klingen. Woher wissen Sie noch, ob ein Anruf legitim ist?

Glücklicherweise gibt es immer Strategien, die Sie anwenden können, um Vishing-Angriffe zu erkennen und sich vor ihnen zu schützen. Schauen wir uns diese an:

• Geben Sie niemals am Telefon persönliche Informationen weiter. Dazu gehören die Nummern von Ausweisdokumenten, Kreditkartennummern, Sozialversicherungsnummern, Anmeldedaten, PINs etc. Seriöse Unternehmen werden Sie niemals am Telefon nach dieser Art von Informationen fragen.
  
  
• Rufen Sie niemals eine Nummer an, die Sie per SMS oder E-Mail erhalten haben. Nehmen Sie sich die Zeit, die richtige Nummer nachzuschlagen (zum Beispiel direkt auf der Website Ihrer Bank), und rufen Sie sie dann an.
  
  
• Kommt Ihnen etwas verdächtig vor? Legen Sie einfach auf. Es wird nichts Schlimmes passieren, wenn Sie sich ein paar Stunden Zeit nehmen, um das vermeintlich dringende Problem zu untersuchen, bevor Sie etwas unternehmen.
  
  
• Beschränken Sie die Menge der Informationen, die Sie online teilen. Je mehr Daten Betrüger*innen von Ihnen sammeln können, desto überzeugender können sie ihre Vishing-Angriffe gestalten. Wenn Sie online kommunizieren, entscheiden Sie sich vorrangig für sichere Kanäle wie Signal oder verschlüsselte E-Mails.
  
  
• Legen Sie einen sicheren Code oder eine Passphrase zwischen Ihnen und Ihren Freunden und Ihrer Familie fest. Wenn Sie jemals misstrauisch werden und den Verdacht haben, dass Sie nicht wirklich mit einem*einer von ihnen sprechen, sondern mit einer KI-Kopie, fragen Sie nach der Passphrase. So stellen Sie sicher, dass Sie mit dem echten Menschen sprechen.
  
  
• Ist es eine Weile still, nachdem Sie den Anruf entgegengenommen haben? Dies ist wahrscheinlich Teil der Auskundschaftungsphase eines Vishing-Angriffs. Legen Sie auf und blockieren Sie die Nummer.
  
  
• Seien Sie skeptisch bei dringenden Anfragen, insbesondere wenn es um finanzielle Angelegenheiten geht. Nichts ist jemals so dringend, dass Sie innerhalb von Minuten handeln müssen.
  
  
• Aktivieren Sie 2FA (Zwei-Faktor-Authentifizierung), um einen unbefugten Zugriff auf Ihre Konten zu verhindern.

Beispiele für Vishing-Angriffe aus dem echten Leben

Lassen Sie uns jetzt einen Blick auf einige echte Fälle von Vishing-Angriffen aus der Praxis werfen und sehen, was wir daraus lernen können.

Die Imitations-Betrugsmasche, die 3 Millionen USD kostete

Im August 2022 erhielt ein südkoreanischer Arzt eine Reihe von Anrufen von Personen, die behaupteten, Mitarbeitende des Gesetzesvollzugs zu sein.

Die Kriminellen gaben vor, Staatsanwälte zu sein, die Beweise dafür hätten, dass die Bankkonten des Arztes zur Geldwäsche genutzt würden. Wenn er nicht bei den Ermittlungen kooperiere, würden sie ihn verhaften.

Sie sendeten ihm sogar einen gefälschten Haftbefehl per SMS – etwas, was die offizielle Strafverfolgung niemals tun würde. Unter dem Druck dieser Drohungen überwies der Arzt schließlich insgesamt drei Millionen US-Dollar.

Dieser Fall verdeutlicht die Effektivität von Vishing-Angriffen, die Autorität und Angst ausnutzen. Wir sollten bei unerwarteten Anrufen von vermeintlichen Amtsträger*innen vorsichtig sein und deren Identität über offizielle Kanäle überprüfen, bevor wir etwas unternehmen.

Wenn Sie mehr über diesen Fall erfahren möchten, lesen Sie gerne diesen Artikel.

Die Betrugsmasche mit der gefälschten Sicherheitsleistung

Erst in jüngster Vergangenheit, im Januar 2025, wurde ein älteres Ehepaar in Massachusetts Opfer eines betrügerischen Anrufs eines angeblichen Anwalts.

Ihnen wurde fälschlicherweise mitgeteilt, dass ein enges Familienmitglied verhaftet worden sei und 10.000 US-Dollar für eine Kaution benötige. Ohne die Behauptung zu überprüfen, hoben sie den geforderten Betrag ab und übergaben ihn einem Kurier (der tatsächlich nicht an dem Betrug beteiligt war).

Erst später fanden sie heraus, dass ihr Familienmitglied nie verhaftet worden war. Aber zu diesem Zeitpunkt waren die 10.000 US-Dollar bereits weg.

Betrüger*innen setzen bei Vishing-Angriffen oft emotionale Manipulation ein, um ihre Opfer zum sofortigen Handeln zu bewegen. Dieser Fall zeigt einmal mehr, wie wichtig es ist, rational zu denken und Behauptungen über sekundäre Kanäle zu überprüfen.

Abschließende Gedanken zu Vishing-Angriffen

Hiermit sind wir am Ende dieses Leitfadens über Vishing-Angriffe angekommen. Wir hoffen, dass er Ihnen nützlich war und Sie solche Angriffe jetzt erkennen können, bevor Sie ihnen zum Opfer fallen.

Wenn Sie Ihre Online-Sicherheit erhöhen möchten, sollte Ihr erster Schritt darin bestehen, sich für einen privaten und sicheren E-Mail-Anbieter zu entscheiden.

Hier bei Mailfence sind wir stolz auf diese elementaren Features:

• Moderne Sicherheitstools: Ende-zu-Ende-Verschlüsselung, symmetrische Verschlüsselung, digitale Signaturen und vieles mehr.
• Kein Tracking, keine Werbung. Wir setzen weder Werbe- noch Marketing-Tracker von Dritten ein. Wir verfolgen Ihre Aktivitäten in der Anwendung nicht. Mailfence ist vollkommen frei von Werbung.
• Strenge Datenschutzgesetze. Die Server von Mailfence befinden sich in Belgien, wo strenge Gesetze zum Schutz der Privatsphäre gelten. Nur ein gültiger belgischer Gerichtsbeschluss kann uns zur Herausgabe von Daten zwingen.

Möchten Sie ein neues Niveau für Ihre Privatsphäre, Ihre Sicherheit im Internet und den Schutz Ihrer Daten erreichen? Dann erstellen Sie jetzt Ihr kostenloses Konto!

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

4.1 basierend auf 177 Benutzerbewertungen

Registrieren

Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.

Registrieren

4.1 basierend auf 177 Benutzerbewertungen