Cyberangriffe gehören nicht nur in Unternehmen zum Alltag. Auch beim Öffnen des privaten E-Mail-Postfaches fallen uns hin und wieder seltsame E-Mails auf, die der/ dem Empfänger*in dringenden Handlungsbedarf vorgeben. Man wird aufgefordert, persönliche Daten zu aktualisieren, Kontodaten für die Auszahlung eines Gewinns einzutragen oder auf Links zu klicken. Phishing ist als Betrugsmethode längst nicht mehr unbekannt. Allerdings werden die Angriffe immer raffinierter. Etwas unbekannter und somit auch überraschender sind jedoch sogenannte Vishing-Angriffe. Auch hier lassen sich Betrüger*innen so einiges einfallen, um ihren Opfern Daten zu entlocken.
Was ist Vishing?
Das Wort „Vishing“ setzt sich aus den Begriffen „Voice“, und „Phishing“ zusammen. Es handelt sich um eine Internet-Betrugsmethode, bei der im Gegensatz zum Phishing die Kontaktaufnahme nicht per E-Mail oder Links stattfindet. Stattdessen werden beim Vishing persönliche Gespräche während eines Telefonats genutzt, um an sensible Daten wie Passwörter oder persönliche Daten des Opfers zu gelangen. Während des Telefonats kann die angerufene Person aufgefordert werden, sensible Daten anzugeben oder Transaktionen durchzuführen. Die Betrüger*innen wecken häufig Vertrauen in die/ den Gesprächspartner*in, nutzen Überrumpelungstechniken und üben Druck aus, um die Daten im Laufe des Telefonats aus ihren Gesprächspartner*innen zu entlocken.
Wie bei den Phishing-Angriffen, haben auch die Angriffe über Telefonanrufe im Zuge der Pandemie deutlich zugenommen. Mitarbeitende verlagern ihre Arbeit ins Homeoffice und auch die innerbetriebliche Kommunikation findet zunehmend in der digitalen Welt statt. Den Mitarbeitenden mangelt es oft an Möglichkeiten, verdächtige E-Mails oder Anrufe unmittelbar mit ihren Kolleg*innen zu besprechen. Stattdessen müssen sie sich auf Telefonate und E-Mails verlassen. Für Betrüger*innen bietet dieser Umstand eine potenzielle Angriffsmöglichkeit.
Technische und emotionale Manipulation
Beim Vishing können Betrüger*innen eine Kombination aus technischer Manipulation und emotionaler Beeinflussung einsetzen. Die Vorgehensweisen können also sehr unterschiedlich sein. Aus technischer Sicht kann der Einsatz von Voice-over-IP (VoIP) sowohl dazu dienen, eine große Anzahl an verschiedenen Telefonnummern automatisiert und somit ohne Aufwand anzuwählen als auch die angezeigte Telefonnummer so zu manipulieren, dass die tatsächliche Herkunft des Anrufs nicht mehr ersichtlich ist.
Häufig geben sich die Betrüger*innen als Bankangestellte, Mitarbeitende einer IT-Firma oder eines Callcenters aus. Im Laufe des Telefonats kann die/ der Betrüger*in dann vertrauliche Daten abfragen und lässt das Opfer glauben, dass diese Daten beispielsweise zur Verifizierung oder zur Lösung eines erfundenen Problems notwendig sind. Nicht selten werden die Opfer gezielt ausgesucht und angerufen. In diesen Fällen sammelt die/der Betrüger*in vor dem Anruf so viele Informationen wie möglich über das Opfer, zum Beispiel über Social Media. Die gesammelten Informationen können dann dazu genutzt werden, den Anruf authentischer erscheinen zu lassen.
Wie kann ich mich schützen?
Um sich selbst vor Vishing zu schützen, sind einige Maßnahmen hilfreich. Generell gilt es, ein gesundes Misstrauen gegenüber unerwarteten Telefonanrufen zu haben. Gebt niemals sensible Daten wie Passwörter oder Kontodaten am Telefon weiter und seid euch stets bewusst, dass Cyberattacken jederzeit und überall vorkommen können.
Im Alltag werden nicht wenige Menschen misstrauisch, wenn sie plötzlich angerufen werden. Doch bei der Arbeit sind viele unvorsichtiger, da unerwartete Anrufe in diesem Zusammenhang keine Seltenheit sind. Aus diesem Grund steigt die Bedrohung durch Vishing in Zeiten der Pandemie und des Homeoffice enorm an. Wenn Mitarbeitende unter Druck stehen, viel zu tun haben und die Aufgaben schnell erledigen möchten, möchte man das Telefonat schnell hinter sich bringen und wird dadurch eventuell unvorsichtiger. Wenn die angezeigte Nummer zusätzlich noch manipuliert wurde und so aussieht, als würde sie beispielsweise von jemandem aus der Personalabteilung kommen, tappen viele völlig ahnungslos in die Falle. Innerbetriebliche Schulungen sowie die Festlegung und Einhaltung klarer Richtlinien tragen maßgeblich dazu bei, dass potenzielle Schäden für das Unternehmen abgewehrt und die Mitarbeitende geschützt werden können.
Im Zweifelsfall sollte die/ der angerufene Gesprächspartner*in auflegen und den Anrufenden über eine selbst recherchierte Telefonnummer zurückrufen. Einige Betrüger*innen sind jedoch sehr clever und arbeiten stetig daran, ihre Masche zu perfektionieren. Wenn ihr eine Telefonnummer im Internet selbst nachprüft, prüft ebenfalls, dass die Webseiten, auf denen ihr diese Nummer wiederfindet, nicht ebenfalls Teil der Masche ist. In einigen Fällen präparieren die Angreifer*innen ihre Attacke bis ins kleinste Detail.
Letztendlich ist es entscheidend, sich der Gefahr bewusst zu sein und andere darüber aufzuklären. Dadurch kann das öffentliche Bewusstsein zunehmend geschärft und Angriffe abgewehrt werden.
Wenn ihr euch nicht sicher seid, ob ihr möglicherweise Opfer eines Angriffs geworden seid und kritische Informationen am Telefon weitergegeben habt, informiert umgehend euren IT-Verantwortlichen. Auch enttarnte und abgewehrte Angriffe sollten gemeldet werden. Diese Meldungen können ebenfalls die allgemeine Aufmerksamkeit erhöhen und können weitere Menschen für zukünftige Angriffsversuche sensibilisieren.
Weitere Informationen über Internet-Betrugsmethoden und wie man sie vermeiden kann, findet ihr unter dem Tag IT-Sicherheit.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.
Im Rahmen der häufigen „Microsoft“ Anrufe ein super Beitrag!
Hallo Jason Camel,
vielen Dank für dein Feedback! Wir freuen uns sehr, dass dir unser Beitrag gefällt und vor allem hilfreich ist.
Einen schönen Tag noch und viele Grüße,
das IT Center Blog Team