Was ist Vishing: eine Definition
Vishing oder Voice-Phishing bedeutet, dass eine angeblich seriöse Person oder Organisation das Opfer anruft oder ihm eine Sprachnachricht sendet, um ihm persönliche Daten zu entlocken. Bei einem Vishing-Angriff geben sich die Betrüger (bzw. Visher) als vertrauenswürdige Quelle aus, um an sensible Daten wie Kreditkartennummern oder behördliche IDs zu gelangen.
Vishing-Betrüger täuschen in der Regel eine örtliche Nummer oder die eines zuverlässigen Unternehmens vor (siehe Spoofing), damit ihre Opfer nichts Böses ahnen. Manchmal dient Vishing dazu, Ihr Gerät mit Malware zu infizieren, um Ihre Daten auf andere Weise auszukundschaften.
Jeder Inhaber einer Telefonnummer kann von Vishing betroffen sein – Privatpersonen und Unternehmen fallen gleichermaßen auf Vishing-Betrüger herein. Und weil diese Masche auf raffinierten Social-Engineering-Taktiken beruht, kann jeder einem Vishing-Betrug zum Opfer fallen.
Vishing vs. Phishing
Phishing bedeutet, dass sich ein Betrüger als legitime Quelle ausgibt und die Opfer zur Herausgabe persönlicher Daten bewegt. Vishing ist nur eine von mehreren Formen, die Phishing-Betrug annehmen kann, und steht für „Voice Phishing“. Demnach handelt es sich um Phishing-Angriffe per Telefon oder Sprachnachricht.
Es gibt noch viele weitere Arten von Phishing. Beim Spear-Phishing hat es der Betrüger auf eine bestimmte Person oder Organisation abgesehen. Beim Social-Media-Phishing finden Sie vielleicht einen scheinbar harmlosen Post auf Ihrer Facebook-Pinnwand, der Sie zum Beantworten allgemeiner Sicherheitsfragen auffordert, und beim Smishing findet das Phishing über SMS-Nachrichten statt.
Unabhängig von der Methode verfolgen alle Phishing-Angriffe dasselbe Ziel, nämlich das Erlangen persönlicher Daten, um Geld zu stehlen, Identitätsdiebstahl zu begehen oder die sensiblen Daten des Opfers auf andere Weise auszunutzen.
Gängige Beispiele für Vishing-Angriffe
Es gibt zahlreiche Beispiele für Vishing-Angriffe und die dabei angewendeten Tricks – ständig tauchen neue Vishing-Betrugsmaschen auf. Zu den gängigen Vishing-Methoden zählen Wardialing, VoIP-Vishing, Call-ID-Spoofing und Dumpster Diving. Beliebte Themen bei Vishing-Betrug sind Krankenversicherung und Steuern.
Im Folgenden werden einige Beispiele für Vishing-Angriffe erläutert.
Wardialing
Beim Wardialing (oder War Dialing) werden mithilfe von Software automatisch ganze Listen von Telefonnummern ausgewertet und in kürzester Zeit Dutzende von Nummern angerufen. Diese Software sucht oft nach Telefonnummern, die mit Telefoniegeräten verbunden sind, d. h. mit Geräten, die zwar kein Telefon sind, aber Telefongespräche über das Internet ermöglichen.
Das scheint zunächst nur ein harmloses Ärgernis, wenn Sie den Anruf annehmen (die Software ist in der Regel so programmiert, dass sie auflegt). Aber Hacker nutzen Wardialing auch für schädlichere Zwecke: Sie suchen Menschen mit einem VoIP-Konto (Voice over Internet Protocol), die sich als Betrugsopfer eignen. Außerdem wird Wardialing für Robo-Anrufe eingesetzt, bei denen aufgezeichnete Nachrichten anstelle echter Personen die Betrugsarbeit übernehmen.
VoIP
Das Hauptziel von Vishing sind nicht Festnetzanschlüsse, sondern Nummern mit VoIP-Verbindung. VoIP-Dienste haben denselben Zweck wie Festnetz- oder Mobilfunkanschlüsse, funktionieren aber ausschließlich über das Internet. Deshalb sind VoIP-Telefonnummern weniger vom physischen Standort abhängig. Solange eine Internetverbindung besteht, können Sie mit derselben Nummer weltweit Anrufe tätigen.
Die Vorteile von VoIP liegen klar auf der Hand, doch aufgrund der Anonymität und fehlenden geografischen Eingrenzung lassen sich VoIP-Nummern von Möchtegern-Betrügern leicht missbrauchen. Wenn Visher ihre Software herunterladen und einrichten, ein Skript vorbereiten und ihren Anruffeldzug starten, entstehen Kosten meist nur für die Internetverbindung. Und ihre wahre Identität bleibt im Verborgenen.
Call-ID-Spoofing
Ein weiteres Tool, das Visher gerne nutzen, ist Call-ID-Spoofing. Das häufig im Rahmen von VoIP-Diensten eingesetzte Call-ID-Spoofing (nicht zu verwechseln mit IP-Spoofing) soll dem Opfer vorgaukeln, der Anrufer wäre jemand anderes. Im Fall von Vishing geben sich Betrüger für eine offizielle oder örtliche Stelle aus, damit das Opfer den Anruf annimmt. Dank moderner Technologie können Betrüger mit Call-ID-Spoofing leicht unerkannt bleiben.
Dumpster Diving
Dumpster Diving bezeichnet das Suchen im Müll von anderen, in der Hoffnung, darin einen „Schatz“ zu finden. Für Betrüger besteht dieser Schatz in persönlichen Daten auf Dokumenten, die Unternehmen oder Haushalte gedankenlos wegwerfen. Zu diesen Daten zählen Telefonnummern, Namen, Adressen, Kreditkartendaten und vieles mehr. Damit können sich Betrüger das Vertrauen der Opfer einfacher erschleichen.
Kreditkartenbetrug
Kreditkartenbetrug gehört zu den häufigsten Beispielen von Vishing. Betrüger geben sich als Vertreter Ihres Kreditkartenanbieters aus und behaupten, dass Ihre Kreditkarte kompromittiert wurde. Dann fragen Sie nach Ihren Anmeldedaten, um das Problem „lösen“ zu können. Nach Übermittlung der gewünschten Informationen beenden sie den Anruf umgehend – und belasten die Kreditkarte ihres Opfers bis zum Limit.
Krankenversicherungs- oder Sozialversicherungsbetrug
Bei Krankenversicherungs- oder Sozialversicherungsbetrug schlüpft der Kriminelle in die Rolle eines offiziellen Vertreters dieser staatlichen Einrichtungen. Häufig geben Betrüger vor, es bestünde ein Problem mit Ihrem Konto, oder sie bieten eine neue Versichertenkarte an – und fragen nach persönlichen Daten, die Sie nicht leichtfertig weitergeben sollten. Diese Art von Vishing zielt in der Regel auf ältere Menschen ab, die am Telefon noch mehr Vertrauen haben und sich gleichzeitig weniger gut mit Technologie und Betrugsmaschen auskennen.
Steuer- oder Abgabenbetrug
Bei Steuern- oder Abgabenbetrug, der in den letzten Jahren stark zugenommen hat, geben sich die Betrüger als Finanzbeamte aus. Dann behaupten sie, mit Ihrer Steuererklärung wäre etwas nicht in Ordnung oder Sie müssten zusätzliche Abgaben zahlen. Anschließend sollen Sie Ihre Identität bestätigen, indem Sie private Informationen offenlegen. Falls sich die Opfer weigern, drohen die Betrüger mit Steuernachzahlungen oder sogar Verhaftung, um sie so zu verängstigen, dass sie nachgeben.
Wie Kriminelle ihren Vishing-Betrug durchführen
Kriminelle nutzen für Vishing-Betrug eine Kombination aus technischen Tricks (z. B. Call-ID-Spoofing oder Internet-Telefonanrufe) und Social Engineering. Mithilfe bekannter Informationen über ihre Opfer können Betrüger die betroffenen Personen leichter manipulieren und in die Vishing-Falle locken.
Social Engineering missbraucht das weitverbreitete menschliche Vertrauen in bestimmte Einrichtungen oder Verhaltensweisen, um Menschen zu bestimmten Handlungen zu bewegen. Vishing-Betrüger geben sich als vertrauenswürdige Person aus, z. B. als Behördenvertreter oder Bankberater. Tech-Support-Betrüger behaupten, sie wären technische Experten, um sich das Vertrauen des Opfers zu erschleichen, das anschließend Malware installieren oder den Zugriff auf sein Gerät freigeben soll. Unabhängig vom konkreten Endziel erweist sich Social Engineering oft als probates Mittel, mit dem Betrüger die gewünschten Informationen ergaunern.
Eine weitere bei Betrügern beliebte Taktik ist „Panik verbreiten“. Während sie sich als vertrauenswürdige Person ausgeben, betonen sie oft die Dringlichkeit und Ernsthaftigkeit des angeblichen Problems, damit das Opfer schnell handelt. So sind Opfer weniger geneigt, den Anruf infrage zu stellen oder den Wahrheitsgehalt der Behauptungen zu überprüfen – und fallen leichter auf den Betrug herein.
So verhindern Sie Vishing-Betrug
Zum Verhindern von Vishing-Betrug gilt: Beantworten Sie keine Anrufe von unbekannten Nummern und geben Sie am Telefon keine privaten Informationen weiter. Wenn Sie vermuten, dass Sie einen Betrüger in der Leitung haben, legen Sie einfach auf. Diese Tipps plus das Wissen, wie Sie Vishing und anderen Phishing-Betrug erkennen, helfen Ihnen, nicht selbst Opfer davon zu werden.
Vishing-Betrug kann nur erfolgreich sein, wenn Menschen einen Fehler begehen. Deshalb besteht die beste Vishing-Prävention darin, sich die menschlichen Schwächen bewusst zu machen. Die oben beschriebenen Vishing-Beispiele verdeutlichen, wovor Sie auf der Hut sein müssen.
Sie dürfen nie private Informationen am Telefon weitergeben oder bestätigen. Die meisten Unternehmen rufen Sie nicht an, um solche Informationen zu erfragen. Rufen Sie auch keine Nummern an, die für weitere Auskünfte angegeben werden. Suchen Sie stattdessen über Google oder andere zuverlässige Quellen selbst nach den benötigten Informationen.
Wenn Sie einen Anruf für verdächtig halten, fragen Sie den Anrufer nach weiteren Details, nach dem Grund des Anrufs oder wie er an Ihre Nummer gelangt ist. Und so unhöflich das scheint, Sie dürfen auch einfach auflegen, wenn Sie einen Betrug vermuten.
Möglicherweise haben Vishing-Betrüger bereits persönliche Informationen über Sie, die Sie aber nie am Telefon bestätigen dürfen.
Das Eintragen Ihrer Telefonnummer im „Do Not Call“-Register (in den USA) oder in den Telephone Preference Services (Vereinigtes Königreich) kann so manchen unerwünschten Verkaufsanruf abhalten, funktioniert aber nur bedingt. Betrüger haben schließlich wenig Respekt dafür, dass Sie keine unerbetenen Anrufe wünschen.
Eine andere Möglichkeit: Nehmen Sie Anrufe von unbekannten Nummern einfach nicht an, wenn dieser Fall bei Ihnen nur selten vorkommt. Hinterlässt ein Visher eine Nachricht und behauptet, dass er im Namen einer bekannten Organisation anruft, kontaktieren Sie diese Organisation direkt, anstatt zurückzurufen.
Viele dieser Vorkehrungsmaßnahmen sind gegen Betrug jeder Art effektiv, sowohl im Internet als auch in der echten Welt. Möchten Sie sich selbst und Ihre privaten Daten noch besser schützen? Dann stellen Antivirus-Software und andere Tools für mehr Online-Sicherheit eine wichtige Maßnahme dar.
Schützen Sie sich mit AVG BreachGuard vor Vishing-Betrug
Betrügern ist jedes Mittel recht, um an Ihre persönlichen Daten zu kommen – sie wühlen dafür sogar im Müll. Leider ist es gar nicht so einfach, persönliche Daten geheim zu halten, wenn sie für so viele Online-Konten und -Dienste verwendet werden.
AVG BreachGuard hilft Ihnen, Ihre Daten privat zu halten, indem laufend im Darknet überprüft wird, ob Ihre Informationen von einem Datenleck betroffen sind. Die integrierte Risikoüberwachung von BreachGuard funktioniert rund um die Uhr, damit BreachGuard Sie vor einem neuen Datenleck unverzüglich warnen kann.
Außerdem behalten Sie mit AVG BreachGuard die Kontrolle über Ihre personenbezogenen Daten, weil automatisch Anträge auf Löschung Ihrer Daten an Datenvermittler gesendet werden. Dies verhindert, dass Dritte (einschließlich Betrügern) Ihre Adresse, Telefonnummer und andere private Daten erhalten.
AVG BreachGuard hilft Ihnen, Ihre Daten abzusichern und sich darüber bewusst zu werden, welche persönlichen Informationen Sie mit großen Unternehmen teilen. Holen Sie sich AVG BreachGuard noch heute, um sich vor Vishern und anderen Betrügern zu schützen, bevor es zu spät ist.
Holen Sie es sich für
Mac
Holen Sie es sich für
Mac