Nicht nur im Internet lauern Gefahren. Auch offline können Verbraucher ausgetrickst und um ihr Geld gebracht werden. Davor warnt gegenwärtig das Landeskriminalamt Niedersachsen (LKA). Denn Fälle von Telefonbetrug – auch bekannt als Vishing (zusammengesetzt aus Voice und Phishing) – scheinen aktuell sogar zuzunehmen. Dabei geben sich Kriminelle für Mitarbeiter des Kundendiensts aus. Das LKA warnt dabei speziell vor Bankmitarbeitern oder den bankeigenen Sicherheitsdiensten. Diese Berufsgruppen scheinen besonders oft als Tarnidentitäten für Cyberkriminelle zu fungieren. Und wer auf diese hereinfällt, muss mit Geldabbuchungen oder gar leergeräumten Konten rechnen.
Vishing: So funktioniert die Masche
Zunächst rufen Cyberkriminelle potenzielle Opfer proaktiv an. Die dafür benötigten Kontaktinformationen können aus vorangegangenen Phishing-Angriffen, Sicherheitslücken oder auch Darknet-Foren stammen. Besonders perfide: Die Rufnummer, die daraufhin auf den Smartphone-Displays der potenziellen Opfer erscheint, könnte sogar der echten Telefonnummer der Bank entsprechen. Eine solche Manipulation nennt man Call-ID-Spoofing. Folglich ist auch eine korrekte Rufnummer keine Garantie dafür, dass am anderen Ende der Leitung tatsächlich ein Bankmitarbeiter sitzt.
Eingangs sollen Kriminelle oftmals grundlegende Personalien abfragen. Doch schon kurz darauf informieren sie die Angerufenen über ein Problem mit ihrem Bankkonto. Das LKA nennt hier etwa Fremdzugriffe, Aktualisierungen des Kontos oder Erneuerungen des TAN-Verfahrens. Die Vorwände können vielseitig sein und spielen im Grunde keine große Rolle. Und das gilt auch für den zeitlichen Druck, der im gleichen Zug aufgebaut wird. Worauf es den Tätern wirklich ankommt, ist der nächste Schritt: zusätzliche Nutzerdaten.
Diese können ebenfalls vielfältig sein, sollen den Cyberkriminellen jedoch auf die eine oder andere Weise Zugriff zum Bankkonto verschaffen. Beinahe noch gefährlicher als die Weitergabe der Zugangsdaten ist jedoch die Herausgabe von Transaktionsnummern (TAN) – einer Art von Zwei-Faktor-Authentifizierung (2FA). Denn diese lassen sich etwa dafür verwenden, um Überweisungen zu bestätigen, die Zugangsdaten zum Bankkonto zu ändern oder die kontaktlose Bezahlfunktion auf einem Smartphone freizuschalten.
Parallele Angriffe über das Internet
Nach Angaben des LKA Niedersachsen erfolgen Vishing-Angriffe nicht zwangsläufig ausschließlich über das Telefon. Demnach kombinieren Täter diese des Öfteren mit herkömmlichen Phishing-Mails, die zeitgleich oder vorab verschickt wurden und zwei Aufgaben erfüllen: Einerseits bestätigen sie die Aussagen des angeblichen Bankmitarbeiters und schaffen auf diese Weise Vertrauen. Andererseits führen sie zu gefälschten Websites. Hier eingetragene Nutzerdaten landen auf direktem Wege bei den Cyberkriminellen. Zudem können solche Seiten so gestaltet werden, dass sie etwa die angekündigten Fremdzugriffe oder hohe Auslandsüberweisungen bestätigen.
Wie kannst du dich schützen?
Da die Telefonnummer des Anrufers nicht aussagekräftig ist, empfiehlt es sich, das Telefonat nach der Nennung des Anliegens zu beenden und eigenständig den Kundenservice der Bank zu wählen. Die dazugehörigen Kontaktdaten finden sich auf den Websites der Geldinstitute. Du solltest allerdings darauf achten, dass es sich bei der fraglichen Seite tatsächlich um eine echte Bankseite handelt. Wie das geht, verrät unser Artikel zu einer weiteren aktuellen Masche. Außerdem solltest du verinnerlichen, dass Bankmitarbeiter niemals die Weitergabe von sensiblen Informationen wie etwa deinen Zugangsdaten fordern würden. Tun sie dies doch, dann sprichst du gegenwärtig mit hoher Wahrscheinlichkeit mit einem Betrüger.
Solltest du bereits Opfer von Vishing geworden sein, empfiehlt es sich, unverzüglich die Bank zu kontaktieren und das Onlinebanking sperren zu lassen. Anschließend kannst du eine Anzeige bei der örtlichen Polizei oder in einer Onlinewache stellen.