Das Wort Vishing setzt sich aus den beiden Begriffen „Voice“ (Englisch für „Stimme“) und „Phishing“ zusammen. Wenn man von Vishing spricht, dann meint man einen Telefonbetrug. Im Rahmen dessen werden Opfer über das Telefon dazu bewogen, bestimmte Handlungen auszuführen. Etwa einen Phishing-Link anzuklicken, seine Bankkontoinformationen offenzulegen oder gar die Bankkarte samt PIN an Betrüger abzugeben. Doch wie funktioniert die Masche nun genau und wie können Verbraucher sich schützen?
Vishing – So gehen Kriminelle vor
Während Kriminelle bei Phishing auf Quantität setzen, spielt bei Vishing Qualität eine größere Rolle. Anstatt wahllos tausende E-Mails zu verschicken, gehen die Betrüger deutlich gezielter und mit viel mehr Zeitaufwand vor. Betroffene werden in der Regel persönlich angerufen und über ein Problem in Kenntnis gesetzt. Beispielsweise könnte ein angeblicher Bankmitarbeiter ungewöhnliche Kontoaktivitäten oder eine nicht genehmigte Überweisung festgestellt haben. Glücklicherweise wird dem potenziellen Opfer im gleichen Atemzug ein Lösungsansatz an die Hand gegeben. Dazu müsste dieser allerdings etwa seine Banking-Daten mitteilen, eine mittels SMS oder per E-Mail zugestellte Verlinkung anklicken oder aber seine Geldkarte samt PIN an einen „Bankangestellten“ übergeben. Auf diese Weise verschaffen sich die Cyberkriminellen Zugriff auf die Ersparnisse des Opfers und verschwinden anschließend spurlos.
Bei den zuvor aufgeführten Betrugsmaschen handelt es sich lediglich um einige Beispiele. Denn Vishing-Angriffe können überaus vielfältig ausfallen. In einigen Fällen geben sich die Betrüger etwa als Microsoft-Techniker aus, nachdem sie den PC des Opfers eigenständig über eine Verlinkung mit Schadware infiziert und gesperrt haben. Die Angerufenen werden in derartigen Situationen aufgefordert, für die Reparatur zu bezahlen oder spezielle Software zu erwerben. Ferner spielen Betrüger Polizeiberichten zufolge des Öfteren selbst Polizeibeamte und warnen die Angerufenen – meistens Senioren – vor kriminellen Banden. Anschließend werden sie dazu gedrängt, ihre Wertgegenstände und Bargeld-Reserven der „Polizei“ zur Verwahrung zu überlassen. Eine Rückkehr der Gegenstände ist dabei verständlicherweise nicht vorgesehen.
Woher haben die Telefonbetrüger meine Nummer?
Eine eindeutige Antwort auf die in der Zwischenüberschrift gestellte Frage existiert nicht. Zunächst einmal finden sich unzählige Rufnummern zusammen mit Namen und teilweise sogar mit Adressen in diversen Internet-Verzeichnissen respektive Telefonbüchern. Folglich stellt auch die Kenntnis deines Namens keine Garantie dafür dar, dass sich am anderen Ende der Leitung tatsächlich ein Bankmitarbeiter oder Beamter befindet. Außerdem können für Vishing verwendete Telefonnummern auch aus einem von zahlreichen Datenlecks, vorangegangenen Phishing-Angriffen und/oder dem Darknet stammen.
Was machen Vishing-Kriminelle mit den Daten?
Betrüger können die Zugänge zu deinem Bankkonto wie bereits erwähnt kurzerhand dazu verwenden, um dieses zu leeren. Doch je nachdem, welche personenbezogenen erworben wurden, lassen sich diese auch anderweitig missbrauchen. Zugänge zu WhatsApp und Co. lassen sich etwa für Identitätsdiebstahl verwenden. Damit können Betrüger beispielsweise die Kontakte des Opfers in seinem Namen um eine finanzielle Leihgabe bitten. Ferner können diese die Cloud-Speicher nach sensiblen Inhalten durchforstet und ihre Besitzer anschließend erpressen. Zu guter Letzt können Kriminelle sämtliche erworbenen Daten auch für zielgerichtetere Vishing- und Phishing-Angriffe verwenden. Denn je mehr die Cyberkriminellen über dich wissen, desto authentischer und glaubwürdiger wirkt ihre Darbietung.
Worauf sollte man achten?
Der erste Gedanke bei Vishing dürfte sein, die Telefonnummer des Anrufers abzugleichen. In vielen Fällen sollte diese Maßnahme tatsächlich die benötigte Erkenntnis bringen, allerdings nicht in allen. Denn Telefonnummern lassen sich mittels des sogenannten Call-ID-Spoofing manipulieren. Folglich solltest du auch dann auf der Hut bleiben, wenn die Rufnummer mit der deiner Bank oder deiner örtlichen Polizeidienststelle übereinstimmt.
Grundsätzlich gilt es bei Vishing darauf zu achten, wie sich der Gegenüber verhält. Übt dieser Druck aus? Versucht er dich einzuschüchtern? Drängt er auf eine sofortige Lösung? Lautet die Antwort „ja“, solltest du besonders viel Vorsicht an den Tag legen. Ferner empfiehlt es sich, den Anrufer nach der eigenen Kundennummer oder etwas Ähnlichem zu fragen. Kennt dieser die Antwort nicht, ist es ein weiterer Hinweis auf Vishing.
Weiterhin sollten sämtliche Alarmglocken erklingen, falls dich der Anrufer nach deinen Zugangsdaten – etwa einem Passwort oder einer PIN – erkundigt. Denn solche Informationen benötigen echte Kundendienst-Mitarbeiter keinesfalls, um auf dein Konto zugreifen zu können. Die einzige mögliche Ausnahme stellt eine Telefon-PIN dar. Letztere wird gelegentlich dazu benötigt, um sich per Telefon zu verifizieren. Dabei handelt es sich allerdings keineswegs um die PIN deiner Bankkarte oder das Passwort deines PayPal-Accounts.
Solltest du Zweifel haben, empfiehlt es sich, das Telefonat augenblicklich zu beenden und eigenständig den Kundendienst zu kontaktieren – über eine online herausgesuchte Rufnummer. Möchtest du dabei auf Nummer sicher gehen, kannst du für den Anruf ein anderes Telefon verwenden. Denn wurde dein Smartphone noch vor dem Vishing-Anruf mit einem Virus infiziert, könnten Betrüger unter Umständen eine automatische Weiterleitung für Telefonverbindungen eingerichtet haben.