Vishing – der Datendiebstahl über das Telefon

Originalartikel von David Fu, Product Manager

Bbei den vielen neuen Möglichkeiten der Kommunikation – mit all ihren Gefahren – sollte man annehmen, dass die „altmodischen“ Telefonanrufe sicher sind. Doch das wäre ein Trugschluss, denn immer häufiger nutzen Angreifer Telefonate und so genanntes Vishing aus. Beispielsweise gibt sich ein Betrüger am Telefon als Bankangestellter aus, der erklärt, das Konto des Opfers könnte wegen bösartiger Aktivitäten gesperrt werden. Dann empfiehlt er dem Opfer, eine bestimmte Telefonnummer anzurufen.

Vishing ist die Telefonvariante des Phishings, und der Begriff setzt sich aus den Wörtern „Voice“ und „Phishing“ zusammen. Ein Opfer wird entweder direkt vom Angreifer angerufen oder erhält eine Einladung (per Mail oder Anrufbeantworter), einen vorgeblichen Kundendienst anzurufen, um ein Problem zu lösen. Tut das Opfer dies, so verlangt ein Automatendienst die Kontonummern, PIN oder Kennwörter, oder der Angreifer fordert das Opfer auf, bestimmte persönliche Informationen zu bestätigen.

Aus Sicht der Betrüger ist Vishing ein Drei-Schritte-Prozess. Erst sucht er sich die Ziele aus. Dafür erzeugt er Scripts, die automatisch viele Leute anrufen, und genau wie bei einem Massen-Phishing-Angriff gehen ihnen immer einige naive Bankkunden ins Netz. Die Angreifer können eine Software herunterladen, die ihnen jede gewünschte Telefonnummer anzeigt, sodass sie vorgeben können, zu einer bestimmten Bank zu gehören.

Im zweiten Schritt fragt der Angreifer die persönlichen Daten des Opfers ab, und der letzte Schritt besteht dann aus der Verwendung der Informationen, um Geld zu klauen.

Warum ziehen Cyberkriminelle Vishing anderen technisch ausgeklügelteren Techniken vor?

Vishing nutzt das schwächste Glied in der Sicherheitskette aus. Es ist für einen Angreifer sehr einfach, vertrauenswürdig und ehrlich zu klingen, sodass die Leute ihm die wichtigen Informationen wirklich aushändigen.

Zudem werden die Angriffe über Voice over IP (VoIP) Provider ausgeführt und können damit Funktionen wie Caller ID Spoofing, automatische Teilnehmer und weitere Anonymisierungen nutzen. Damit gestaltet es sich schwierig, diese illegalen Aktivitäten zu überwachen oder nachzuvollziehen.

 Ich bin ein Vishing-Opfer. Was nun?

Wer auf einen solchen Betrüger hereinfällt, sollte aufschreiben, was passiert ist und wie das Opfer den Betrug entdeckt hat. All diese Informationen sind für die Nachforschung wichtig. Dann sollte Anzeige bei der lokalen Polizei erstattet werden und schließlich die Bank, das Kreditinstitut und die Telefongesellschaft vom Vorfall in Kenntnis gesetzt werden.

Doch der wichtigste Tipp: Ein echtes Finanzinstitut wird niemals per Telefon persönliche Informationen oder Kennwörter abfragen. Also, bei einem verdächtigen Anruf einfach den Hörer auflegen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*