Was ist Vishing? Entlarvung von Voice-Phishing-Betrügereien und -Techniken

Veröffentlicht: 2023-10-12
Vishing-Angriffe erklärt

Vishing, eine heimtückische Mischung aus Sprachkommunikation und Phishing-Taktiken, stellt eine gewaltige Herausforderung dar, da Betrüger ihre Methoden mit alarmierender Raffinesse verfeinern. In diesem Artikel befassen wir uns mit seinen Mechanismen, der psychologischen Manipulation, die er einsetzt, und den entscheidenden Strategien zur Erkennung und Prävention, um Einzelpersonen mit dem Wissen auszustatten, sich in den prekären Gewässern der sprachbasierten Cyber-Täuschung zurechtzufinden.

Was ist Vishing?

Vishing oder Voice-Phishing ist eine Form des Social-Engineering-Angriffs, bei dem Bedrohungsakteure Telefonanrufe oder Sprachnachrichten verwenden, um Einzelpersonen dazu zu verleiten, vertrauliche Informationen wie Passwörter, Kreditkartendaten oder Sozialversicherungsnummern preiszugeben. Indem sie die menschliche Tendenz ausnutzen, der Sprachkommunikation zu vertrauen, erzeugen Vishing-Täter ein falsches Gefühl von Dringlichkeit oder Angst und veranlassen die Opfer, zu handeln, ohne die Identität des Anrufers zu überprüfen.

Da die Menschen weiterhin SMS-Nachrichten bevorzugen, ist es von größter Bedeutung, sie über das Erkennen und Bekämpfen von Vishing aufzuklären und eine sichere Kommunikationslandschaft in einer Zeit zu gewährleisten, in der ein Telefonanruf manchmal ungewöhnlich sein kann. Für die Förderung sicherer und bevorzugter Kommunikationskanäle ist es wichtig, die Bequemlichkeit des SMS-Versands mit dem Bewusstsein für sprachbasierte Bedrohungen in Einklang zu bringen.

Navigieren in der Phishing-Smishing-Vishing-Landschaft

Der in den 1990er Jahren entstandene Begriff „Phishing“ beschrieb die Taktiken, die Betrüger als „Köder“ nutzten, um Opfer in der digitalen Welt zu täuschen. Dieser Begriff ist bis heute erhalten geblieben und steht für Betrügereien, bei denen Social Engineering zum Einsatz kommt, um Einzelpersonen dazu zu bringen, Opfer betrügerischer Fallen zu werden.

Mit dem Fortschreiten der Cyberkriminalität sind neue Terminologien wie „Smishing“ und „Vishing“ entstanden, die unter die breitere Kategorie des Phishing fallen. Bei Smishing-Angriffen versenden Betrüger SMS mit dem Ziel, die Empfänger dazu zu verleiten, entweder auf einen schädlichen Link zu klicken oder persönliche Informationen per Textaustausch weiterzugeben.

Andererseits beinhaltet Vishing zu einem bestimmten Zeitpunkt des Angriffs Sprachkommunikation. Das Ziel der ersten Nachricht besteht darin, ein potenzielles Opfer dazu zu verleiten, eine Nummer zu wählen, sodass Angreifer entweder ihre Täuschung fortsetzen oder den Besitz der kontaktierten Nummer bestätigen können.

Wie funktioniert Vishing?

Vishing-Angriffe sind komplizierte Vorgänge, bei denen weit mehr als nur das Wählen von Zufallszahlen für den Erfolg erforderlich ist. Tauchen Sie unten in die detaillierte vierphasige Reise eines Vishing-Angriffs ein:

Infografik zur Funktionsweise eines Vishing-Angriffs

Phase 1: Untersuchung

Der Angriff beginnt damit, dass die Bedrohungsakteure ihre Ziele gründlich untersuchen. In dieser Phase verteilen sie möglicherweise Phishing-E-Mails und erwarten Antworten von potenziellen Opfern, die bereit sind, ihre Kontaktdaten weiterzugeben. Der Einsatz hochentwickelter Software ermöglicht es ihnen, eine Vielzahl von Menschen anzurufen und dabei eine Nummer zu verwenden, die die Vorwahl ihrer Opfer teilt.

Phase 2: Aufrufausführung

Sollte ein Opfer durch eine vorangegangene Phishing-E-Mail getäuscht werden, ist es wahrscheinlich weniger misstrauisch gegenüber dem eingehenden Anruf. Abhängig von der Raffinesse der Vishing-Taktik erwartet das Opfer möglicherweise einen Anruf, was es den Hackern leichter macht. Die Angreifer nutzen die Wahrscheinlichkeit aus, dass Anrufe aus Ortsvorwahlen entgegengenommen werden.

Phase 3: Überzeugung

Sobald der Kontakt hergestellt ist, verlagert sich das Ziel des Bedrohungsakteurs darauf, die inhärenten Instinkte des Opfers wie Vertrauen, Angst, Gier und Altruismus zu manipulieren. Durch den Einsatz einer Mischung dieser Social-Engineering-Techniken beruhigen sie die Opfer und können sie möglicherweise davon überzeugen:

  • Geben Sie Bank- und Kreditkartendaten bekannt

  • E-Mail-Adressen teilen

  • Geld überweisen

  • Leiten Sie vertrauliche arbeitsbezogene Dokumente weiter

  • Geben Sie Informationen über ihren Arbeitgeber preis

Phase 4: Höhepunkt

Die Vishing-Reise endet hier nicht. Ausgestattet mit den gewonnenen Informationen sind die böswilligen Akteure bereit, weitere Straftaten zu begehen. Sie können die Bankressourcen des Opfers aufbrauchen, dessen Identität annehmen und nicht autorisierte Transaktionen durchführen. Darüber hinaus könnten sie die E-Mail-Adresse des Opfers nutzen, um Kollegen dazu zu verleiten, vertrauliche Unternehmensinformationen preiszugeben.

Vishing-Methoden

Visher wenden verschiedene Taktiken an, um ihre betrügerischen Ziele zu erreichen. Zu den gängigen Methoden gehören:

  • Anrufer-ID-Spoofing : Angreifer manipulieren die Anrufer-ID, um den Eindruck zu erwecken, dass eine vertrauenswürdige Instanz, beispielsweise eine Bank oder eine Regierungsbehörde, anruft.

  • Vorwand : Der Angreifer erstellt ein erfundenes Szenario oder einen Vorwand, um dem Ziel Informationen zu entlocken.

  • IVR-Phishing : Automatisierte Interactive Voice Response (IVR)-Systeme ahmen legitime Unternehmen nach, um sensible Daten zu erfassen.

Häufige Vishing-Beispiele

Da diese Betrügereien immer ausgefeilter werden, ist es wichtig, gemeinsame Muster und Szenarien zu erkennen. Bevor wir uns mit den verschiedenen Vishing-Beispielen befassen, machen wir uns mit einigen der gängigsten Taktiken vertraut, damit Sie immer einen Schritt voraus sind und Ihre Daten schützen.

IRS-Betrug

Anrufer geben sich als IRS-Agenten aus und behaupten, das Opfer schulde Steuern und drohe einer Verhaftung, wenn es nicht sofort zahle, wobei in der Regel die Zahlung per Geschenkkarte oder Überweisung verlangt werde. Bei dieser Variante handelt es sich häufig um automatisierte Nachrichten, in denen auf Unstimmigkeiten in Steuererklärungen hingewiesen und mit rechtlichen Schritten gedroht wird, gepaart mit Anrufer-ID-Spoofing, um eine IRS-Kontaktaufnahme nachzuahmen. Es ist wichtig, solche Behauptungen direkt beim IRS zu überprüfen und eine Zusammenarbeit mit dem Betrüger zu vermeiden.

Betrug beim technischen Support

Betrüger geben sich als Mitarbeiter des technischen Supports seriöser Unternehmen aus und behaupten, der Computer des Opfers sei mit einem Virus infiziert. Sie bitten um Fernzugriff oder Zahlung, um das nicht vorhandene Problem zu beheben.

Warnung vor Bankbetrug

Betrüger geben vor, von der Bank des Opfers zu stammen, und geben an, dass auf ihrem Konto verdächtige Aktivitäten stattfinden. Sie fragen nach Kontodaten und PINs, um die Identität des Opfers zu „verifizieren“ und das Konto zu „sichern“. Anstatt der Aufforderung Folge zu leisten, ist es ratsam, das Gespräch zu beenden und sich direkt an die Bank zu wenden. Die Kontaktdaten finden Sie auf der offiziellen Website der Bank.

Lotterie- oder Gewinnbetrug

Opfer erhalten Anrufe, in denen ihnen mitgeteilt wird, dass sie einen Preis oder eine Lotterie gewonnen haben, aber im Voraus Steuern oder Gebühren zahlen müssen, um die Belohnung zu erhalten. Wachsamkeit und Überprüfung sind der Schlüssel, um nicht Opfer solcher Taktiken zu werden.

Betrug bei der Sozialversicherung

Die Anrufer geben vor, von der Sozialversicherungsbehörde zu kommen, geben an, dass die SSN des Opfers aufgrund verdächtiger Aktivitäten gesperrt wurde, und bitten um persönliche Informationen, um das Problem zu lösen. Insbesondere identifiziert die Federal Trade Commission Telefonanrufe als die primäre Methode, mit der Betrüger es auf Senioren abgesehen haben.

Betrug bei medizinischen Warnmeldungen/Versicherungen

Betrüger bieten kostenlose medizinische Warnsysteme an oder geben sich als Krankenversicherungsvertreter aus, um persönliche und finanzielle Informationen von Opfern zu erpressen, insbesondere im Visier von Senioren.

Großelternbetrug

Der Anrufer gibt vor, ein Enkelkind in Not zu sein, das sofortige finanzielle Hilfe benötigt, und bittet die Großeltern, anderen Familienmitgliedern nichts davon zu erzählen.

Betrug bei Versorgungsunternehmen

Betrüger geben sich als Vertreter eines Versorgungsunternehmens aus und behaupten, der Dienst des Opfers werde unterbrochen, sofern keine sofortige Zahlung erfolgt.

Betrug mit staatlichen Zuschüssen

Den Opfern wird mitgeteilt, dass sie für den Erhalt eines staatlichen Zuschusses ausgewählt wurden und eine Bearbeitungsgebühr zahlen oder Bankkontodaten angeben müssen, um die Mittel zu erhalten.

Inkassobetrug

Anrufer geben sich als Schuldeneintreiber aus und drohen mit rechtlichen Schritten, es sei denn, das Opfer begleicht eine Schuld, die es eigentlich nicht schuldet. Es ist wichtig, skeptisch zu bleiben, da legitime Kreditgeber und Investoren nicht auf diese Weise vorgehen oder unerwartete Kontakte eingehen.

Erkennen von Vishing-Angriffen

So erkennen Sie Vishing-Angriffe

Das Erkennen von Vishing kann entscheidend sein, um sich davor zu schützen, Opfer solcher betrügerischen Praktiken zu werden. Ein wichtiger Aspekt, auf den Sie achten sollten, ist der Ton während des Anrufs. Die Audioqualität des Anrufs ist möglicherweise schlecht und es treten Hintergrundgeräusche auf, die nicht zu einer professionellen Umgebung passen.

Darüber hinaus weisen Vishing-Angriffe häufig verräterische Anzeichen auf:

  • Dringlichkeit : Der Anrufer besteht auf sofortigem Handeln und setzt das Opfer unter Druck, Informationen schnell weiterzugeben.

  • Anfrage nach vertraulichen Informationen : Seriöse Organisationen fragen selten am Telefon nach personenbezogenen Daten.

  • Unbekannter Anrufer : Der Empfang von Anrufen von unbekannten oder unerwarteten Nummern kann ein Warnsignal sein.

So verhindern Sie Vishing

Der Schutz vor Vishing erfordert einen vielschichtigen Ansatz. Um sich davor zu schützen, Opfer zu werden, beachten Sie unbedingt die folgenden Vorsichtsmaßnahmen:

Schützen Sie vertrauliche Informationen

Verzichten Sie darauf, vertrauliche Informationen am Telefon zu bestätigen oder preiszugeben. Denken Sie daran, dass authentische Banken oder Regierungsbehörden niemals persönliche Daten durch einen Anruf erfragen werden.

Seien Sie aufmerksam

Überprüfen Sie die Sprache und das Verhalten des Anrufers. Seien Sie wachsam und geben Sie keine persönlichen Daten preis. Seien Sie vorsichtig bei Drohungen oder dringenden Forderungen, die während des Anrufs geäußert werden.

Überprüfen Sie Ihre Anrufe

Wenn eine unbekannte Nummer anruft, ist es sicherer, die Nachricht an die Voicemail weiterzuleiten. Anrufer-IDs können manipuliert werden. Überprüfen Sie daher die Identität des Anrufers, indem Sie die Nachricht abhören, bevor Sie entscheiden, ob Sie zurückrufen möchten.

Beschränken Sie die Weitergabe von Informationen

Wenn Sie antworten, geben Sie bitte keine Angaben zu Ihrer Person, Ihrem Arbeitsplatz oder Ihrem Standort preis.

Erkundigen Sie sich und überprüfen Sie

Wenn der Anrufer ein Produkt vermarktet oder Prämien anbietet, verlangen Sie einen Nachweis seiner Identität und Zugehörigkeit. Bestätigen Sie die bereitgestellten Informationen, bevor Sie Ihre Daten weitergeben. Beenden Sie den Anruf, wenn sie zögern, dem nachzukommen.

Registrieren Sie sich bei der Do Not Call Registry

Durch die Eintragung Ihrer Nummer in das „Do Not Call“-Register werden Telemarketer davon abgehalten, Anrufe von verdächtigen Unternehmen zu tätigen, da legitime Unternehmen diese Liste normalerweise respektieren.

Beachten Sie behördliche Anfragen

Beachten Sie, dass legitime Vorgesetzte oder Personalvertreter keine Geldüberweisungen, sensiblen Daten oder die Einreichung von Dokumenten über persönliche Kanäle verlangen.

Ignorieren Sie verdächtige Mitteilungen

Antworten Sie nicht auf E-Mails oder Social-Media-Nachrichten, in denen Sie nach Ihrer Telefonnummer gefragt werden. Solche Kommunikationen können der Vorläufer gezielter Angriffe sein. Melden Sie verdächtige Nachrichten Ihrem IT- oder Support-Team.

Bilde dich

Suchen Sie proaktiv nach Informationen, nehmen Sie an Sensibilisierungsprogrammen teil und nutzen Sie Online-Ressourcen, um sich mit den neuesten Vishing-Bedrohungen und Schutzmaßnahmen vertraut zu machen.

Unternehmen, die SMS-Marketing einsetzen, können dazu beitragen, Verbraucher über Vishing aufzuklären, indem sie Informationen zum Erkennen und Reagieren auf potenzielle Betrügereien bereitstellen und die Unterschiede zwischen legitimer Kommunikation und betrügerischen Taktiken hervorheben.

Welche Schritte sollten Sie unternehmen, wenn dies gewünscht wird?

Wenn Sie feststellen, dass Sie unabsichtlich Ihre Bankdaten an einen mutmaßlichen Betrüger weitergegeben haben, ist sofortiges Handeln unerlässlich.

Wenden Sie sich an Ihre Bank, Ihr Kreditkartenunternehmen, Ihr Finanzinstitut oder den zuständigen Medicare-Kontakt. Erkundigen Sie sich nach der Möglichkeit, verdächtige Transaktionen zu stoppen und weitere unbefugte Belastungen zu verhindern. Um die Sicherheit zu erhöhen und sich vor unbefugtem Zugriff zu schützen, sollten Sie Ihre Kontonummern ändern.

Reichen Sie anschließend eine Beschwerde bei der Federal Trade Commission oder dem Internet Crime Complaint Center des FBI ein, um entsprechende Maßnahmen zu ergreifen.

Abschluss

Vishing ist zwar trügerisch und potenziell schädlich, kann jedoch durch Wachsamkeit, Aufklärung und den umsichtigen Einsatz von Technologie wirksam eingedämmt werden. Indem sie informiert bleiben und Vorsicht walten lassen, können Einzelpersonen und Organisationen die Versuche von Besuchern vereiteln und so die Sicherheit sensibler Informationen gewährleisten.