Vishing – Schreibfehler oder Trickbetrug?

Was ist Vishing…

Vishing setzt sich aus den Begriffen «Phishing» und «VoIP-Telefonie» zusammen und beschreibt Phishing per Telefonanruf. Dabei kann Vishing durchaus eine Erweiterung von Phishing-Angriffen darstellen. Bei Phishing werden gefährliche Links über Textnachrichten und E-Mails versandt bzw. auf Webseiten angezeigt. Das Ziele sind es Anwender auf Webseiten zu locken, die mit Malware verseucht sind oder an Zugangsdaten zu kommen (Identitätsdiebstahl). Auch Vishing-Attacken können so starten: Sie besuchen eine Social-Media Webseite bzw. erhalten eine maßgeschneiderte Onlinewerbung mit einem ansprechenden Link. Folgen Sie diesem Link, wird auf der Zielseite beispielsweise ein Bluescreen mit dem Hinweis angezeigt, eine gebührenfreie Rufnummer zu kontaktieren, die Ihnen hilft den Fehler zu beheben. Der Angerufene gibt sich meist als Experte oder Techniker aus und ist gerne bereit, Sie bei der Problemlösung zu unterstützen, allerdings gegen entsprechende Bezahlung bzw. nach dem kostenpflichtigen Download einer Software. Spätestens hier sollten Sie stutzig werden! Am Ende funktioniert Ihr PC wieder! In der Realität existierte das Problem aber zu keinem Zeitpunkt; der Bluescreen war nur eine blaue Webseite. Automatisierte Anrufe mit dem Ziel, dem potentiellen Opfer Zugangsdaten oder Kreditkartennummern zu entlocken, können ebenfalls eine Art von Vishing sein.

Potentielle Opfer sehen die Gefahr bei Telefonanrufen zunächst als nicht so groß an. Verglichen mit Phishing, sind die möglichen Folgen jedoch identisch. Gestohlene Identitäten und Zugangsdaten, führen immer zu den gleichen Resultaten. Laut BBC, beliefen sich die im Jahr 2015 durch Kreditkartenbetrug generierten Umsätze auf 16 Milliarden US-Dollar. Der Anteil durch Vishing wird dabei auf 1 Milliarde US-Dollar geschätzt. Angriffe per Vishing sind wahrscheinlich älter als Phishing-Attacken. Bereits 2006 wurden in Deutschland die ersten Vishing-Angriffe auf Kunden von Banken und Sparkassen registriert. Der deutlich höhere Aufwand bei gleichen Ergebnissen, ist vermutlich der Grund warum Hacker Phishing bei Cyberangriffen bevorzugen.

Das Video zeigt, wie durch Vishing innerhalb weniger Minuten die Zugangsdaten eines Kunden bei seinem Telekommunikationsanbieter «gehackt» werden.

…und was Smishing?

Der Begriff «Smishing» (Kombination aus SMS & Phishing auch SMSishing geschrieben) bezeichnet die Verbreitung von irreführenden Informationen per automatisierten bzw. gezielten SMS-Nachrichten. Dieser Angriffsvektor ist besonders bei Bank- und Kreditkartengeschäften populär, da viele Kunden bei Online-Überweisungen die TAN per SMS übermittelt bekommen. Dementsprechend harmlos wirkt eine SMS der Hausbank, die Sie über merkwürdige Konto-Aktivitäten informiert. In der SMS werden Ihnen Handlungsaufforderungen zur Lösung des Problems gleich mitgeliefert. Die aufgeführte Telefonnummer ist natürlich nicht von Ihrer Hausbank. Trotzdem wird Sie der freundliche Mitarbeiter bitten, sich doch zu legitimieren. Und damit sind die Zugangsdaten zum Online-Banking bekannt und Sie können nur hoffen, dass Sie mögliche Abbuchungen schnell bemerken. Auch beim Smishing wird die Gefahr zunächst nur als eher niedrig eingestuft.

Erfolgreich schützen

Fazit: Gezielte Informationen über mögliche Angriffsvektoren und eine gesunde Skepsis gegen ungewöhnliche Nachrichten von Unternehmen die Sie kennen, sind immer der beste Rat. Lassen Sie sich auch nicht von grundlegenden Wissen über Ihre persönlichen Verhältnisse blenden. Die können aus Social-Media Profilen stammen. Seriöse Dienstleister werden niemals Zugangsdaten oder PINs von Ihnen abfragen. Werden Sie über ungewöhnliche Aktivitäten auf Ihren Online-Konten informiert, empfiehlt es sich in Ruhe die notwendigen Überprüfungen durchzuführen. Anstatt in einem Telefonat oder in einer SMS hektisch Zugangsdaten oder TAN-Nummern preiszugeben, sollten Sie den üblichen Anmeldeweg wählen, um sich bei dem Online-Konto anzumelden. Dort finden Sie ebenfalls Benachrichtigungen über ungewöhnliche Vorgänge. Kontaktieren Sie das Unternehmen, wenn Sie vermuten, dass in deren Namen ein Betrug versucht wurde. Oder/und gleich die Polizei!

Weitere Hinweise und Gegenmaßnahmen zu Vishing und Smishing finden Sie beispielsweise auch bei Europol und dem LKA Niedersachsen.