A smartphone with a question mark on the screen and a speech bubble with a frowning hooded figure next to it.

Vishing-Angriffe sind auf dem Vormarsch in Deutschland. Doch was ist Vishing überhaupt?

Das Kunstwort des Vishings setzt sich aus den Begriffen Voice (Sprache) und Fishing (Fischen) zusammen. Es handelt sich dabei um eine Art des Telefonbetrugs, bei dem die Kriminellen nach sensiblen Daten ihrer Opfer fischen.

Vishing-Betrug ist oft äußerst perfide und oft erkennen die Opfer die Betrugsmasche erst, wenn es bereits zu spät ist.

Doch keine Angst, es gibt Möglichkeiten, wie du dich vor einem Vishing-Angriff schützen kannst – in diesem Beitrag zeigen wir dir wie.

Inhaltsverzeichnis

    Was ist Vishing?

    Vishing, auch als Voice-Phishing bezeichnet, ist eine Unterart von Phishing-Betrug. Aber was versteht man unter Vishing genau? 

    Beim Phishing geht es darum, den Opfern sensible Daten wie Kreditkarteninformationen oder Passwörter zu entlocken. Dies kann über verschiedene Kanäle wie E-Mail, Pop-ups oder gefälschte Webseiten stattfinden. Nehmen die Kriminellen ihre Angriffe über Telefonanrufe vor, spricht man von Vishing.

    Wie auch andere Arten von Social Engineering Angriffen fällt Vishing damit in die Kategorie der Cyber-Kriminallität und des Telefonbetrugs.

    Welche Erfolgsrate haben Vishing-Angriffe?

    Verlässliche Zahlen zum Thema Betrug übers Telefon sind rar. Die jährliche Zunahme an weltweiten Phishing-Angriffen von 10 bis 40 Prozent sprechen aber dafür, dass die Betrugsmasche (leider) funktioniert. Experten gehen von einer Erfolgsrate von 25 bis 50 Prozent aus. 

    Wie funktioniert Vishing?

    Wir möchten selbstverständlich keine Bedienungsanleitung für Betrug geben. Um sich effektiv vor Voice Phishing zu schützen, musst du jedoch verstehen, wie die Betrüger vorgehen.

    1. Opfer finden: Als Erstes müssen die Betrüger ihre Opfer finden. Dies geschieht beispielsweise durch den illegalen Kauf von Datenbanken mit Telefonnummern oder einer automatischen Abfrage von zufälligen Nummernkombinationen. Doch auch gezieltere Angriffe sind möglich. Hier suchen Kriminelle beispielsweise nach Mitarbeitenden eines Unternehmens oder versuchen Menschen im hohen Alter zu erreichen. 
    2. Anrufer verschleiern: Mit VoIP (Voice over Internet Protocol) ist es für Kriminelle heutzutage möglich, dem Empfänger des Anrufs eine andere Voice IP vorzugaukeln. Auf dem Display des Telefons erscheint dann nicht die echte Telefonnummer des Angreifenden, sondern beispielsweise eine lokale Nummer oder der Name einer vertrauenswürdigen Organisation. So können dir die Täter glaubwürdig falsche Identitäten vorgeben.
    3. Betrug aufbauen: Hat das Opfer den Telefonanruf entgegengenommen, bauen die Angreifer eine falsche Geschichte auf. Sie geben beispielsweise vor, für eine Regierungsbehörde, eine Bank oder eine Software-Firma zu arbeiten. Aufgrund Ihrer Erfahrung wissen die Angreifer genau, was funktioniert und was nicht. Die Visher gehen dabei so professionell vor, dass viele Personen die Geschichte keine Sekunde anzweifeln.
    4. Informationen fischen: Sobald das Opfer genügend manipuliert wurde, fordern die Betrüger dieses auf, persönliche Daten rauszurücken. In vielen Fällen setzen sie dem Anruf eine gewisse Dringlichkeit vor, sodass das Opfer die Aufforderung zur Preisgabe der Daten nicht nochmals überdenken kann. 
    5. Weitere Versuche: Wurdest du schon mal Opfer von einem Vishing- oder Phishing-Angriff? Dann ist besondere Vorsicht geboten. Manche Betrüger führen Listen von erfolgreichen Betrügen und versuchen Ihr Glück bei ihren bisherigen Opfern mit weiteren Maschen. Das Risiko, nochmals Opfer eines Vishing-Angriffs zu werden, ist hoch, weshalb besondere Vorsicht gefragt ist. 

    Spezialfall KI: Mit der rasanten Entwicklung rund um Künstliche Intelligenz wird Vishing-Betrug noch gefährlicher. Mittlerweile kann man Stimmen täuschend echt nachahmen und in Echtzeit Gespräche übersetzen. Immer mehr Angreifer nutzen daher KI in ihren Telefonanrufen, um die Opfer noch effektiver hinters Licht zu führen. 

    Arten von Vishing

    Es gibt nicht den einen Vishing-Anruf, sondern ganz viele verschiedene Vishing-Beispiele. Je nach Betrüger, Ziel und Opfer unterscheiden sich die Angriffe voneinander. Besonders verbreitete Vishing-Angriffe umfassen Robocalls, Deepfakes und Anrufe vom Tech-Support.

    Robocalls

    Robocalls sind automatisierte Anrufe, die über eine Software vorgenommene, vorab aufgezeichnete Nachrichten an Millionen von Menschen täglich senden. Wenn du den Hörer abnimmst und statt einer echten Person eine aufgezeichnete Nachricht hörst, hast du es mit einem Robocall zu tun.

    Es gibt legitime Anwendungszwecke für Robocalls. Oftmals dienen sie jedoch dem Verkauf von Produkten oder sind eine Vorbereitung für einen Vishing-Angriff.

    Weltweit werden monatlich Milliarden solcher Anrufe getätigt. In vielen Ländern gibt es jedoch spezifische Gesetze zu Robocalls. In Deutschland beispielsweise sind bestimmte Robocalls erlaubt, wenn sie im Einklang mit der DSGVO stattfinden. Verkaufsanrufe via Robocall sind nur legal, wenn du zuvor ausdrücklich zugestimmt hast. Betrügerische Robocalls sind überall illegal.

    Deepfakes

    Immer mehr Vishing-Betrüger nutzen Deepfakes, um Ihre Opfer zu täuschen. Bei Deepfakes handelt es sich um gefälschte Videos, Bilder oder eben Stimmen, die kaum von der Realität unterscheiden sind. Möglich sind Deepfakes aufgrund von Künstlicher Intelligenz, die immer besser darin wird, täuschend echte Daten zu generieren.  

    Das Gefährliche daran ist, dass die Betrüger die Stimmen von bekannten Persönlichkeiten oder sogar von Menschen aus deinem Umfeld kopieren können, um dich hinters Licht zu führen. So geben sie dir per Telefon eine andere Identität vor, die du nicht mal anhand der Stimme entlarven kannst. 

    Vishing-Angriffe, bei denen Betrüger mittels Deepfake-Technologie arbeiten, werden immer ausgefeilter. Sie nutzen diese Technik, um dich zu überzeugen, dass du mit einer vertrauten Person sprichst. Sei besonders vorsichtig, wenn du aufgefordert wirst, dringende Zahlungen zu leisten oder Passwörter zu teilen. Offizielle Institutionen werden dich niemals auf diese Weise kontaktieren. Überprüfe immer die Identität des Anrufers durch Rückruf über eine offiziell bekannte Telefonnummer, nicht die, die dir im Anruf gegeben wurde.

    Anrufe vom Tech-Support 

    Der wohl verbreitetste Vishing-Angriff ist der gefälschte Anruf vom Tech-Support-Unternehmen. Entweder poppt ein Fenster auf deinem Computer auf, mit der Anweisung anzurufen oder du bekommst einen Anruf aus heiterem Himmel.

    Die Betrüger geben sich als Angestellte eines Tech-Support-Dienstleisters oder einem bekannten Softwareunternehmen wie Microsoft oder Apple aus. Sie tricksen dich dazu, dem Anrufer Zugang zu deinem Computer zu geben. Dort installieren sie anschließend Malware, sperren deinen Computer oder nehmen Überweisungen vor.

    Anschließend fordern sie z.B. Lösegeld, um den Zugang zu deinem Computer wieder freizugeben, fordern dich dazu auf, Bankdaten anzugeben oder verlangen Geschenkkarten. 

    Hier ist höchste Vorsicht geboten. Sobald du aufgefordert wirst, Software zu installieren oder persönliche Daten preiszugeben, schrillen die Alarmglocken. Rufe nie die Nummer an, die in solchen Pop-up-Fenstern angezeigt wird. Stattdessen solltest du direkt den offiziellen Kundenservice kontaktieren. 

    Kein seriöses Unternehmen wird dich jemals um Fernzugriff auf deinen Computer bitten oder unangekündigt anrufen, um Probleme zu lösen. 

    Vishing-Beispiele: Wie erkennt man einen Vishing-Anruf?

    Einen Vishing-Angriff zu erkennen, ist nicht immer einfach – besonders in den Zeiten von künstlicher Intelligenz. Allerdings gibt es einige Anzeichen, anhand derer man Visher erkennen kann. 

    Folgend drei Vishing-Beispiele, die so oder in ähnlicher Form stattfinden könnten: 

    Beispiel 1: Anruf von der Bank

    Betrüger: “Guten Tag, mein Name ist Bert Trüger, Sachbearbeiter bei der Deutschen Bank. Ich rufe sie an, da ihr Konto gesperrt ist.”

    Du: “Was machen wir jetzt?”

    Betrüger: “Keine Sorge, es scheint sich nur um eine Kleinigkeit zu handeln. Ich werde mich in Ihr Online-Banking einloggen und die Sperre aufheben. Geben Sie mir Ihre Zugangsdaten an und bestätigen Sie mir den Authentifizierungscode, den Sie per SMS ehralten werden.”

    Beispiel 2: Ungeduldige Behörden

    Betrüger: “Guten Tag, mein Name ist G. Auner, ich rufe vom Finanzamt an. Wir haben gesehen, dass Sie noch Steuerschulden aus dem Jahr 2018 in der Höhe von 400 Euro offen haben.” 

    Du: “Das kann nicht sein”

    Betrüger: “Ich habe es schwarz auf weiß vor mir. Wenn Sie die Rechnung nicht in den nächsten zwei Stunden begleichen, sehen wir uns gezwungen, die Polizei zu alarmieren und Sie festzunehmen. 

    Du: “Wie soll ich dann bitte innerhalb von 2 Stunden Geld senden? Eine 

    Überweisung dauert mindestens einen Arbeitstag.”

    Betrüger: “Da gibt es nur eine Möglichkeit. Sie fahren sofort zum nächsten Supermarkt, kaufen dort Geschenkkarten und geben mir den Code per Telefon durch. Fahren Sie jetzt dorthin und legen Sie nicht auf, sonst rufe ich die Polizei.“

    Beispiel 3: Gewinnspiel

    Betrüger: “Guten Tag, hier spricht Gustav Angster von der Lotteriegesellschaft. Ich freue mich, Ihnen mitzuteilen, dass Sie 1,000 Euro gewonnen haben! Wir werden das Geld direkt auf Ihre Karte überweisen. Bitte geben Sie Ihre Kartennummer an und bestätigen Sie mir den Code, den Sie per SMS erhalten, damit wir die Zahlung gleich durchführen können. Wenn Sie die Kartendaten nicht innerhalb von zwei Minuten angeben, wird ein anderer Gewinner ausgelost.”

    Wie kann man sich vor Vhishing-Betrug schützen?

    Es gibt verschiedene Methoden, wie du dich vor einem Vishing-Angriff schützen kannst. Folgend die drei wichtigsten: 

    Gib keine vertrauliche Daten per Telefon durch

    Wie du siehst, ist es manchmal schwierig, einen Vishing-Anruf von einem ehrlichen Telefonat zu unterscheiden. Daher solltest du auf Nummer sicher gehen und keine persönlichen Daten per Telefon bekannt geben. Zu den besonders sensiblen persönlichen Daten gehören Name, Adresse, Kreditkarteninformationen, Gesundheitsdaten, Passnummer und weitere persönliche Identifikationsmerkmale.

    Bei Verdacht Telefonat ignorieren oder beenden

    Es empfiehlt sich, keinen Anruf entgegenzunehmen, wenn du die Telefonnummer nicht kennst. Auch wenn du während des Telefonats Verdacht schöpfst, solltest du auflegen. Lass dem Angreifer deine Unsicherheit nicht anmerken, versuch nicht, mit ihm zu diskutieren und gib keine persönlichen Daten an, sondern beende das Gespräch sofort.

    Falls es der Betrüger erneut versucht und dich wieder anruft oder dich mit E-Mails unter Druck setzt, ignroier dieses. Wenn du denkst, dass es sich um eine echte Behörde oder Unternehmen handelt, ruf bei der offiziellen Telefonnummer an, kontaktiere sie auf dem postalischen Weg oder geh persönlich vorbei.

    Eine Alternative ID verwenden

    Eine effektive Methode, um deine persönlichen Informationen zu schützen, ist die Verwendung einer Alt ID. Dies ist besonders nützlich, um deine echten Kontaktdaten auf Webseiten zu schützen, die du nicht gut kennst. Eine solche Lösung bietet beispielsweise Surfshark mit ihrer Alternative ID an, die du hier finden kannst: Alternative ID von Surfshark. Diese Methode hilft dir, deine echte Identität im Netz zu verschleiern und sicherer zu surfen. 

    Vishing vs. Phishing: Was ist gefährlicher?

    Phishing und Vishing sind beides Begriffe, die oft im Zusammenhang mit Cyberkriminalität fallen. Was gefährlicher ist, Vishing oder Phishing kann man kaum beurteilen, insbesondere da Vishing eine Art von Phishing ist. 

    Das Phishing beschreibt eine Art des Betruges, bei dem die Angreifer über digitale Mittel wie E-Mails, Textnachrichten oder gefälschte Webseiten nach persönlichen Daten fischen. Der Begriff des Vishings beschreibt dabei eine Unterart des Phishings, bei dem der Betrug am Telefon per Sprachanruf stattfindet. 

    Vishing und Smishing: Was ist der Unterschied?

    Ebenfalls eine Unterart von Phishing und ein Risiko, das von deinem Handy ausgeht, ist das sogenannte Smishing. Hier findet das Smishing nicht per E-Mail oder Anruf, sondern per SMS statt. Auch hier haben die Angreifer deine Telefonnummer entweder aus einer Datenbank oder sie haben diese zufällig generiert.  

    Die Bezeichnung „Smishing“ setzt sich aus „SMS“ und „Phishing“ zusammen. Durch die Zunahme von privaten Geräten im Berufsalltag und Homeoffice wird es für Cyberkriminelle einfacher, über Mobiltelefone Zugang zu Firmennetzwerken zu erhalten. Im Vergleich zu anderen Phishing-Angriffen wählen Betrüger oft SMS, da Links in Textnachrichten häufiger angeklickt werden.

    Sicherheit im Netz mit Surfshark
    Schütz deine persönlichen Daten vor Vishern und anderen Betrügern
    Surfshark

    FAQs

    Gehört Vishing zur Cyber-Kriminalität?

    Ja, das Vortäuschen einer falschen Identität und der Diebstahl persönlicher Daten mit digitalen Mitteln ist eine Art von Cyber-Kriminalität. Die rechtlichen Konsequenzen eines Vishing-Angriffs können für den Angreifer von einer Buße bis hin zur Freiheitsstrafe reichen. 

    Ist Vishing illegal?

    Ja, wie alle Phishing-Angriffe ist Vishing illegal. Es gibt zwar (noch) keinen eigenen Strafbestand für Vishing, es deckt jedoch gleich mehrere Straftaten ab.

    Was sind die Ziele von Vishing?

    Das Ziel von Vishing ist es, an sensible Informationen wie persönliche Daten, Kreditkartennummern etc. zu gelangen. Die Angreifer verschleiern ihre wahren Ziele dabei aber gekonnt.