Du schaust auf dein Handy und siehst, dass dich jemand mit einer Ortsvorwahl aus deiner Region anruft. Du nimmst das Gespräch an und hörst, wie eine automatische Stimme dir sagt, dass dein Bankkonto kompromittiert worden sei. Als nächstes nennt sie dir eine Rufnummer, die du jetzt sofort anrufen sollst. In Panik rufst du die Nummer an und wirst dort von einer weiteren Text-zu-Sprache-Stimme aufgefordert, auf dem Tastenfeld deine Bankverbindung einzugeben. Leider wurdest du damit gerade Opfer eines Vishing-Angriffs, einer Form von Social Engineering-Betrug, die mittlerweile weit verbreitet ist. Wenn du diesen Leitfaden befolgst, wirst du dieser Masche in Zukunft jedoch nicht mehr zum Opfer fallen.
Inhalt
Was ist Vishing?
Vishing ist eine Art phishing – das ist ein Oberbegriff für eine Betrugsmasche, die speziell dazu entwickelt wurde, die potenziellen Opfer zu einer Panikreaktion zu bewegen. Der Zweck dieses Betrugs besteht darin, schamlos diese Panik auszunutzen, um das Opfer zu voreiligen Entscheidungen hinzureißen. Ein gutes Beispiel dafür wäre etwa, wenn jemand einem unbekannten und nicht verifizierten Anrufer seine Bankdaten übermittelt.
Die ersten Phishing-Fälle ereigneten sich in Form von betrügerischen E-Mails. Inzwischen sind seit der Anfangszeit über 20 Jahre vergangen, in denen verschiedene Phishing-Formen populär geworden sind.
Was sind Smishing und Vishing?
Vishing und Smishing ähneln einander, da sich der Betrug in beiden Fällen auf das Telefon des jeweiligen Opfers beschränkt. Vishing, auch als Voice-Phishing bezeichnet, zielt darauf ab, dich mithilfe eines Telefongesprächs aufs Kreuz zu legen. Die meisten Vishing-Betrugsversuche finden über das Voice-over-Internet-Protokoll, kurz: VoIP statt – denn wenn ein Anruf über VoIP erfolgt, ist es für Betrüger einfacher, sich als legitimer Dienst oder als Vertreter eines tatsächlichen Unternehmens auszugeben. Gelegentlich befindet sich am anderen Ende der Leitung ein echter Mensch anstatt einer automatisierten Stimme. All das dient jedoch nur dazu, den Schein zu wahren, den der Betrüger bei dir erwecken möchte.
Bei den meisten Vishing-Anrufen geben sich die Betrüger als Mitarbeiter deiner Bank aus. Dir wird dann gesagt, dass dein Konto kompromittiert wurde oder dass es zu anderen verdächtigen Kontobewegungen gekommen sei. Manchmal heißt es auch, dass du gleich aus deinem Konto ausgesperrt würdest. Je bedrohlicher die Botschaft klingt, desto effektiver gelingt der Betrug. Wer mit den Betrugsmaschen der heutigen Zeit nicht hinreichend vertraut ist, wird von einer solchen Nachricht besonders leicht aus der Bahn geworfen.
Um dein Konto zu retten, sollst du dann bei einer bestimmten Telefonnummer anrufen. Sobald das Opfer diese Nummer angerufen hat, erhält es die Anweisung, seine personenbezogenen Daten oder die Anmeldeinformationen seines Bankkontos einzugeben. Wenn dies einmal geschehen ist, wird dem Opfer nicht nur all sein Geld gestohlen, sondern es sieht sich zudem einem fortgesetzten Identitätsdiebstahl ausgesetzt.
Hier findest du einige der Vorwände, mit denen Vishing-Betrüger versuchen werden, dich dazu zu bewegen, entsprechende Angaben zu machen:
Kapitalanlagemöglichkeiten, die zu gut klingen, um wahr zu sein;
Spenden an eine Wohltätigkeitsorganisation oder für einen aktuellen guten Zweck;
überfällige oder unbezahlte Steuern, die eine Behörde nun von dir verlangt;
Scheinwettbewerbe
SMS-Phishing, kurz: Smishing, funktioniert nahezu nach demselben Muster wie Vishing. Doch anstatt eines Telefonanrufs erhältst du eine SMS, in der dir dieselbe Botschaft überbracht wird – rufe diese Nummer an oder folge diesem Link, um dein gefährdetes Konto zu retten. Der größte Unterschied zwischen Smishing und Vishing besteht darin, dass dich der Link aus der SMS möglicherweise zu einer Website führt, die Malware auf dein Endgerät spielt.
Wie kann ich verhindern, dass ich noch einmal auf einen Vishing-Angriff hereinfalle?
Du darfst nie das Hauptziel dieser Betrugsmaschen aus dem Blick verlieren: Die Hintermänner wollen an deine personenbezogenen Daten oder die Anmeldeinformationen für dein Bankkonto gelangen. Wenn du also das nächste Mal einen Anruf erhältst, in dem du aufgefordert wirst, derartige Angaben zu machen, solltest du sofort skeptisch werden, ob es sich dabei wirklich um eine authentische Mitteilung des tatsächlichen Absenders handelt. Ebenso solltest du unbedingt Ruhe bewahren. Die Betrüger wollen, dass du in Panik verfällst. Atme tief durch und analysiere die Situation logisch, bevor zu voreilige Schlüsse ziehst.
Wenn dich jemand anruft und dich bei dieser Gelegenheit bittet, Daten über die Tastatur auf deinem Telefon einzugeben, solltest du das im Regelfall ignorieren. Es gibt verschiedene Wege, über die eine Bank dich kontaktieren kann, wenn sie dir mitteilen möchte, dass sich auf deinem Konto seltsame Vorgänge ereignen; sie würde dich jedoch nicht unter deiner privaten Telefonnummer anrufen und dich dann anweisen, eine andere Nummer zu wählen. Ebenso wenig würde sie dir eine SMS mit einem Link schicken, auf den du klicken sollst.
Wenn du dir Sorgen machst, dass dein Konto tatsächlich in Gefahr sein könnte, schlägst du am besten im Internet die tatsächliche Telefonnummer deiner Bank nach und vergleichst sie mit der Nummer, von der aus du gerade angerufen wirst. Kontaktiere die Betrugshilfe-Hotline oder den Kundendienst deiner Bank, finde heraus, ob dein Konto wirklich kompromittiert wurde, und stelle sicher, dass du dort die betrügerische Telefonnummer mitteilst, von der du angerufen wurdest.
Eine ordentliche Dosis gesunder Menschenverstand ist die beste Verteidigung gegen einen Vishing-Angriff. Vertraue niemandem, der dich von einer unbekannten Rufnummer anruft. Niemand würde es dir verübeln, wenn du derartige Anrufe grundsätzlich ignorieren würdest: Better safe than sorry! Bedenke stets diese goldene Regel: Gib deine personenbezogenen Daten niemals am Telefon weiter, wenn du dir nicht zu 100 % sicher bist, dass die Person am anderen Ende der Leitung wirklich die ist, die sie zu sein behauptet.