Phishing kehrt zum Ursprung zurück

Wie Betrüger Sprachanrufe für Phishing verwenden.

Bei all den betrügerischen Anrufen – angebliche Support-Mitarbeiter, die Zugriff auf Ihren Computer haben möchten, vermeintliche besorgte Finanzbeamte, die Zahlungen anfordern, Lieferanten von Medizinprodukten, die „zurückrufen“ usw. – ist es ein wahres Wunder, dass Menschen überhaupt nach ans Telefon gehen, bzw. auf die Anrufannahmetaste klicken oder tippen. Es ist keine leichte Aufgabe, jemanden zu finden, der nicht bereits eine Erfahrung mit einem Telefonbetrug gemacht hat. Trotzdem ist der Name dieser Fake-Anrufe recht unbekannt: Diese Betrugsmasche wird Vishing genannt.

Was ist Vishing?

Vishing ist Phishing per Telefon. Die Bezeichnung ist ein Kofferwort aus den Wörtern „Voice Phishing“. Durch den massiven Wechsel zum Remote-Arbeitsmodell, ist das Telefon zum Lieblings-Tool von Betrügern geworden. Das geht inzwischen so weit, dass Strafverfolgungsbehörden regelmäßig offizielle Bekanntmachungen zu dieser Gefahr veröffentlichen.

Laut den Daten von 2019 der US-amerikanischen Handelskommission FTC, führten nur 6 % der Betrugsanrufe zu finanziellen Verlusten. Bei erfolgreichem Vishing war die Beute mit durchschnittlich 960 $ allerdings recht groß.

Jeder kann einem Fake-Anruf zu Opfer fallen, sogar Experten, die glauben bereits alles gesehen zu haben. Es gibt gerissene Betrüger, die sogar das Vertrauen der wachsamsten Personen gewinnen können.

Erstens ist Vishing konservativer als herkömmliches Phishing, da Telefonate eine ältere Kommunikationsform sind. Und zweitens haben massive Datenlecks in der heutigen, digitalen Ära den Telefonbetrügern neue Stärken verliehen: Telefonbetrüger verfügten noch nie über so viele Informationen zu quasi allen Menschen auf dem Planeten. Die starke Zunahme des Telefonierens übers Internet, das als Internettelefonie oder Voice-over-IP (VoIP) bekannt ist, ist ein weiterer Pluspunkt für Cyberverbrecher, da mit diesem System die Telefonnummern manipuliert und die Spuren verwischt werden können.

Arten von Betrugsmaschen

Das Vorgehen der Täter am Telefon ist außerordentlich facettenreich, aber allgemein können die Betrugsmaschen in einige Hauptkategorien eingeteilt werden.

Telemarketing

Telemarketing-Betrug umfasst in der Regel Angebote, die zu gut sind, um wahr zu sein und Taktiken, um das Opfer unter Zeitdruck zu setzen. Zu den gängigen Beispielen zählen angebliche Lottogewinne (sogar ohne Lottoschein), reduzierter Zinssatz für Kredite und andere attraktive Angebote, die schwer zu widerstehen sind. Bei allen diesen Methoden ist es meistens erforderlich sofort eine Entscheidung zu treffen und einen kleinen Betrag zu bezahlen.

Hat man genug Zeit über das Angebot nachzudenken, wird einem direkt auffallen, dass es sich um ein betrügerisches Angebot handelt. Wann man zahlt, geht das Geld direkt beim Betrüger ein, buchstäblich als Belohnung für deren Verbrechen und steigert außerdem den Wert der geleakten Datenbanken mit Telefonnummern von Abertausend Menschen, die auch noch angerufen und betrogen werden können.

Behörden

Eine der Betrugsmaschen, die am häufigsten gemeldet wird, hat mit der Zahlung von angeblich ausstehenden Steuern zu tun. Das Opfer erhält einen Anruf vom „Finanzamt“ und es werden ihm zwei Optionen angeboten: Entweder sofort zahlen oder es drohen Bußgelder und Verzugszinsen. Die Zahlungsfrist ist schon fast überschritten und nach Ablauf der Frist fällt das Bußgeld noch höher aus.

Auch hier funktioniert der Zeitdruck gut. Hätte man Zeit, kurz darüber nachzudenken, wie das Finanzamt normalerweise mit Steuerzahlern kommuniziert und wie lange die Fristen in der Regel sind, würde der Durchschnittsbürger höchstwahrscheinlich von selbst darauf kommen, dass es sich hier um Telefonbetrug handelt. Doch in Anbetracht der tickenden Uhr und der (angeblichen) Drohung eines Amts, das für seine Strenge begannt ist, haben es die Betrüger etwas einfacher, ihre Opfer an der Nase herumzuführen.

Technischer Support

Für nicht angeforderte technische Support-Anrufe wählen Betrüger große, namhafte Firmen aus, um mehr Chancen darauf zu haben, einen Benutzer zu erreichen, der ein Produkt von diesem Unternehmen besitzt. Häufig wird die Ausrede verwendet, dass das Unternehmen ein Problem mit dem Computer des Opfers entdeckt hat, um höflich nach den Zugangsdaten oder Erlaubnis für Remote-Zugriff auf das entsprechende Gerät zu bitten.

Es gibt aber auch ausgefeiltere Methoden, die etwas mehr Vorbereitung umfassen: Erst wird der Computer des Opfers mit Malware infiziert, damit ein Pop-Fenster auf dem Bildschirm erscheint, das über ein angebliches Problem informiert und die Telefonnummer des technischen Kundendienstes angibt, der das Problem beheben kann.

Banken

Bei allen Betrugsmaschen geht es darum Geld zu stehlen, also geben sich Betrüger auch gerne als Bankmitarbeiter aus. Meistens wird unter dem Vorwand angerufen, dass verdächtige Tätigkeiten auf dem Konto des Kunden festgestellt wurden. Diese Ausrede dient dazu den Kunden nach sensiblen Daten, wie Kartenprüfnummern (CVC- oder CVV-Codes) oder nach einem Einwegcode aus einer Textnachricht zu fragen. Mit diesen Daten ausgerüstet kann der falsche Mitarbeiter dann das Bankkonto des Opfers tatsächlich plündern.

Woran Betrugsanrufe erkannt werden können

Wir können natürlich nicht ausschließen, dass die Betrüger, die immer auf der Suche nach überzeugenderen Tricks sind, eines Tages aus der langjährigen Historie des Betrugs lernen, aber bis jetzt enthalten die meisten Betrugsversuche wenigstens eine der unterschiedlichen Warnsignale.

  • Wenn ein Anruf, der angeblich von einer Behörde oder einer Bank stammt, mit einem Handy getätigt wird, handelt es sich höchstwahrscheinlich um Vishing. Noch suspekter ist es, wenn die Nummer auch noch aus einer anderen Gegend oder gar aus einem anderen Land stammt. Beachten Sie allerdings, dass selbst offiziell aussehende Telefonnummern kein Garant für die Authentizität des Anrufes sind, weil heutzutage moderne Technologien Call-ID-Spoofing ermöglichen, eine verbotene Methode, Anrufe von einer vorgetäuschten Nummer aus vorzunehmen.
  • Wenn der Anrufer vertrauliche Informationen herausbekommen möchte und das versucht mit Drohungen zu erreichen, ist das auch ein Anzeichen von Vishing. Allgemein ist jeglicher Versuch, an private Informationen heranzukommen, ein Warnhinweis für Betrug: Es ist davon auszugehen, dass ein Mitarbeiter einer Bank oder eines Finanzamtes bereits über die erforderlichen Informationen verfügt. Schließlich geht es hier um Kommunikation und nicht Sie haben das Gespräch begonnen, sondern der Anrufer.
  • Wenn jemand Sie dazu drängt Zahlungen zu tätigen und außerdem eine Frist angibt, ist es definitiv ein Betrugsversuch.
  • Sollte ein Anrufer Sie dazu überreden, eine bestimmte Software auf Ihrem Computer zu installieren, um ein Problem zu lösen, dessen Sie sich gar nicht bewusst waren, kann das nicht gut ausgehen.

Ein weiteres, indirektes aber trotzdem zuverlässiges Anzeichen von Vishing ist, wenn der Anrufer verwirrt wirkt, sich verspricht, aggressiv redet oder umgangssprachliche Ausdrücke verwendet. An Umgangssprache ist zwar nichts auszusetzen, aber echte Telefonisten sind darin geschult, in der entsprechenden Fachsprache zu reden.

So schützen Sie sich vor Betrugsanrufen

Wenn Sie auch nur einen der oben genannten Anzeichen entdecken, legen Sie am besten direkt auf. Rufen Sie danach direkt das Unternehmen oder die Behörde an, die Sie angeblich gerade kontaktiert hat, um den Vorfall zu melden: Je mehr Informationen zur Betrugsmasche zur Verfügung stehen, umso wahrscheinlicher ist es, dass der Betrüger erwischt wird oder wenigstens der Betrug weitgehend verhindert werden kann. Suchen Sie nach der Rufnummer des Kundenservices oder des technischen Supports direkt auf der offiziellen Website des Unternehmens oder der Organisation.

Unterlassen Sie es unter allen Umständen, Programme für Remote-Zugriff auf Ihrem Computer zu installieren, egal wie überzeugend der Anrufer klingen mag. Verwenden Sie außerdem eine zuverlässige Sicherheitslösung, die gefährliche Anwendungen rechtzeitig erkennt und Sie davor warnt.

Tipps