Phishing kennen bereits viele Nutzer. Da wird versucht mit Hilfe von Links auf gefälschten Websites an Nutzerdaten zu kommen. Kriminelle nutzen aktuell eine neue Betrugsmasche, um an persönliche Daten von Nutzern zu kommen: dem Vishing (eine Kombination aus Voice und Phishing). Die Betroffenen werden dabei telefonisch von den Tätern kontaktiert. Sie täuschten die Identität eines Mitarbeiters einer Firma oder der Hausbank vor und verleiteten zur telefonischen Preisgabe von TAN/2FA-Codes (Zwei-Faktor-Authentisierung-Codes) oder Passwörtern. Die Telefonanrufe werden oft mit echt aussehender (gespoofter) Rufnummer (z.B. der tatsächlichen Hausbank und des persönlichen Bankberaters) durchgeführt. Die Betrüger versuchen durch ein persönliches Gespräch und im Rahmen ihrer erfundenen Geschichte an wichtige Daten und Informationen zu kommen.
Die „Schwachstelle Mensch“ gilt als einer der größten Risikofaktoren für die IT-Sicherheit.
Das Problem: Vielen Menschen mangelt es sowohl an technischem Grundwissen als auch am Gespür für Bedrohungen aus dem Internet. Somit wird der Mensch als vermeintlich schwächstes Glied der Sicherheitskette zum erklärten Ziel der Angreifer.
Obwohl viele unterschiedliche Vishing-Betrugsmaschen existieren, gibt es ein Muster, das alle Voice-Phishing-Attacken gemeinsam haben:
- Der Angreifer schildert am Telefon ein Problem, von dem Sie zum ersten Mal hören.
- Um das Problem zu beheben, fordert der Visher persönliche Daten wie Zugangsdaten zu einem Account, Konto- oder Kreditkartendaten von Ihnen.
- Der Angreifer appelliert an die Dringlichkeit der Situation und verlangt sofortiges, schnelles Handeln von Ihnen.
So schützen Sie sich bei Vishing Calls:
- Sobald Sie Zweifel an einem Telefonat haben, sollten Sie das Gespräch unterbrechen und den Kundenservice des Unternehmens selbst kontaktieren. Fragen Sie, ob die Nummer bekannt und das Vorgehen üblich ist. Verwenden Sie dabei immer nur die Telefonnummern, die auf der Website des Unternehmens angegeben sind. Rufen Sie keine Nummern an, die Sie lediglich in einer vermeintlichen E-Mail des Unternehmens gefunden haben.
- Teilen Sie Ihre Passwörter oder persönlichen Zugangsdaten niemals Dritten mit! Die Bank wird Sie nie dazu auffordern, Zugangscodes (Passwort, OTP etc.) preiszugeben – weder per E-Mail, noch telefonisch noch auf einem anderen Wege. Lehnen Sie ab Ihre persönlichen Daten preiszugeben und melden den Kontakt der betroffenen Bank oder Firma.
Ist es jedoch zu spät und Sie sind von einem merkwürdigen Anruf betroffen und haben Daten preisgegeben, sollten Sie keine Zeit verlieren. Je nachdem, an welche Informationen der Anrufer gelangt ist, gilt es, die Bank zu informieren, Kreditkarten zu sperren oder Zugangsdaten sofort zu ändern.