Hast Du Anrufe von Deiner Bank wegen Deiner Kreditkarte erhalten? Supportanrufe von Firmen, bei denen Du ein Benutzerkonto hast? Dann kann es gut sein, dass Dich jemand am Telefon betrügen wollte – mit Hilfe von Vishing (von Voice Phishing). Gefahren aus dem Internet lauern auch am Telefon.
Hier lernst Du:
- Was ist Vishing?
- Was ist das Ziel von Vishing?
- Wer ist davon überhaupt betroffen?
Und natürlich gibt es am Ende wieder Tipps, wie du dich vor Vishing schützen kannst.
Was ist Vishing oder Voice Phishing?
In Folge 22 hatten wir besprochen, dass Phishing eine Art Trickbetrug ist. Meistens via E-Mail mit irgendwelchen gefälschten E-Mails, die dich zu was verleiten wollen, aber im Wesentlichen sind das eigentlich so alle möglichen Arten des Trickbetruges, wo du zu was gezwungen werden sollst oder zu was überredet, von was überzeugt werden sollst, was du eigentlich sonst nicht tun würdest.
Vishing – Phishing am Telefon
Beim Vishing ist es dasselbe Thema jetzt halt einfach via Telefon. Interessant ist, das sind jetzt nicht so vielleicht die reinen Enkel-Trickbetrüger, die dir vorgaukeln oder deinem Opa oder deiner Oma vorgaukeln, es wäre der längst verschollene Enkel, sondern das Ganze funktioniert meistens mit automatisierten Voice-over-IP-Systemen, wo also ein Computer anruft und dich zu irgendwelchen Aktionen bringen will.
gefälschte Anruferkennungen – wenn Apple sich bei Dir meldet
Interessant ist, dass ganz gerne auch mal die Anrufer-Nummer gefaket wird. Es gibt zum Beispiel Fälle, wo du dann Anrufe auf deinem Handy findest mit einer Nummer vom Apple-Support oder vom Apple-Store.
Und das gibt dem Ganzen natürlich ein ganz anderes Vertrauensverhältnis, wenn du so einen Anruf hast, wo gleich die richtige Nummer angezeigt wird, obwohl sich dahinter einfach nur ein Betrüger verbirgt, der seine Nummer geändert hat.
automatisiertes Vishing bringt die leichte Beute
Vishing ist Trickbetrug via Telefon. Oft werden automatisierte Systeme verwendet, die Dir sagen, Du musst Deine Kreditkartendaten eintragen.
Oder es gibt eine Kombination von automatisierten Systemen und Menschen. Die Technik filtert erstmal die leichte Beute raus, und dann übernehmen Menschen und bringen den Betrug zum Abschluss.
Was ist das Ziel von Vishing?
Die Ziele von Vishing sind entweder
– persönliche Infos zu bekommen, um einen Betrug auszuführen, oder
– an persönliche Daten zu kommen zur Manipulation.
Letzteres wird gerne verwendet, um Euch in irgendeiner Form beeinflussen zu können, zum Beispiel bei Wahlen.
Häufig wird aber nach Zugangsdaten gefragt. Das Ziel ist immer, euch zu betrügen und an euer Geld zu kommen.
Wie funktioniert Vishing
Wie beim klassischen Phishing via E-Mail wird Euch vorgespielt, dass ein Notfall eingetreten ist und Ihr jetzt noch Schaden abwenden könnt. Und dafür werden dann irgendwann Eure Daten, z.B. die Eurer Kreditkarte, benötigt.
Probleme mit der Kreditkarte
Da werden dann so Sachen vorgespielt wie, es gibt Probleme mit eurer Kreditkarte oder Eurem Konto.
Daten aus anderen Quellen werden mitverwendet
Und je nachdem wie gut die Systeme und dieser Betrug ist, sind die Sachen vielleicht schon ein bisschen mit persönlichen Daten aus anderen Datendiebstählen aufgepeppt worden.
Ein typischer Fall von Vishing
Dann spricht euch das System, dieses Computersystem, das euch anruft, mit Namen an. Es hat ja sowieso schon mal die richtige Telefonnummer, und vielleicht ist sogar tatsächlich die Ansage mit „Sie haben ja ein Konto bei unserer Bank XYZ“ schon mal richtig.
Bist Du mit Namen angesprochen worden, vielleicht sogar mit Geburtsdatum? Dann hast Du einfach schon mal einen ganz anderen Level von Vertrauen, weil derjenige am anderen Ende weiß ja, wer Du bist.
Wenn die Stimme sagt, „ Ok, sie haben ja ein Konto bei uns. Wir möchten Sie bitten, so zum Datenabgleich, geben Sie mal Ihre Kontonummer ein.“, vielleicht tippt der eine oder andere die dann am Telefon sogar ein, und wenn man dann sagt „Okay, Sie sollen eine Austauschkarte kriegen. Wir schicken die an folgende Adresse.“, dann wird Deine Adresse gesagt, und dann kommt die Aufforderung „Sie dürfen sich eine Wunsch-PIN aussuchen. Nehmen Sie doch vielleicht die, die Sie jetzt auch gerade hatten.“, dann tippt man seine Wunsch-PIN ein und spätestens jetzt hat der Betrüger Deine Kontonummer und Deine PIN.
Und dann würde man sagen, naja gut, was fehlt dem noch? Vielleicht eine TAN.
Auch TAN-Verfahren können ausgenutzt werden
Mensch, das ist ja ein vertrauenswürdiges System, das da bei Dir angerufen hat, das sagt „Gut, jetzt wollen wir natürlich nicht ohne Legitimation Ihnen einfach eine neue Karte zuschicken. Wir müssen ja ausschliessen, dass Sie ein Betrüger sind. Wir schicken Ihnen jetzt mal eine TAN auf Ihr Handy via SMS und die geben Sie bitte hier ein, damit wir wissen, dass Sie es auch wirklich sind.“
Dann kommt natürlich auch eine TAN auf Dein Handy, die gibst Du auch brav ein, und dann hat das auch wunderbar geklappt.
Wie gehen Kriminelle vor?
Wenn der Anrufer oder das System Deine Kontonummer hat und Deine PIN, in dem Moment wird versucht, sich in Deine Account einzuloggen.
Deine Bank will dann von Dir eine Bestätigung, und dann taucht die TAN auf Deinem Handy auf, Du gibst die in dem System ein, das System reicht das gleich an das Banking-System weiter und dann wird halt mal eine schöne Überweisung ausgeführt und Du bist innerhalb von ein paar Minuten um einen ordentlichen Betrag betrogen worden.
Jetzt ist das Interessante, wenn man sich mal an ein bekannte Versandhaus wendet, zum Beispiel über die Service-Hotline, dann bringen die tatsächlich auch den Punkt, wir schicken Ihnen mal eine Sicherungsnummer auf Ihr Handy zu, weil Sie haben das bei uns ja so mit Mehrfaktor eingestellt. Sagen Sie mir mal bitte die Nummer, den Code, der da gekommen ist, damit wir sicher sind, dass Sie es sind. Und das ist im Prinzip eine gute Sache, dass die das machen. Wo ist jetzt der Unterschied?
Wie unterscheide ich gute und schlechte Fragen nach der TAN?
Der Unterschied ist, wenn ich bei dem Versandhaus anrufe, mir die Nummer zum Beispiel von der Webseite genommen habe, dann weiß ich ja, wen ich angerufen habe, wen ich am anderen Ende habe.
Die Alternative ist, die Kriminellen rufen an oder geben mir eine Nummer, unter der ich anrufen soll. Wenn mich jemand anruft und ich nur aufgrund der Informationen, die der hat, beziehungsweise der Nummer, die vielleicht in meinem Display angezeigt wird, glaube, dass ich mit der Person telefoniere, die da am anderen Ende ist.
Mit wem rede ich wirklich?
Das heißt, es ist eigentlich alles identisch, bloß dieses sicher sein, mit wem rede ich wirklich, was hat der für Absichten, ist natürlich der Punkt.
Wenn “nur” persönliche Daten gewonnen werden sollen
Und wir reden hier immer über Kriminelle, natürlich gibt es solche automatisierten Systeme auch, um persönliche Daten über einen zu erlangen, zum Beispiel in Form von Umfragen.
Diese Daten können dann zum Beispiel für Wahlwerbung, für sehr persönliche Wahlwerbung benutzt werden, aber auch, um zum Beispiel Antworten auf Sicherheitsfragen herauszufinden. Diese benutzt man dann, um Accounts von Dir zu knacken.
Die Informationen können aber auch, wie oben beschrieben, verwendet werden, um Phishing Angriffe vorzubereiten. Mit ein paar persönlichen Daten gibt man Dir mehr das Gefühl von Vertrautheit, denn da ist ja wirklich eine Person am anderen Ende, die weiß, wer ich bin, weil sie weiß ja so viele intime Details über mich. Dass Du die Daten vielleicht vorher auf einer Webseite preisgegeben hast oder bei einem anderen Telefonanruf, das ist ein anderer Schnack.
Wer ist das Ziel von Vishing?
Privatpersonen
Jetzt klingt das so, als würde das nur Privatpersonen betreffen. Und in der Tat ist es natürlich so, Privatpersonen, schon allein ob der schieren Masse.
Da wird natürlich schon geguckt, was kann man da an Accounts abgreifen, welche Kreditkarten kann man gegebenenfalls da bekommen und dann gegebenenfalls vielleicht noch mit dem Sicherheitscode.
Aber auch, wo kann man solche Trickbetrügereien machen, indem man eine Überweisung auslöst, und während des Überweisungsvorgangs der Kunde einem die TAN liefert.
Firmen
Aber auch Firmen sind da willkommene Opfer von Voice Phishing Attacken. Da gehts um ganz andere Summen.
Ein Beispiel: Der englischsprachige Geschäftsführer eines Unternehmens, wird von seinem deutschen Kollegen angerufen und gebeten, einen relativ hohen Betrag, 243.000 Dollar ging da durch die Presse, auf ein Konto zu überweisen.
Und er hat das auch gemacht, weil der deutsche Akzent hat ihn doch überzeugt.
Am Ende des Tages ist man wohl der Meinung, dass da tatsächlich ein Telefoncomputer, der den deutschen Akzent entsprechend nachgemacht hat, den CEO angerufen hat und ihn davon überzeugt hat, diese Überweisung zu machen.
In Firmen ist es ein Kulturproblem
Das Problem, das wir mit Unternehmen haben und das auch dafür sorgt, dass Unternehmen gerne mal wirklich leichte Opfer sind, ist einfach die Kultur, die im Unternehmen vorherrscht, beziehungsweise, die nicht da ist.
Ich berate ja Unternehmen, was das Aufsetzen von Security Awareness Strategien angeht. Da geht es dann darum, dass man im Unternehmen eine Sicherheitskultur etablieren möchte, ein Sicherheitsbewusstsein, also dass wirklich das Sicherheitsdenken im Unternehmen da ist. Das ist genau das Gegenteil von einer einmaligen, 2 stündigen Schulung von der man erwartet, dass danach alles anders ist.
Aber neben diesem, man informiert anders über Sicherheitsthemen und nicht so en bloc mit der Gießkanne, also zum Beispiel in Form dieses Podcast alle 2 Wochen ein paar Minuten. Solche Häppchen sind natürlich viel besser, um ein Sicherheitsbewusstsein zu erlangen.
Fragen sind nicht gewollt
In Unternehmen hat man aber noch ganz andere Probleme. In Unternehmen hat man ganz oft das Problem, dass das Fragen, das Nachfragen, ob irgendwas wirklich so gemeint ist, dass das einfach nicht gewollt ist.
Angst vor Konsequenzen
Und wenn man dann eine Führungskultur hat, wo Chef halt nicht möchte, dass irgendwie bei komischen Überweisungen da ein Mitarbeiter ankommt und noch mal fragt, sag mal, meinst du das wirklich so, was du mir da geschrieben hast, und vielleicht eine Sache deswegen auch sogar mal ein paar Minuten verzögert, dann hat man einfach ganz schnell diese Kultur hingekriegt, dass Menschen was machen aus Angst nachzufragen.
Angst Schwäche zu zeigen
Und umgekehrt ist es so speziell bei Führungskräften, wenn dann Kultur im Unternehmen vielleicht mehr so ein Wort ist, das man gerne mal auf einer PowerPoint-Folie hat, aber im Prinzip es nicht gewollt ist, dass jemand Schwäche zeigt, vermeintliche Schwäche zeigt oder mögliche Fehler irgendwie anspricht, dann traut man sich als Führungskraft unter Umständen auch nicht zu fragen, sag mal, ist das wirklich das, Chef, was du da, oder Kollege, was du da irgendwie mir gesagt hast, was ich so verstanden habe, ist es das, was du willst?
Im obigen Beispiel hätte ja der CEO durchaus seinen deutschen Kollegen mal fragen können, ob er jetzt wirklich will, dass da 243.000 Dollar irgendwo durch die Landschaft überwiesen werden? Aber wenn natürlich die Angst da ist, dass gegebenenfalls der Untergebene dann den Kollegen erzählt, dass der Chef ja wohl auch nicht mehr alle Zapfen an der Tanne hat, weil jetzt ruft der mich 3 Minuten später zurück und fragt mich ob ich das ernst meine.
Das ist das Gegenteil einer Sicherheitskultur die notwendig ist, um zum Beispiel solche Voice Phishing Attacken zu vermeiden.
Wie kannst Du Dich vor Vishing schützen?
Und da kommen wir auch schon zu den Tipps, wie kannst Du Dich vor sowas schützen, ob jetzt im Unternehmen oder zu Hause?
Fragen hilft
Ganz grundsätzlich gilt, fragt nach. Wenn jemand was von Dir will, was sich irgendwie ein bisschen komisch anfühlt, frage nach.
Nutze einen unabhängigen Kanal für die Rückfrage
Und ganz wichtig, frage über einen neutralen Kanal nach. Frage nicht da über die Telefonnummer nach, die Dir der nette Anrufer sagt, weil welche Nummer wird das wohl sein? Wohl nicht die echte, wenn es ein Betrüger ist.
Wenn Du eine Mail kriegst, wo was Komisches drinsteht, dann mach nicht reply und frag den Sender der E-Mail, ob er das wirklich so meint, was er Dir geschrieben hat, sondern nimm die E-Mail-Adresse, die Du gespeichert habt oder die Du anderswo rauskriegst.
Das ist genauso wie wenn die Stadtwerke bei Dir vor der Tür stehen und Du willst nachfragen, ob das wirklich die Stadtwerke sind, die bei Dir in die Wohnung wollen. Dann solltest Du im Idealfall nicht die Visitenkarte von dem nehmen, der gerade vor der Tür steht, sondern die von der letzten Rechnung oder aus dem Telefonbuch.
Ganz wichtig, unabhängiger Kanal, weil natürlich wissen Betrüger auch, dass dieses Sicherheitsbewusstsein immerhin gesteigert ist und versuchen das natürlich mit gefälschten Nummern, gefälschten E-Mail-Adressen zu umgehen.
Reduziere Deine persönlichen Informationen im Netz
Versuche, dass die persönlichen Infos über Dich im Netz so reduziert wie möglich sind.
Es wird versucht bei den gefälschten Anrufen im Fall von Voice Phishing, Dir vorzumachen, dass ihr dem System vertraut seid und dass ihr bekannt seid. Die Idee ist natürlich, Du sollst dem System vertrauen.
Und dazu sind persönliche Infos hilfreich. Ein Geburtsdatum, eine Telefonnummer, eine Anschrift, ein Name, das reicht bei vielen Firmen, um sich zu legitimieren.
Und wenn Du eine E-Mail kriegt, wo das alles korrekt drin ist, dann werde mal erst recht misstrauisch und frage nach.
Zusammenfassung
Vishing oder Voice Phishing ist eine Variante des Trickbetruges im Netz, dem Phishing.
Mit ein paar einfachen Tricks kannst Du Dich schützen. Werde mißtrauisch, wenn Du zu schnell bei jemandem das Gefühl von großem Vertrauen hast und schon fast nicht mehr weisst, wer hat eigentlich da wen angerufen.
Ein wenig Mißtrauen ist weder unhöflich noch unangebracht, seriöse Firmen haben auch Verständnis dafür, wenn Du Dich absicherst.
