Elnur - stock.adobe.com
Warum Vishing bei Betrügern so beliebt ist
Vom vermeintlichen Microsoft-Support-Anruf bis hin zum CEO Fraud, die Bandbreite der Betrugsversuche per Telefon ist groß. Die Betrugstaktik hat sich immer mehr professionalisiert.
Als Nutzer sind wir mit unseren digitalen Identitäten grundsätzlich anfällig für Cyberangriffe, insbesondere, wenn wir bedenkenlos herumsurfen. Die Existenz von Cyberkriminellen und ihre Unternehmungen im Darknet sind immer häufiger Gegenstand öffentlicher Diskussionen. Cyberkriminelle verwenden daher unterschiedliche Taktiken, um ihre Opfer dazu zu verleiten auf ihre Forderungen hereinzufallen. Dies gelingt am besten mit Phishing-E-Mails, jedoch auch immer noch per Telefon.
Vishing ist eine altbekannte Betrugstaktik, die sich im Laufe der Zeit immer mehr professionalisiert hat. Im Vergleich zu anderen Social-Engineering-Ansätzen erscheint ein Anruf bedeutend vertrauensfördernder. Der Betrüger setzt beispielsweise automatisierte Sprachsysteme ein oder ruft den Empfänger unter einer falschen, bislang unbekannten Identität an. In beiden Fällen verlangt der Anrufer vom Opfer persönliche Informationen und manchmal auch Geld. Da die Anrufe sehr spontan sind, erzeugen sie ein Gefühl der Dringlichkeit, damit die Empfänger nicht so viel Zeit bekommen, um über die Situation nachzudenken. Die dadurch entstehende Verwirrung bringt die Empfänger dazu, die angeforderten Informationen freiwillig herzugeben.
Obwohl Vishing schon lange existiert, erfahren immer mehr Menschen erst in jüngster Zeit davon, dass sie fast täglich mit Vishing-Angriffen konfrontiert werden können. Seit Kurzem wird viel von Ping-Anrufen geredet. In diesem Fall erwartet der Anrufer, dass der Empfänger einen verpassten Anruf von ihm zurückruft, und dadurch landet der Empfänger unbewusst auf teuren Rufnummern. Bei diesem Rückruf zahlt das Opfer dann mehrere Euro pro Minute anstatt der normalen Gebühr.
Um den Empfänger so lang wie möglich in der Leitung zu halten, spielen die Betrüger häufig Bandansagen ab. Die Bandsagen könnten beispielsweise Erotikansagen, Gewinnspiele, mutmaßliche Paketsendungen oder einfach ein Rauschen sein. Diese unbekannten Nummern stammen aus bestimmten Ländern wie 00248 aus den Seychellen, 00228 aus Togo, 00216 aus Tunesien, 00381 aus Serbien, 00229 aus Benin, 00257 aus Burundi und so weiter. Manchmal verwenden die Betrüger Rufnummern des globalen mobilen Satellitensystems (0088).
Außerdem nutzen die Betrüger gerne das Image und den Bekanntheitsgrad von Unternehmen wie Microsoft, Google, Amazon oder Finanzdienstleistern zu ihrem eigenen Vorteil. Anrufe von sogenannten Support-Mitarbeitern dieser Firmen sind heutzutage sehr weit verbreitet.
Vermeintliche Anrufe vom Microsoft-Support
Wie sieht der Microsoft Vishing-Betrug aus? Der angebliche Microsoft-Support-Mitarbeiter ruft den Kunden wegen eines angeblichen Schadcode-Befalls an und schlägt vor, eine Sicherheitssoftware zu installieren. Es kann auch sein, dass er anruft, um auf ein dringendes Sicherheits-Update hinzuweisen. Statt eine Sicherheitssoftware lädt der Betrüger jedoch eine Spionagesoftware oder einen Trojaner auf den Rechner des Benutzers hoch, um die dortigen Daten auszuspähen. Zudem verlangen sie von ihren Opfern, ein Pauschale von bis zu mehreren hundert Euro für die angebliche Unterstützung. Die Zahlungsdaten werden typischerweise per Telefon geschickt und das Geld wird via Western Union oder Kreditkarte bezahlt.
Der Amazon-Vishing-Betrug erfolgt unter der Nummer 00918066055000. Diese Nummer stammt aus Indien. Der Bösewicht ruft einige Stunden nach der Bestellung an und gibt sich als Mitarbeiter des Kundenservice aus. Er gibt während des Gespräches an, dass der Kundenservice die Informationen über die aktuelle Bestellung im System leider nicht finden kann. Um den Einkauf dennoch durch den Kunden bestätigen zu lassen, werden bestimmte persönliche Information abgefragt.
In beiden Beispielen erfolgt die Kontaktaufnahme durch angebliche Support-Mitarbeiter oft aus dem Ausland, die Kommunikation erfolgt immer auf Englisch oder in sehr schlechtem Deutsch.
Google-AdWords-Betrüger geben sich als Mitarbeiter eines Google-zertifizierten Partners aus. Sie versprechen Werbeagenturen ein besseres Search-Engine-Ranking als das der Mitbewerber, wenn sie einen vereinbarten Festpreis bezahlen – die Agenturen können sich entweder einen der Top 3 AdWords-Anzeigen-Plätze sichern oder eine AdWords-Flatrate bekommen.
„Vishing ist eine altbekannte Betrugstaktik, die sich im Laufe der Zeit immer mehr professionalisiert hat. Im Vergleich zu anderen Social-Engineering-Ansätzen erscheint ein Anruf bedeutend vertrauensfördernder.“
Detlev Weise, KnowBe4
In einem anderen Fall behauptet ein Betrüger, dass er Mitarbeiter einer Volksbank ist. Er meldet sich unter einer sehr vertrauten Nummer – manchmal simuliert der Betrüger die Notrufnummer der Bank. Er meldete sich als ein Staatsanwalt und behauptet, dass der Empfänger einem Gewinnspielanbieter 9.000 Euro schuldet. Sollte der Empfänger nicht sofort 4.500 Euro bezahlen, würde er/sie vor Gericht gebracht.
Der CEO-Fraud ist einer der gefährlichsten, weil CEO Fraud einer der erfolgreichsten Betrugstaktiken unserer Zeit ist. Laut einer Studie von PwC sind im Jahr 2017 40 Prozent der befragten Firmen in Deutschland zumindest einmal zum Ziel einer „CEO-Fraud“ eine sehr bedeutsame Rolle. Ende 2017 wurde vom BKA bekannt gegeben, dass ein angeblicher persönlicher Referent eines Abteilungsleiters im Bundeskanzleramt solche Anrufe tätigte. Er handelte angeblich im Auftrag des sicherheitspolitischen Beraters der Bundeskanzlerin und gab sich als Uwe Becker aus. Er rief bundesweit Geschäftsführer an und forderte die Unternehmen zu einer Spende für den Freikauf deutscher Geiseln auf. Dem Betrüger zufolge fehlten der Bundesregierung noch etwa 40 Millionen Euro.
Tipps zur Vermeidung von Telefonbetrug
Was machen die Betrüger richtig? Sie verwenden beispielsweise eine gebührenfreie Nummer (was für Amazon sinnvoll erscheint). Sie bieten Hilfe und Unterstützung an. Sie haben die richtige Telefonnummer des Opfers, was Vertrauen schafft. Verbraucher und Mitarbeiter sollten keine personenbezogenen Daten, wie Kontoinformationen, Finanzinformationen oder sicherheitsrelevante Informationen als Reaktion auf unerwünschte Anrufe zur Verfügung stellen. Bei solchen gefälschten Telefonanrufen sollten die Opfer einfach die Antwort verweigern und das Gespräch so schnell wie möglich beenden. Sie sollten sich dabei aber die Nummer merken. Eine weitere Möglichkeit besteht darin, die Webseite des Unternehmens aufzurufen und den Support dort zu kontaktieren.
Über den Autor:
Detlev Weise ist Managing Director bei KnowBe4.