Nein, wir haben uns nicht verschrieben. Es geht tatsächlich um das so genannte “Vishing”. Vishing ist eine spezielle Form des Phishings. Es setzt sich zusammen aus Voice (Stimme) und Phishing. Genau wie bei der herkömmlichen Phishing-Methode werden einer Person durch Vorspielen falscher Tatsachen private, sensible oder vertrauliche Informationen entlockt. Im Gegensatz zum Phishing, wird hier die betroffene Person allerdings nicht per E-Mail, sondern per Telefon kontaktiert.
In den letzten Monaten ist die Anzahl von Cyberangriffen deutlich angestiegen und immer häufiger setzen Cyberkriminelle dabei auf das Vishing. Grund dafür ist, dass Unternehmen und deren Mitarbeiter die Gefahr, die von herkömmlichen Phishing-Attacken und somit von E-Mails oder gefälschten Websites ausgeht, erkannt und wichtige Präventionsmaßnahmen und Schulungen in Ihrem Arbeitsalltag integriert haben. Die Cyberkriminellen müssen sich demnach neue Methoden einfallen lassen, um ihren Opfern sensible Informationen zu entlocken.
Was ist die Gefahr dabei?
Die sogenannten “Visher” gehen bei ihren Attacken äußerst intelligent vor. Sie nutzen Situationen aus, die dem Menschen normal und unbedenklich vorkommen. Anrufe von privaten oder unterdrückten Nummern sowie der Anruf aus einem Call-Center oder einer Kunden-Hotline gehören fast schon zur Tagesordnung. Wie oft kam es vor, dass Sie Ihren Geburtstag, Ihre Adresse oder einfach Ihren Namen nennen sollten, um Daten abzugleichen? Auch wenn diese Anrufe oftmals harmlos sind, der alltägliche Umgang mit Telefonaten dieser Art sorgt dafür, dass Visher häufig leichtes Spiel haben, um an sehr vertrauliche Informationen zu gelangen.
Wie gehen die Cyberkriminellen dabei vor?
Cyberkriminelle schlüpfen in verschiedene Rollen. Ganz aktuell warnt die Sparkasse vor Vishing-Vorfällen. Hier geben sich die Betrüger als Mitarbeiter der Sparkasse aus und fordern Ihre Opfer auf, Ihre Kartennummer, Telefonnummer oder TANs, die sie während des Telefonats auf ihre Handys zugesendet bekommen, anzusagen. Sollten Sie jemals in solch eine Situation geraten, brechen Sie das Gespräch ab und legen Sie sofort auf. Keine seriöse Bank wird Sie telefonisch nach Ihren Karten- oder TAN-Nummern fragen.
Oder stellen Sie sich folgende Situation vor: Das Telefon klingelt und ein IT-Experte ist am anderen Ende der Leitung und teilt Ihnen mit, dass Ihr Computer mit einem Virus infiziert ist. Es sei nun sehr wichtig schnell zu reagieren, um zu verhindern, dass der Virus das gesamte Betriebsnetzwerk lahmlegt. Der IT-Experte möchte mit Ihnen eine Fernwartung durchführen, um eine benötigte Diagnose-Software auf Ihren Computer zu spielen und somit das Problem lösen zu können. Dafür benötigt er allerdings Ihr Passwort.
Ähnlich wie beim herkömmlichen Phishing spielen die Täter mit den Emotionen Ihrer Opfer, indem sie die Situationen zu Ihren Gunsten manipulieren. Zuerst wird Vertrauen aufgebaut. Dieses Vertrauen wird dadurch geschaffen, dass der Täter in einer Rolle auftritt, deren Autorität oftmals nicht hinterfragt wird, z.B. die eines Polizisten, eines Bankangestellten oder eines IT-Experten. Wenn das geschaffene Vertrauen nicht ausreicht, um die gewünschten Informationen zu bekommen, werden die Opfer unter Druck gesetzt, in dem bei Ihnen Angst und Panik ausgelöst werden. Dadurch werden die betroffenen Personen zu unüberlegten und überstürzten Handlungen animiert.
Was können Sie tun, um sich vor Vishing zu schützen?
Ein gesundes Maß an Misstrauen ist nie verkehrt. Hinterfragen Sie den Anrufer, egal wie offiziell die Stelle sein mag, von der er anruft. Vishing-Täter versuchen alles, um Sie in Sicherheit zu wiegen und ganz nebenbei vertrauliche Informationen von Ihnen zu bekommen. Sichern Sie sich ab, indem Sie eine weitere Person kontaktieren, die Ihnen den Fall oder das Anliegen bestätigen kann. Vorsicht ist besser als Nachsicht! Generell gilt aber: Teilen Sie niemals vertrauliche Informationen wie Kontodaten, PINs oder Passwörter am Telefon.
Wie verhalten Sie sich richtig, wenn Sie doch sensible Informationen weitergegeben haben?
Sollten Sie doch auf eine Vishing-Attacke hereingefallen sein, sollten Sie schnell, aber überlegt handeln. Ein überstürztes Handeln kann weiteren Schaden verursachen. Informieren Sie Ihre zuständige IT-Abteilung unverzüglich darüber welche Informationen Sie geteilt haben. Sollten Sie Passwörter weitergegeben haben, ändern Sie diese umgehend. Sollten Sie eines der herausgegeben Passwörter für mehrere Programme oder Anwendungen nutzen, ändern Sie besagtes Passwort auch bei diesen Diensten. Wichtig ist, dass Sie dieses kompromittierte Passwort zukünftig nicht mehr benutzen
Sollten Sie Fragen zum Thema Passwörter haben, kann Perseus helfen. Lesen Sie hier ausführliche Beiträge über die Passwortsicherheit und den Passwort- Manager.