Achtung, Vishing!

Blog Cybersicherheit Phishing
Pic Source: via Unsplash

Nein, wir haben uns nicht verschrieben. Es geht tatsächlich um das so genannte “Vishing”. Vishing ist eine spezielle Form des Phishings. Es setzt sich zusammen aus Voice (Stimme) und Phishing. Genau wie bei der herkömmlichen Phishing-Methode werden einer Person durch Vorspielen falscher Tatsachen private, sensible oder vertrauliche Informationen entlockt. Im Gegensatz zum Phishing, wird hier die betroffene Person allerdings nicht per E-Mail, sondern per Telefon kontaktiert.

In den letzten Monaten ist die Anzahl von Cyberangriffen deutlich angestiegen und immer häufiger setzen Cyberkriminelle dabei auf das Vishing. Grund dafür ist, dass Unternehmen und deren Mitarbeiter die Gefahr, die von herkömmlichen Phishing-Attacken und somit von E-Mails oder gefälschten Websites ausgeht, erkannt und wichtige Präventionsmaßnahmen und Schulungen in Ihrem Arbeitsalltag integriert haben. Die Cyberkriminellen müssen sich demnach neue Methoden einfallen lassen, um ihren Opfern sensible Informationen zu entlocken.

Was ist die Gefahr dabei?

Die sogenannten “Visher” gehen bei ihren Attacken äußerst intelligent vor. Sie nutzen Situationen aus, die dem Menschen normal und unbedenklich vorkommen. Anrufe von privaten oder unterdrückten Nummern sowie der Anruf aus einem Call-Center oder einer Kunden-Hotline gehören fast schon zur Tagesordnung. Wie oft kam es vor, dass Sie Ihren Geburtstag, Ihre Adresse oder einfach Ihren Namen nennen sollten, um Daten abzugleichen? Auch wenn diese Anrufe oftmals harmlos sind, der alltägliche Umgang mit Telefonaten dieser Art sorgt dafür, dass Visher häufig leichtes Spiel haben, um an sehr vertrauliche Informationen zu gelangen.

Wie gehen die Cyberkriminellen dabei vor?

Cyberkriminelle schlüpfen in verschiedene Rollen. Ganz aktuell warnt die Sparkasse vor Vishing-Vorfällen. Hier geben sich die Betrüger als Mitarbeiter der Sparkasse aus und fordern Ihre Opfer auf, Ihre Kartennummer, Telefonnummer oder TANs, die sie während des Telefonats auf ihre Handys zugesendet bekommen, anzusagen. Sollten Sie jemals in solch eine Situation geraten, brechen Sie das Gespräch ab und legen Sie sofort auf. Keine seriöse Bank wird Sie telefonisch nach Ihren Karten- oder TAN-Nummern fragen.

Oder stellen Sie sich folgende Situation vor: Das Telefon klingelt und ein IT-Experte ist am anderen Ende der Leitung und teilt Ihnen mit, dass Ihr Computer mit einem Virus infiziert ist. Es sei nun sehr wichtig schnell zu reagieren, um zu verhindern, dass der Virus das gesamte Betriebsnetzwerk lahmlegt. Der IT-Experte möchte mit Ihnen eine Fernwartung durchführen, um eine benötigte Diagnose-Software auf Ihren Computer zu spielen und somit das Problem lösen zu können. Dafür benötigt er allerdings Ihr Passwort.

Ähnlich wie beim herkömmlichen Phishing spielen die Täter mit den Emotionen Ihrer Opfer, indem sie die Situationen zu Ihren Gunsten manipulieren. Zuerst wird Vertrauen aufgebaut. Dieses Vertrauen wird dadurch geschaffen, dass der Täter in einer Rolle auftritt, deren Autorität oftmals nicht hinterfragt wird, z.B. die eines Polizisten, eines Bankangestellten oder eines IT-Experten. Wenn das geschaffene Vertrauen nicht ausreicht, um die gewünschten Informationen zu bekommen, werden die Opfer unter Druck gesetzt, in dem bei Ihnen Angst und Panik ausgelöst werden. Dadurch werden die betroffenen Personen zu unüberlegten und überstürzten Handlungen animiert.

Was können Sie tun, um sich vor Vishing zu schützen?

Ein gesundes Maß an Misstrauen ist nie verkehrt. Hinterfragen Sie den Anrufer, egal wie offiziell die Stelle sein mag, von der er anruft. Vishing-Täter versuchen alles, um Sie in Sicherheit zu wiegen und ganz nebenbei vertrauliche Informationen von Ihnen zu bekommen. Sichern Sie sich ab, indem Sie eine weitere Person kontaktieren, die Ihnen den Fall oder das Anliegen bestätigen kann. Vorsicht ist besser als Nachsicht! Generell gilt aber: Teilen Sie niemals vertrauliche Informationen wie Kontodaten, PINs oder Passwörter am Telefon.

Wie verhalten Sie sich richtig, wenn Sie doch sensible Informationen weitergegeben haben?

Sollten Sie doch auf eine Vishing-Attacke hereingefallen sein, sollten Sie schnell, aber überlegt handeln. Ein überstürztes Handeln kann weiteren Schaden verursachen. Informieren Sie Ihre zuständige IT-Abteilung unverzüglich darüber welche Informationen Sie geteilt haben. Sollten Sie Passwörter weitergegeben haben, ändern Sie diese umgehend. Sollten Sie eines der herausgegeben Passwörter für mehrere Programme oder Anwendungen nutzen, ändern Sie besagtes Passwort auch bei diesen Diensten. Wichtig ist, dass Sie dieses kompromittierte Passwort zukünftig nicht mehr benutzen

Sollten Sie Fragen zum Thema Passwörter haben, kann Perseus helfen. Lesen Sie hier ausführliche Beiträge über die Passwortsicherheit und den Passwort- Manager.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited