Voice-Phishing, oder auch Vishing, ist eine moderne Betrugsmasche, die es in sich hat. Neulich wurde ein Fall bekannt, der die Dramatik dieser Methode eindrucksvoll verdeutlicht. Ein Betroffener musste über 1.000 Euro zahlen, und das, obwohl er die Dienste, für die er zur Kasse gebeten wurde, nicht einmal genutzt hat. Wie kann das sein? Ganz einfach: Er wurde Opfer von skrupellosen Kriminellen, die sich als vertrauenswürdige Personen ausgaben, um an sensible Informationen zu gelangen. Bei ihm wurden eSIM-Karten im Namen des Opfers bestellt, und das Ganze geschah durch Voice-Phishing. Wie genau das funktioniert? Lassen Sie uns tiefer eintauchen.

Die Täter geben sich häufig als bekannte Dienstleister aus und nutzen so genannte Freischalt-Codes, um die eSIM-Karten zu aktivieren. Dabei ist es unklar, ob sie tatsächlich Zugriff auf das Kundenkonto hatten oder ob sie sich einfach aus anderen Quellen bedienten. Für die Aktivierung wird normalerweise eine Multi-Faktor-Authentifizierung verlangt – das klingt kompliziert, ist es aber nicht. Es benötigt nur eine TAN, die per SMS versendet wird. Wenn die Kriminellen diese Codes während eines Anrufs abgreifen, können sie die Sicherheitsvorkehrungen ganz einfach umgehen.

Die neue Welle des Vishing

Die Sicherheitsforscher von Okta haben kürzlich festgestellt, dass neue Voice-Phishing-Kits aufgetaucht sind, die diese Betrugsversuche automatisieren. Damit wird es selbst unerfahrenen Tätern ermöglicht, komplexe Angriffe durchzuführen. Besonders gefährdet sind Konten bei Anbietern wie Google, Microsoft und auf Kryptoplattformen. Die Software hinter diesen Kits schafft es, gefälschte Webseiten mit laufenden Telefonaten zu verknüpfen. Während des Gesprächs eingegebene Zugangsdaten gelangen in Echtzeit zu den Tätern – das ist schon ziemlich beunruhigend.

Manchmal wird das Opfer zu einer täuschend echten Fake-Webseite geleitet, wo es sich als Support-Mitarbeiter ausgibt und das Opfer zur Eingabe seiner Daten drängt. Und das ist noch nicht alles: Selbst Einmalcodes oder Push-Bestätigungen können während des Gesprächs abgefangen werden. Das macht es umso schwieriger, sich vor solchen Angriffen zu schützen.

Tipps zur Sicherheit

Wie kann man sich also vor diesen raffinierten Betrügern schützen? Zunächst einmal sollte man keine Zugangsdaten oder Einmalcodes während unerwarteter Anrufe eingeben. Offizielle Support-Hotlines fordern in der Regel keine vollständigen Passwörter. Es ist ratsam, das Gespräch zu beenden und über bekannte Kontaktwege zurückzurufen. Außerdem sollten Nutzer wichtige Konten mit Hardware-Sicherheitsschlüsseln oder Authenticator-Apps absichern und Login-Benachrichtigungen aktivieren.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Es ist auch wichtig, regelmäßig Passwörter zu ändern und Vorfälle sofort zu melden. Wer sich nicht sicher ist, ob seine Daten gehackt wurden, sollte schnell handeln: Passwörter und persönliche Kundenkennzahlen umgehend ändern und eine Drittanbietersperre einrichten. Ein gesundes Misstrauen gegenüber Anrufen von vermeintlichen Dienstleistern kann ebenfalls nicht schaden. Einfach gesagt: Wenn etwas komisch erscheint, ist es oft auch so.

Eine besorgniserregende Entwicklung

Vishing ist keine neue Erfindung, aber die Häufigkeit dieser Betrugsmasche hat sich von Anfang 2021 bis zum ersten Quartal 2022 um satte 550 Prozent erhöht. Und die Prognosen sind düster: Für 2024 wird ein hohes Risiko in der Cyberkriminalität erwartet, da Betrüger immer raffiniertere Techniken entwickeln. Vishing-Angriffe können mit der Zeit sogar noch verheerender werden, insbesondere wenn man bedenkt, dass auch einfache Tricks wie das Vorgeben einer vertrauenswürdigen Identität oder das Erzeugen von Dringlichkeit nach wie vor bestens funktionieren.

Es bleibt zu hoffen, dass Verbraucher und Unternehmen gleichermaßen wachsam bleiben und sich aktiv über die neuesten Betrugsmaschen informieren. Denn die Verantwortung für die Sicherheit im digitalen Raum liegt sowohl bei den Einzelnen als auch bei den Unternehmen.