Telefon-Phishing
Telefon-Phishing, auch Vishing oder Voice-Phishing genannt, ist eine Betrugsart, bei der über Telefonanrufe versucht wird, an vertrauliche Informationen zu gelangen. Es ähnelt in Konzept und Ausführung dem E-Mail-Phishing, doch statt E-Mails als Angriffsvektor nutzen Angreifer Telefonanrufe. Telefon-Phisher versuchen in der Regel, ihre Opfer dazu zu bringen, persönliche Daten wie Kreditkartennummern und Passwörter preiszugeben, indem sie vorgeben, von einer seriösen Organisation zu stammen.
Der erste Schritt für einen Angreifer bei einem Telefon-Phishing ist in der Regel die Recherche nach potenziellen Zielen. Dazu gehört das Sammeln von Informationen über die Person oder das Unternehmen, die angegriffen werden, entweder über öffentlich zugängliche Quellen oder über Social-Engineering-Taktiken wie das Anrufen von Kundendienstmitarbeitern anderer Unternehmen und das Vorgeben, jemand zu sein, der bei dem Zielunternehmen arbeitet. Sobald sie genügend Informationen über ihre Zielperson(en) gesammelt haben, werden sie unaufgefordert Anrufe tätigen, um Kontakt mit ihnen aufzunehmen.
Sobald der Kontakt hergestellt wurde, wird der Angreifer verschiedene Methoden ausprobieren, um das Opfer zur Herausgabe vertraulicher Daten zu überreden, indem er beispielsweise versucht, ihm Angst einzujagen und es glauben zu lassen, dass etwas Schlimmes passieren könnte, wenn es diese nicht preisgibt (z. B. „Wir benötigen Ihre Kreditkartennummer in …“) damit wir Ihr Konto nicht sperren können“). Andere gängige Techniken umfassen das Anbieten kostenloser Dienstleistungen oder Produkte, wenn sie ihre Daten preisgeben, und das Vortäuschen eines Problems mit ihrem Konto, das überprüft werden muss, bevor es behoben werden kann. Im Allgemeinen sollte jedoch jeder Versuch einer unbekannten Entität, nach vertraulichen Informationen zu fragen, immer als verdächtig angesehen werden, egal wie überzeugend das Argument auf den ersten Blick erscheinen mag.
Um sich vor solchen Angriffen zu schützen, sollten Benutzer niemals finanzielle Daten am Telefon preisgeben, es sei denn, dies ist unbedingt erforderlich und nur, nachdem sie überprüft haben, mit wem sie genau sprechen. Wenn möglich, fragen Sie nach weiteren identifizierenden Informationen als nur dem Namen (z. B. Mitarbeiter-ID), damit Sie wissen, dass Sie mit einer autorisierten Person innerhalb dieser Organisation sprechen. Antworten Sie außerdem niemals direkt per E-Mail – dies könnte leicht dazu führen, dass Betrüger Zugriff auf Ihr System erhalten. Erwägen Sie außerdem die Einrichtung einer Zwei-Faktor-Authentifizierung für alle Konten, die zusätzliche Sicherheitsmaßnahmen erfordern, wie z. B. Bank-Websites oder Kryptowährungsbörsen, bei denen möglicherweise große Geldsummen durch Diebstahlversuche wie die zuvor beschriebenen verloren gehen könnten.
