Das reguläre Phishing via E-Mail ist mittlerweile hinlänglich bekannt: Per Massen-E-Mail informieren Hacker über ein „dringendes Kontoproblem“ bei einem Dienstanbieter (meist eine bekannte Bank, ein Internet-Dienstanbieter oder ein Online-Shop). Um das (vorgetäuschte) Problem zu beheben, werden die Empfänger aufgefordert, eine bestimmte Website zu besuchen und aufgefordert, auf der gefälschten Website vertrauliche Daten zu „bestätigen“ – meist den Anmeldenamen und das Kennwort für ein Konto. Obwohl die aufgerufene Website täuschend echt aussieht, führt der Link in der E-Mail zu einem Server unter Kontrolle der Hacker. Die Folge: Die Irregeführten spielen ihre persönlichen Daten direkt in die Hände der Hacker. Die Kontodaten werden umgehend gestohlen und zum Identitätsbetrug verwendet.

Weil jedoch immer mehr Verbraucher die Phishing-Kniffe der Betrüger kennen, machen sich Identitätsdiebe neue Telefondienstleistungen im Internet zunutze:

• Die Diebe informieren Verbraucher per E-Mail oder über automatische Telefonnachrichten über „Kontoprobleme“.
• Die Empfänger dieser Nachrichten werden aufgefordert, eine gebührenfreie Nummer anzurufen, um das Problem zu beheben.
• Bei einem Anruf dieser Nummer wird eine automatische Telefonnachricht abgespielt, die durchaus echt klingt.
• Die Opfer werden zur Angabe von Kontonummern, Kennwörtern oder Sozialversicherungsnummern aufgefordert, die dann über das Internet verkauft und zum Zwecke des Identitätsbetrugs verwendet werden.

Da Hacker diese perfiden Angriffe nicht direkt im Internet durchführen, vermitteln sie ihren Opfern ein falsches Sicherheitsgefühl. Die meisten Menschen bringen telefonischen Transaktionen größeres Vertrauen entgegen als dem Internet, da Anrufe sich verfolgen lassen und der Massenbetrug per Telefon wegen der Festnetz- oder Mobilfunk-Kosten impraktikabel ist. Vishing-Angriffe imitieren die herkömmliche Interaktion zwischen Finanzinstituten und ihren Kunden, die stets als die sicherere Alternative empfohlen wurde. Schließlich raten zahlreiche Unternehmen ihren Kunden dazu, im Zweifelsfall telefonisch Kontakt aufzunehmen. Deshalb tappen die Opfer mit höherer Wahrscheinlichkeit in die Vishing-Falle.

Hinzukommt: Weil die Voice-over-IP-Technologie (VoIP) das Internet mit der Welt des Telefons vereint hat, lassen sich derartige Angriffe einfach und kostengünstiger durchführen. So ist es ohne großen Aufwand möglich, bei einem Anbieter von Internet-Telefondienstleistungen ein anonymes Konto einzurichten und ein hohes Anrufaufkommen zu niedrigen Kosten zu bewältigen. Darüber hinaus können die Betrüger mit preiswerter Software ein interaktives Sprachnachrichtensystem einrichten, das sich genauso anhört wie das Ihrer Bank und auch dieselbe Musik abspielt, während Sie sich in der Warteschleife befinden. Weil herkömmliche Anti-Phishing-Tools kaum in der Lage sind, eine falsche Telefonnummer in einem E-Mail-Text zu erkennen, ist der Schutz vor Vishing Aufgabe des Benutzers.

So können Sie sich gegen Vishing schützen

Die beste Waffe im Kampf gegen Identitätsdiebstahl ist der gesunde Menschenverstand, das heißt:

• Antworten Sie nie auf eine E-Mail oder Sprachnachricht, in der Sie aufgefordert werden, zur Behebung eines Kontoproblems eine Website zu besuchen oder eine Telefonnummer anzurufen. Derartige Nachrichten sind nie seriös.
• Rufen Sie im Zweifelsfall den Online-Shop oder das Finanzinstitut über eine Telefonnummer an, die mit Sicherheit echt ist. Sie finden diese Nummer auf der offiziellen Website des Unternehmens (geben Sie die Adresse selbst ein!) oder in den Gelben Seiten.
• Fragen Sie stets nach Informationen, die die Authentizität bestätigen. Bitten Sie beispielsweise Ihren Gesprächspartner, eine Transaktion nachzuprüfen, die Sie vor Kurzem durchgeführt haben. Diese Informationen werden einem Dieb mit größter Wahrscheinlichkeit nicht zur Verfügung stehen.

Resümee

Nachdem Vishing noch ein relativ seltenes Phänomen ist, besteht kein Grund zur Panik. Dennoch sollten Sie stets Vorsicht walten lassen, wenn Sie persönliche Daten preisgeben – egal, auf welche Weise. Generell gilt: Reagieren Sie nie auf eine E-Mail oder automatische Telefonnachricht, in der Sie aufgefordert werden, ein dringendes Problem zu beheben. Bei einem wirklich dringenden Problem würde der jeweilige Anbieter persönlich mit Ihnen Kontakt aufnehmen und könnte zudem beweisen, dass er Sie kennt.