Informationen zu Cisco
Wie Sie Cisco Lösungen kaufen
Was ist Vishing?

Vishing

Was ist Vishing?

Vishing, kurz für „Voice-Phishing“, verleitet die Opfer durch betrügerische Telefonanrufe dazu, sensible Informationen wie Anmeldeinformationen, Kreditkartennummern oder Bankdaten preiszugeben.

Phishing für Dummies lesen

    Wie lautet die Definition von Vishing?

    Vishing, kurz für „Voice-Phishing“, bezieht sich auf betrügerische Telefonanrufe oder Sprachnachrichten, mit denen die Opfer dazu verleitet werden sollen, sensible Informationen wie Anmeldeinformationen, Kreditkartennummern oder Bankdaten preiszugeben. Diese Daten können dann für Straftaten wie Betrug, Identitätsdiebstahl oder Finanzdelikte genutzt werden. Phishing-Angriffe sind weit verbreitet und kostspielig: Im Jahr 2022 war Phishing die zweithäufigste Ursache für Datensicherheitsverletzungen und kostete Unternehmen durchschnittlich 4,91 Millionen US-Dollar.

    Bei einem Vishing-Betrug geben sich die Angreifer als Vertreter seriöser Einrichtungen oder Unternehmen aus (z. B. der Bank des Opfers, des Finanzamtes oder eines Paketzustelldienstes) und rufen unerwartet an. Dabei setzen sie möglicherweise gebührenfreie Nummern oder die Voice-over-Internet-Protokoll-Technologie (VoIP) ein, um als vertrauenswürdige Einrichtungen bzw. Unternehmen zu erscheinen.

    Allerdings sind diese Angriffe nicht auf Telefonanrufe beschränkt. Viele Vishing-Angriffe beginnen mit einer Phishing-E-Mail, in der das Opfer aufgefordert wird, eine Nummer anzurufen. Wenn ein Gespräch zustande kommt, nutzen die Betrüger Social-Engineering-Taktiken, um die Zielperson zur Preisgabe ihrer persönlichen Daten zu bewegen.

    Häufig richtet sich Vishing-Betrug gegen ältere Menschen, neue Angestellte und MitarbeiterInnen, die im Rahmen ihrer Arbeit regelmäßig von außerhalb des Unternehmens aus angerufen werden. Zum Schutz vor Vishing-Angriffen sind besondere Wachsamkeit, sachkundige Vorkehrungen und zuverlässige E-Mail-Sicherheitslösungen unerlässlich. Auf dieser Seite stellen wir die präventiven Verfahren und Tools vor, mit denen Sie sensible Informationen vor Vishing-Angriffen schützen können.

    Produkt

    Multi-Faktor-Authentifizierung (MFA) von Cisco Duo

    Mit MFA von Duo sind Ihre Konten geschützt, selbst wenn ein Vishing-Angreifer Ihr Kennwort stiehlt.

    So funktioniert MFA

    Webinar

    Die Entwicklung von Phishing

    Erfahren Sie, welche wichtige Rolle Phishing bei der Verbesserung der Security Resilience zum Schutz vor möglichen Angriffen spielt.

    On-Demand Webinar ansehen

    Video

    Demo zu Cisco Secure Email Threat Defense

    Erleben Sie, wie Cisco Spear-Phishing, Ransomware, BEC-Angriffe und Vishing-Versuche per E-Mail erkennen und vereiteln kann.

    Worauf zielt Vishing ab?

    Beim Vishing geht es in erster Linie darum, auf illegale Weise an private, sensible Informationen von Einzelpersonen oder Unternehmen zu gelangen. Die Kriminellen sind unter anderem an folgenden wertvollen Informationen interessiert:

    • Vertrauliche Daten wie Bankverbindung und Kreditkartennummern
    • Personenbezogene Daten wie Sozialversicherungs- oder Identifikationsnummern
    • Der Sicherheit dienende Anmeldeinformationen, Kennwörter oder PINs

    Warum wird Vishing praktiziert?

    Die Entscheidung der Angreifer für die mündliche Kommunikation beruht auf zwei einzigartigen Vorteilen bei der Manipulation der Opfer: Dringlichkeit und Vertrauen. Durch Anrufe können Betrüger Personen überrumpeln und sie zu impulsiven Entscheidungen verleiten. Zudem können die Betrüger durch Anrufe eine persönliche Verbindung zur Zielperson herstellen, dynamisch auf das Verhalten des Opfers reagieren und emotionale Aspekte ausspielen. Mit normalen Phishing-E-Mails lässt sich dies nicht so leicht erreichen.

    Vishing wird für Betrüger immer attraktiver, da die neuen Technologien die Täuschung einfacher und effektiver machen. Kostenlose oder kostengünstige Tools wie VoIP und Caller ID Spoofing täuschen vertrauenswürdige Nummern vor und verschleiern die Identität und Herkunft der Angreifer. Die Betrüger setzen inzwischen auch hochentwickelte Software ein, um die Stimme einer Person zu imitieren. Dadurch wird die betrügerische Kommunikation noch überzeugender. Mit der zunehmenden Verbreitung der Deepfake-Technologie wird die Unterscheidung zwischen echten und simulierten Stimmen immer schwieriger. Dadurch steigt die Gefahr von Vishing-Angriffen erheblich.

    Was ist der Unterschied zwischen Vishing, Phishing und Smishing?

    Vishing, Phishing und Smishing bedienen sich unterschiedlicher Kommunikationswege, verfolgen aber das gleiche Ziel: die Kontrolle über Konten zu erlangen, Betrug zu begehen oder Geld von ahnungslosen Personen oder Unternehmen zu stehlen.

    Symbole, die den Unterschied zwischen Vishing, Phishing und Smishing darstellen

    Diese drei Methoden unterscheiden sich wie folgt:

    • Vishing: Telefonbetrug, bei dem die Opfer gedrängt werden, sensible Informationen im Gespräch preiszugeben
    • Phishing: E-Mail-Betrug, bei dem die Opfer dazu verleitet werden, auf Links zu klicken, die zu betrügerischen Websites oder zum Download von Malware führen
    • Smishing: Betrug durch Textnachrichten, die die Opfer ebenfalls auffordern, auf schädliche Links zu klicken oder gefälschte Websites zu besuchen

    Wie können Vishing-E-Mails unentdeckt bleiben?

    Nicht alle Vishing-Angriffe beginnen mit einem Telefonanruf. Viele Angreifer beginnen ihren Betrug mit einer professionell gestalteten E-Mail, in der sie sich als offizielle oder seriöse Einrichtung ausgeben. In einem Telefonat überreden sie später das Opfer, auf ihre Forderungen einzugehen. Wie kann ein Vishing-Angriff, der mit einer Phishing-E-Mail beginnt, die E-Mail-Sicherheitsfilter umgehen? Hierfür gibt es drei mögliche Gründe:

    • Keine Links in der E-Mail: Sicherheitssysteme können E-Mails mit schädlichen Links problemlos erkennen. Bei einer Vishing-E-Mail wird die Zielperson jedoch in der Regel zu einem Telefonat verleitet. Es sind also keine Links erforderlich, die von den üblichen Security-Tools erkannt werden könnten. Im Inhalt geht es vor allem darum, ein Telefonat zu erreichen, und nicht um herkömmliche anklickbare Links oder Schaltflächen, die für Phishing-Versuche typisch sind.
    • E-Mails von vermeintlich echten AbsenderInnen: Imitierte E-Mail-Konten können Authentifizierungsprüfungen wie Domain Based Message Authentication Reporting (DMARC), Sender Policy Framework (SPF) oder DomainKeys Identified Mail (DKIM) bestehen, wenn sie von einer persönlichen E-Mail-Adresse, z. B. einem Google Mail-Konto, gesendet werden.
    • Unzureichende E-Mail-Security-Tools: Wenn eine E-Mail die ersten beiden Filter erfolgreich überwunden hat, kann sie von simplen E-Mail-Sicherheitssystemen als geringes Risiko eingestuft und an die Posteingänge der AdressatInnen weitergeleitet werden. Dieses weit verbreitete Problem kann durch eine moderne E-Mail-Sicherheitssoftware behoben werden, die Phishing-Versuche, die Gefährdung geschäftlicher E-Mails sowie Ransomware erkennt und beseitigt.

    Anders als URLs werden Telefonnummern in der Community für Cybersicherheit nicht automatisch als Indicators of Compromise (IOC) erfasst und veröffentlicht. Diese fehlende Struktur rund um Telefonnummern erhöht die Wahrscheinlichkeit, dass Vishing-Kampagnen die konventionellen Sicherheitsprüfungen für E-Mails umgehen.

    Beispiele für Vishing

    Der technische Fortschritt hat dazu geführt, dass gewöhnliche Vishing-Betrügereien zu unglaublich überzeugenden Angriffen geworden sind. Diese Betrügereien nutzen das Vertrauen der Menschen aus und täuschen dringende reale Geschäftsvorgänge und Szenarien vor, was schwerwiegende Folgen für Unternehmen hat.

    Im Folgenden finden Sie einige Beispiele für übliche Vishing-Angriffe:

    Betrug durch Tarnung als Finanzamt

    Bei einem Vishing-Betrug mit einer Tarnung als Finanzamt wird oft eine aufgezeichnete Sprachnachricht abgespielt, die Sie auf ein Problem mit Ihrer Steuererklärung hinweist und Sie auffordert, sich über eine angegebene Nummer direkt an das Finanzamt zu wenden. Diese Nachrichten sind in der Regel in einem bedrohlichen Ton gehalten und weisen darauf hin, dass bei Nichtreaktion ein Haftbefehl gegen Sie erlassen werden könnte.

    Es ist eine beliebte Taktik von Cyberkriminellen, sich als Steuerbehörde auszugeben, sowohl beim E-Mail- als auch beim Telefonbetrug. Der Name des Finanzamts sorgt für sofortiges Vertrauen und eine gewisse Panik, wodurch die Betroffenen veranlasst werden, schnell zu handeln, ohne die Rechtmäßigkeit der Aufforderung infrage zu stellen.

    Angriffe durch Tarnung als technischer Support

    Bei Vishing-Betrug im Bereich des technischen Supports geben sich die Kriminellen als Beauftragte von Technologieunternehmen wie Apple, Microsoft und Google aus und weisen Sie auf verdächtige Aktivitäten in Ihrem Online-Konto hin. Sie verlangen häufig Ihre E-Mail-Adresse, um wichtige Software-Updates zu versenden, die sich dann als mit Malware infizierte Downloads herausstellen.

    Bei der Betrugsmasche im Bereich des technischen Supports werden die eventuell mangelnden technischen Kenntnisse des Opfers ausgenutzt. Diese Scammer setzen auf Panikmache und suggerieren schwerwiegende Sicherheitsbedrohungen oder technische Probleme, um Angst zu schüren und Dringlichkeit vorzutäuschen. Möglicherweise bieten sie Sofortlösungen an, die ihnen Remote-Zugriff auf den Computer des Opfers gewähren. Wird den Angreifern Zugriff gewährt, können sie persönliche oder Unternehmensdaten stehlen, schädliche Software installieren oder systemweiten Schaden anrichten.

    Betrug durch Tarnung als Finanzinstitut

    Beim Bankbetrug geben sich Betrüger als Kreditkartenunternehmen, Banken und andere Finanzinstitute aus, um unbefugten Zugriff auf Ihre Konten zu erhalten. Unter dem Vorwand, es gäbe ungewöhnliche oder verdächtige Aktivitäten, werden Sie aufgefordert, Ihre Kontodaten und Anmeldeinformationen zu überprüfen, um das Problem zu lösen.

    Wenn Sie Ihr Finanzinstitut direkt anrufen, kann es durchaus vorkommen, dass Sie aufgefordert werden, Ihre Identität mit vertraulichen Informationen nachzuweisen. Seriöse Finanzinstitute werden Sie jedoch niemals anrufen und nach Ihren Kennwörtern oder Sicherheitscodes fragen.

    Betrug durch Tarnung als Sozial- oder Krankenversicherung

    Ältere Menschen sind häufig im Visier von Cyberkriminellen, da sie mit modernen Phishing-Betrugsmethoden möglicherweise nicht so vertraut sind. Bei diesen Betrügereien geben sich Kriminelle als SachbearbeiterInnen der Sozial- oder Krankenversicherung aus, um vertrauliche Kontodaten zu erfahren. Häufig wird vorgegaukelt, es gehe um eine neue Sozialversicherungsnummer oder die Prüfung von Ansprüchen. Ältere Menschen bevorzugen in der Regel die telefonische Kommunikation gegenüber E-Mails oder Textnachrichten und sind daher eher für Vishing-Angriffe als für Phishing- oder Smishing-Angriffe empfänglich.

    Informieren Sie Bekannte oder Familienangehörige, die Ihrer Ansicht nach für diese Art von Betrug anfällig sind, dass weder das Finanzamt noch die Sozial-, Renten- oder Krankenversicherung sie jemals anrufen und persönliche Informationen verlangen oder Drohungen aussprechen werden. Rechtmäßige Behörden kontaktieren die BürgerInnen nicht per Telefon, E-Mail, SMS oder über soziale Medien, um persönliche oder finanzielle Informationen zu erfragen.

    Betrug durch Tarnung als Lieferdienst

    Angesichts der starken Verbreitung des Online-Shoppings ist es für viele Menschen und Unternehmen schwierig geworden, den Überblick über ihre Einkäufe zu behalten, und Cyberkriminelle nutzen diesen Umstand aus. Betrüger, die sich als Amazon- oder UPS-Angestellte ausgeben, informieren die Kunden über angebliche Versandprobleme und geben eine Kontaktnummer für Rückfragen zu diesen vermeintlichen Bestellungen an.

    Sobald arglose KundInnen anrufen, werden sie von Scammern begrüßt, die sich als Kundendienst ausgeben und den Betroffenen persönliche Daten entlocken wollen. Da Aktionen wie der Amazon Prime Day immer beliebter werden und das Online-Shopping immer alltäglicher wird, müssen sich die KonsumentInnen vor diesen Betrugsversuchen mit angeblichen Lieferproblemen in Acht nehmen.

    Kredit- und Anlagebetrug

    Bei allen Anlagemöglichkeiten, die hohe Renditen bei geringem Risiko versprechen, oder bei Krediten, die eine ungewöhnlich schnelle Schuldentilgung versprechen, ist äußerste Vorsicht geboten. Wenn ein Angebot zu gut klingt, um wahr zu sein, sollten Sie misstrauisch werden.

    Im Folgenden möchten wir Ihnen einige wichtige Tipps geben, wie Sie sich vor diesen Kredit- und Anlagebetrügereien schützen können:

    • Erkundigen Sie sich nach Risiken und versteckten Kosten
    • Widerstehen Sie starkem Druck oder aggressiven Verkaufstaktiken
    • Verlangen Sie schriftliche Unterlagen und stellen Sie eigene Nachforschungen an
    • Lassen Sie sich nicht allein aufgrund des Titels oder der Vertrauenswürdigkeit der AnruferInnen verpflichten
    • Überprüfen Sie die Eintragung der Investition und des Anbieters
    • Schenken Sie Behauptungen über völlig risikofreie Investitionen oder garantierte Renditen keinen Glauben; dies sind Warnsignale, da echte Investitionen immer mit einem gewissen Risiko verbunden sind.

    Vishing-Betrug durch Nachahmung von Stimmen

    Beim Klonen von Stimmen wird künstliche Intelligenz eingesetzt, um erschreckend realistische gefälschte Audio- oder Videoclips zu erstellen. Mit diesen KI-Tools fertigen Cyberkriminelle inzwischen Sprachaufnahmen an, die die Stimme eines Familienmitglieds oder einer vertrauten Person des Opfers imitieren. So kann zum Beispiel die Stimme von GeschäftsführerInnen imitiert werden, um die Überweisung einer größeren Summe zu veranlassen. Angestellte in einer niedrigeren Position könnten aufgrund der originalgetreuen Stimme glauben, dass es sich um einen echten Anruf handelt, und der Aufforderung nachkommen, weil sie diese für dringend halten und die Autorität des/der Vorgesetzten respektieren.

    Da die Tools zum Klonen von Stimmen immer ausgefeilter und zugänglicher werden, steigt das Risiko solcher Betrugsfälle. Dies unterstreicht die Notwendigkeit strenger Sicherheitsprotokolle und erhöhter Wachsamkeit – selbst wenn die Person am anderen Ende der Leitung vertraut klingt.

    Was deutet auf Vishing hin?

    Wenn Sie die Anzeichen eines Vishing-Versuchs erkennen, können Sie Ihre Identität und Ihre Finanzen schützen. Hier finden Sie einige Tipps, wie Sie einen Vishing-Betrug erkennen können:

    • Gefälschte Telefonnummern: Scammer verwenden oft gefälschte Telefonnummern (Spoofing), die den Anschein erwecken, von vertrauenswürdigen Unternehmen oder Institutionen zu stammen. Diese Telefonnummern unterscheiden sich nur geringfügig von den echten Nummern. So können Scammer beispielsweise Nummern verwenden, die denen einer seriösen Bank sehr ähnlich sind, im Vertrauen darauf, dass die Betroffenen den kleinen Unterschied nicht bemerken werden. Seien Sie stets auf der Hut, auch wenn die Anrufer-ID eine örtliche Nummer oder einen Firmennamen anzeigt, den Sie kennen.
    • Aggressive Anrufe: Vishing- und Phishing-Taktiken erwecken häufig den Anschein von Dringlichkeit oder Gefahr. Möglicherweise hören Sie Ausdrücke wie „dringendes Kontoproblem“, „verdächtige Aktivität entdeckt“ oder „letzte Warnung“, die zu übereilten Reaktionen verleiten. Bei Anrufen, die Sie zu schnellem Handeln auffordern, sollten Sie misstrauisch werden, insbesondere wenn es um persönliche Daten oder Geld geht. Die Kriminellen können auch eine gewisse Vertrautheit vortäuschen, indem sie auf ein vorangegangenes Gespräch, eine Beziehung oder eine Unternehmenshierarchie hinweisen. Mit diesen Methoden wird eine scheinbare Verbundenheit aufgebaut, doch nach und nach werden die Opfer zu gefährlichen Handlungen gedrängt.
    • Unerwartete Fragen nach vertraulichen Daten: Ziel eines Vishing-Angriffs ist es, Ihre sensiblen Informationen zu stehlen, z. B. Kennwörter, PINs, Verifizierungscodes oder Finanzdaten. Seriöse Institute werden niemals in unaufgeforderten Anrufen nach solchen Angaben fragen.
    • Verwendung öffentlich zugänglicher Informationen: Um den Anruf als seriös erscheinen zu lassen, täuschen die Betrüger scheinbar private Kenntnisse über Sie vor, die sie allerdings aus Onlinequellen oder sozialen Medien gewonnen haben. Doch die Kenntnis Ihrer Adresse, Ihrer letzten Transaktionen oder Ihrer familiären Verhältnisse ist kein Beweis für die Glaubwürdigkeit des Anrufers oder der Anruferin. 
    • Überprüfen Sie die Angelegenheit: Wenn ein Anruf verdächtig erscheint, auch wenn er echt klingt, sollten Sie nicht sofort reagieren. Legen Sie auf, anstatt den Anweisungen des Anrufers bzw. der Anruferin zu folgen, und rufen Sie die Einrichtung oder betreffende Person direkt an, indem Sie eine nachweisliche Nummer von deren offizieller Website oder aus Ihrer Kontaktliste wählen. Wählen Sie auf keinen Fall die Nummern, die Sie bei einem verdächtigen Anruf erhalten haben.

    Was sollten Sie unternehmen, wenn Sie Opfer eines Vishing-Angriffs geworden sind?

    Wenn Sie Opfer eines Vishing-Angriffs geworden sind, können Sie durch die umgehende Einleitung geeigneter Schritte den drohenden Schaden begrenzen und verhindern, dass Ihre Daten weiter missbraucht werden. Ergreifen Sie folgende Maßnahmen:

    • Informieren Sie Ihre Finanzinstitute über den Betrug und bitten Sie um die Einfrierung Ihrer Konten oder das Monitoring auf ungewöhnliche Aktivitäten.
    • Ändern Sie alle gestohlenen Kennwörter, PINs und Sicherheitsdaten für Ihre Konten und verwenden Sie eindeutige, sichere Kennwörter für jedes Konto.
    • Benachrichtigen Sie das betreffende Unternehmen oder die Einrichtung, die der Scammer angeblich vertritt, denn diese können möglicherweise zusätzliche Unterstützung leisten und Schritte unternehmen, um andere zu warnen.
    • Melden Sie den Vorfall bei der Federal Trade Commission (FTC) oder dem zuständigen Beschwerdezentrum für Internetkriminalität in Ihrem Land, um deren Arbeit im Kampf gegen diese Art von Betrug zu unterstützen.
    • Wenn Sie als MitarbeiterIn vertrauliche Unternehmensdaten weitergegeben haben, informieren Sie sofort die IT-Abteilung oder das Cybersicherheitsteam Ihres Unternehmens, um Protokolle zur Schadensbegrenzung einzuleiten.

    Die Menschen werden so lange von Vishing und anderen Arten der Cyberkriminalität bedroht sein, wie es den Betrügern gelingt, die Bevölkerung zu täuschen. Doch wer sich die Zeit nimmt, Vishing-Versuche zu erkennen und abzuwehren, kann deren Schlagkraft verringern. Lesen Sie weiter, um zu erfahren, wie Sie Vishing-Angriffe verhindern können.

    Wie können Sie Vishing und Telefonbetrug verhindern?

    Die folgenden Best Practices helfen Ihnen, Vishing-Angriffe einzudämmen und ihre möglichen Folgen für Ihr Unternehmen zu begrenzen:

    Schützen Sie Ihre Konten durch Multi-Faktor-Authentifizierung (MFA)

    MFA ist ein Security-Tool, das Anwendungen schützt, indem es für den Zugriff auf ein Konto zwei oder mehr Verifizierungsfaktoren statt nur eines einzigen Kennworts verlangt. Selbst wenn Cyberkriminelle bei einem Vishing-Betrug ein Kennwort stehlen, ist es für sie mit MFA deutlich schwieriger, die zusätzlichen Authentifizierungsbarrieren zu überlisten.

    Verstärken Sie Ihre E-Mail-Sicherheit durch Bedrohungsabwehr

    Vishing-Angreifer beginnen ihre Angriffe häufig per E-Mail. Die Weiterentwicklung der E-Mail-Sicherheit über native Sicherheitsfilter hinaus ist unerlässlich, um Vishing- und Phishing-Versuche abzuwehren und die Kompromittierung geschäftlicher E-Mails, das sogenannte Business Email Compromise (BEC), zu verhindern.

    Eine umfassende Lösung zum Schutz vor E-Mail-Bedrohungen kann das Risiko, dass Vishing-Betrug in Ihrem Unternehmen Einzug hält, erheblich verringern. Mit einer Lösung wie Cisco Secure Email Threat Defense können Sie Phishing-Versuche erkennen und schnell im Keim ersticken, bevor sie katastrophale Folgen für Ihr Unternehmen verursachen.

    Tragen Sie sich bei einer „Robinsonliste“ ein

    Verringern Sie das Risiko von Vishing-Angriffen, indem Sie sich in eine nationale Sperrliste (Robinsonliste) eintragen. Diese oftmals von Behörden geführten Listen können die Zahl der unerwünschten Anrufe, die Sie von seriösen Unternehmen erhalten, erheblich verringern. Das wird Scammer zwar nicht aufhalten, aber es kann das Entlarven verdächtiger Anrufe erleichtern.

    Nehmen Sie keine ungebetenen Anrufe entgegen

    Schulen Sie Ihre MitarbeiterInnen in den folgenden Best Practices für den Umgang mit Telefonanrufen:

    • Nehmen Sie keine Anrufe von unbekannten Nummern entgegen. Wenn Sie sich nicht sicher sind, ob der Anrufer seriös ist, warten Sie, bis der Anruf auf der Mailbox eingeht, und hören Sie sich dann die Nachricht an. Denken Sie daran, dass Anrufer-IDs und Telefonnummern manipuliert werden können.
    • Sobald Ihnen ein Anruf verdächtig vorkommt, legen Sie auf und blockieren Sie die Nummer. Den Kriminellen reicht bereits ein dreisekündiger Mitschnitt, um die Stimme einer Person zu replizieren. Es droht also die Gefahr, dass sie Ihre Stimme imitieren und diese später für betrügerische Handlungen missbrauchen.
    • Rufen Sie bei einem versäumten Anruf nicht zurück, insbesondere nicht bei einer unbekannten Nummer. Suchen Sie stattdessen die offiziellen Telefonnummern aus vertrauenswürdigen Quellen wie offiziellen Websites, Kreditkarten oder dokumentierten Kontoauszügen heraus.
    • Reagieren Sie nicht auf Sprachanweisungen von unaufgeforderten Anrufen, die Sie auffordern, Tasten zu drücken oder Fragen mit Ja oder Nein zu beantworten. Mit diesen Tricks versuchen die Kriminellen, sich zu vergewissern, dass sie eine echte und zuverlässige Person erreicht haben, was wiederum zu weiteren Vishing-Anrufen führen kann.

    Hüten Sie sich vor den Social-Engineering-Taktiken des Vishings

    Unterweisen Sie Ihre MitarbeiterInnen darin, auf die folgenden Social-Engineering-Strategien zu achten, die auf einen Vishing-Versuch hindeuten können:

    • Androhung der sofortigen Schließung des Kontos, rechtlicher Schritte oder der Verhaftung, wenn Sie der Aufforderung nicht schnell nachkommen
    • Zusage von hohen Belohnungen, Geldpreisen oder exklusiven Angeboten, bei denen eine sofortige Entscheidung erforderlich ist
    • AnruferInnen, die Sie „weichkochen“ möchten, indem sie sich nett geben oder vorgeben, sie seien Bekannte
    • Die Bitte um Verschwiegenheit, was Sie davon abhalten soll, andere zu konsultieren oder die Rechtmäßigkeit zu überprüfen

    Wenn AnruferInnen diese Taktiken anwenden, beenden Sie höflich, aber bestimmt das Gespräch. Wir erinnern nochmals daran, dass seriöse Unternehmen und Behörden ihre Angelegenheiten nicht auf diese Weise regeln.

    Falls Sie eine potenzielle Vishing-E-Mail oder -Textnachricht erhalten haben, sollten Sie die folgenden Punkte sorgfältig prüfen:

    • Namen, E-Mail-Adressen und Telefonnummern der AbsenderInnen oder AnruferInnen
    • Ausdrucksweise und Dringlichkeit des Wortlauts
    • Unstimmigkeiten oder Fehler in den Inhalten
    • Die genaue Art der Handlungsaufforderung, insbesondere wenn sie sofortiges Tätigwerden verlangt

    Geben Sie in einem Telefonat niemals vertrauliche Daten preis

    Seien Sie stets auf der Hut, wenn AnruferInnen persönliche oder Unternehmensdaten wie Kontonummern, PINs, Kennwörter oder andere vertrauliche Daten verlangen. Wenn Sie die Situation als unangenehm empfinden oder spüren, dass etwas nicht in Ordnung ist, vertrauen Sie auf Ihren Instinkt, beenden Sie das Gespräch und wenden Sie sich über bewährte Kommunikationskanäle direkt an die betreffende Stelle.

    Verlangen Sie einen Identitätsnachweis

    Geben Sie der Datensicherheit immer Vorrang, indem Sie die AnruferInnen auffordern, ihre Identität nachzuweisen. Berechtigte VertreterInnen seriöser Unternehmen oder Institutionen werden bereitwillig Auskunft über ihre Position, den Zweck des Anrufs und die von ihnen vertretene Stelle geben. Notieren Sie sich zur Sicherheit den Namen und rufen Sie dann unter einer Telefonnummer zurück, die direkt von der offiziellen Website des Unternehmens bzw. der Institution oder aus Ihren eigenen Unterlagen stammt. Verwenden Sie keine Nummern, die Sie während des Gesprächs erhalten. Dieser Schritt ist sehr wichtig, damit Sie wissen, dass Sie es mit einem/r seriösen MitarbeiterIn des Unternehmens zu tun haben und nicht auf eine Vishing-Masche hereinfallen.

    Schulen Sie Ihre MitarbeiterInnen in Phishing-Präventionstaktiken

    Sie sollten sich die Zeit nehmen und Ressourcen bereitstellen, um Ihre MitarbeiterInnen regelmäßig im Hinblick auf aktuelle Vishing-Abwehrstrategien zu schulen. Diese Schulungsprogramme sollten die neuesten Trends bei Cyberbedrohungen, Abwehrstrategien und wirksame Reaktionen im Falle eines Angriffs beleuchten. Auf diese Weise ist sichergestellt, dass Ihr Team die vertraulichen Daten und Finanzen Ihres Unternehmens tatkräftig schützt.

    Zugehörige Phishing-Themen

    Was ist Phishing?

    Bei Phishing-Angriffen werden scheinbar seriöse E-Mails oder Texte verwendet, um Geld, Daten oder Anmeldeinformationen zu stehlen.

    Schärfen Sie Ihr Gespür für Phishing

    Was ist E-Mail-Sicherheit?

    In der E-Mail-Sicherheit geht es darum, E-Mails im Hinblick auf schädliche Bedrohungen zu durchleuchten und den ausgehenden E-Mail-Datenverkehr zu schützen.

    Siehe „Best Practices für E-Mail-Sicherheit“

    Was ist Multi-Faktor-Authentifizierung (MFA)?

    MFA schützt Ihre Anwendungen durch eine zweite Sicherheitsüberprüfung. Erst wenn diese bestanden ist, wird den Usern Zugriff gewährt.

    Informationen zu MFA

    Was ist ein Phishing-Angriff durch Whaling?

    Ein Whaling-Angriff, auch bekannt als CEO-Betrug, ist eine verbreitete Form des Phishing-Angriffs.

    Erkennen eines Whaling-Angriffs

    Was sind Kennwortsicherheit und Kennwortschutz?

    Durch Kennwortsicherheit und -schutz wird die Identität eines Users überprüft und der Zugriff auf Ressourcen eingeschränkt.

    Informationen zur Kennwortsicherheit

    Was ist Cyberkriminalität?

    Als Cyberkriminalität gelten rechtswidrige Aktivitäten, die im Zusammenhang mit Computern, dem Internet oder Netzwerkgeräten stehen.

    Wie Sie Cyberkriminalität verhindern können

    E-Book

    Phishing für Dummies

    Lesen Sie unseren Leitfaden zum Thema Phishing. Informieren Sie sich über neue Bedrohungen, lernen Sie die Schwachstellen Ihres Unternehmens kennen und erfahren Sie, wie Sie Schwachstellen beheben können – damit Sie den neuen Phishing-Bedrohungen immer einen Schritt voraus sind.

    E-Book lesen