Definition Vishing Was ist ein Vishing?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Vishing ist eine Internetbetrugsmethode. Sie verwendet im Gegensatz zum Phishing nicht E-Mails oder Links, um an sensible Informationen wie Passwörter oder persönliche Daten des Opfers zu gelangen, sondern nutzt das persönliche Gespräch während eines Telefonats. Auf technischer Seite kommen häufig automatisierte Voice-over-IP-Anrufe mit verfälschter Absender­rufnummer zum Einsatz.

Firma zum Thema

Unter Vishing versteht man Phishing per telefonischer Kontaktaufnahme.
Unter Vishing versteht man Phishing per telefonischer Kontaktaufnahme.
(Bild: gemeinfrei / Pixabay )

Das Wort „Vishing“ setzt sich aus den englischen Wörtern „Voice“, „Passwort“ und „Fishing“ zusammen. Einige Quellen nennen „Voice over IP (VoIP)“ und „Phishing“ als Bestandteile des Vishings. Es handelt sich um eine Internetbetrugsmethode, die auf einem persönlichen Telefongespräch zwischen Angreifer und Opfer basiert. Ziel ist es, an sensible Informationen wie Anmeldedaten, Passwörter, Kontodaten oder andere persönliche Daten des Opfers zu gelangen, um diese für betrügerische Aktivitäten zu verwenden. Im Gegensatz zum Phishing findet die Kontaktaufnahme aber nicht über eine E-Mail oder einen Internetlink, sondern über ein Telefonat statt. Opfer des Vishings können sowohl Privatpersonen als auch Mitarbeiter oder Führungskräfte eines Unternehmens werden. Während des Telefonats wird der Angerufene dazu aufgefordert, sensible Daten zu nennen oder Transaktionen durchzuführen. Angreifer wenden die Überrumpelungstaktik an, berufen sich auf ihre Autorität oder bauen unterschwelligen Druck auf. Auf technischer Seite kommt häufig die VoIP-Technologie zum Einsatz. Die Kontaktaufnahme findet in diesem Fall über automatisierte VoIP-Anrufe mit verfälschter Absenderrufnummer statt.

Der Ablauf und die verschiedenen Methoden des Vishings

Vishing wendet eine Kombination aus technischer Manipulation und emotionaler Beeinflussung an. Die VoIP-Technik eignet sich sehr gut dafür, eine Vielzahl an Telefonnummern über einen Dialer zu niedrigen Kosten automatisiert anzurufen. Erst wenn sich an der Gegenstelle jemand meldet, schaltet sich der Angreifer persönlich in das Telefonat ein. Die Absender­rufnummern lassen sich mit relativ geringem Aufwand so manipulieren, dass die tatsächliche Herkunft des Anrufs verschleiert ist. In einigen Fällen werden Opfer nach vorheriger Recherche beispielsweise in sozialen Netzen gezielt angerufen. Die zuvor gesammelten Informationen lassen sich einsetzen, um den Anruf authentischer wirken zu lassen.

Eine weitere Vishing-Variante ist der massenhafte Versand von E-Mails mit einer Telefonnummer oder das Einblenden einer Telefonnummer auf Internetseiten. Das Opfer wird dazu aufgefordert, sich unter der genannten Telefonnummer zu melden. Unabhängig davon, ob das Opfer anruft oder angerufen wird, gibt sich der Betrüger am Telefon beispielsweise als Mitarbeiter der Hausbank, als Supportmitarbeiter einer Softwarefirma oder als Beauftragter eines Gewinnspiels aus. Der Angreifer weist telefonisch auf ein Problem mit der Bankverbindung hin, möchte Support für ein technisches Problem leisten oder informiert über einen Gewinn. Das Opfer wird aufgefordert, Kontodaten zu nennen, eine Software auf dem Rechner zu installieren, sensible Daten zu liefern oder eine Gebühr zur Bestätigung eines Gewinns zu überweisen. Ist der Angreifer in Besitz der Daten, verwendet er sie für betrügerische Aktivitäten wie Banküberweisungen oder die Übernahme von Identitäten. Emotional wendet der Angreifer während des Telefonats Methoden wie die Überrumpelungstaktik an oder baut Druck durch die Dringlichkeit eines Problems auf.

Schutzmaßnahmen vor Vishing

Um sich vor dem Vishing zu schützen, sind folgende Maßnahmen möglich:

  • gesundes Misstrauen gegenüber unerwartete Telefonanrufen
  • den Anrufenden über eine selbst recherchierte Rufnummer zurückrufen
  • niemals sensible Daten wie Passwörter oder Kontodaten am Telefon nennen

(ID:47067042)

Über den Autor