Der Microsoft-Support, der anruft, um vor einem Software-Problem zu warnen. Das Steueramt, das per Sprachnachricht mit einer Busse droht, sollte der offene Betrag nicht umgehend überwiesen werden. Die Hausbank, die telefonisch mitteilt, dass das Konto gesperrt wurde: Würden Sie einen solchen Vishing-Angriff erkennen?
Sie befinden sich hier:
Was ist Vishing und wie können Sie sich davor schützen?
Beim Vishing rufen Betrüger:innen als angebliche Mitarbeiter:innen von Banken, Versicherungen, Finanzämtern, Kunden- oder Supportcentern an, mit dem Ziel, potenziellen Opfern vertrauliche Daten oder Geld zu entlocken. Wie die Visher:innen dabei vorgehen und wie Sie sich schützen können, erfahren Sie in diesem Beitrag.
Was ist Vishing?
Vishing ist ein Phishing-Angriff, der per Telefonanruf oder mittels einer Sprachnachricht erfolgt. Betrüger:innen nutzen diese Form des Datenklaus immer häufiger, da sie sehr effizient ist. Ein persönliches Gespräch schafft mehr Vertrauen als eine schriftliche Kontaktaufnahme. Zudem fordert ein Anruf eine direkte Reaktion, was verhindert, dass die potenziellen Opfer Zeit haben, die Situation richtig einzuordnen. Das Ziel ist also, Sie zu einer sofortigen Handlung zu zwingen.
Mehr über Phishing lesen Sie in unserem Beitrag «Datenklau im Netz: Phishing auf Anzeigenplattformen».
Wie gehen Visher:innen vor?
Visher:innen geben sich gerne als Bankmitarbeiter:innen, Finanzbeamte oder Versicherungsmakler:innen aus, um persönliche Daten wie Adressen, Kontodaten oder Passwörter zu erschleichen. Oder sie täuschen als Support-Mitarbeiter:innen ein Software-Problem vor, für dessen Behebung ein Programm heruntergeladen werden muss. Darin verbirgt sich eine Schadsoftware, um persönliche Daten zu stehlen. Es gibt auch Visher:innen, die potenziellen Opfern vorgaukeln, in einem Gewinnspiel gewonnen zu haben. Um den Preis zu erhalten, sollen zuerst die Kontodaten angegeben werden. Welche Masche sie auch anwenden, eins haben sie alle gemein. Die Geschichten sind immer gründlich durchdacht und die Betrüger:innen setzen auf Social Engineering-Taktiken wie Einschüchterung oder Druckausüben, um an ihr Ziel zu kommen.
Wie weiss ich, dass meine Bank mich anruft?
Einige Visher:innen geben vor, dass das Konto gesperrt wurde und der Computer überprüft werden muss, bevor es wieder entsperrt werden kann. Dafür sollen die Kund:innen eine Remote-Software wie AnyDesk installieren. Melden sich diese anschliessend im Onlinebanking an, erhalten die Betrüger:innen ebenfalls Zugang. Andere Visher:innen verzichten auf ein persönliches Gespräch und hinterlassen stattdessen eine Sprachnachricht, in der sie beispielsweise mitteilen, dass mit dem Konto etwas nicht in Ordnung sei. Wer zurückruft, hört eine Ansage, die auffordert, Zugangs- oder Kartendaten zu hinterlassen. Wichtig: Finanzdienstleister fragen ihre Kund:innen zur Authentisierung beispielsweise nach dem Kontostand, aber niemals nach vertraulichen Daten. Wer unsicher ist, ob es sich um einen Vishing-Anruf handelt, sollte das Gespräch beenden und die offizielle Nummer der Bank anrufen.
Fünf Tipps von PostFinance zu Ihrem Schutz
- Verraten Sie unter keinen Umständen Ihre Debit- oder Kreditkartendaten oder vertrauliche Informationen wie Logindaten oder die PIN
- Geben Sie niemals Zugangsdaten und Passwörter auf Internetseiten ein, die Sie per Link erhalten haben
- Nutzen Sie für einen optimalen Schutz die Zwei-Faktor-Authentifizierung
- Lassen Sie Ihre Karten bzw. den Zugang zum Onlinebanking sperren, falls jemand an Ihre Daten gelangt ist
- Informieren Sie im Verdachts- oder Schadenfall sofort Ihr Finanzinstitut
Welche Auswirkungen kann Vishing haben?
Sind Visher erfolgreich, können sie auf Kosten ihrer Opfer einkaufen, Zahlungen tätigen oder Kredite aufnehmen. So können das ganze Geld und vielleicht auch Sozialleistungen verloren gehen – oder gar Schulden entstehen. Immer öfter erfragen Betrüger:innen auch weniger vertrauliche Informationen, etwa zum Geschlecht, Namen oder Alter, die sie dann im Internet verkaufen oder selbst für einen Identitätsdiebstahl nutzen. Es gibt zudem Kriminelle, die Telefonate mitschneiden, um die Stimmaufnahme für Deepfakes einzusetzen. Betrüger:innen zu erwischen ist schwierig, daher ist die Wahrscheinlichkeit, das Geld zurückerstattet zu bekommen, gering.
Wie kann man sich vor Vishing schützen?
Weder Unternehmen und Finanzinstitute noch Ämter oder die Polizei erfragen per Telefon vertrauliche Informationen. Wer dazu aufgefordert wird respektive Passwörter ändern oder Kreditkartendaten verifizieren soll, legt am besten sofort auf. Es dürfen aber niemals sensible Daten preisgegeben werden, und keinesfalls sollten aufgrund des Anrufs Links angeklickt, Anhänge geöffnet, Programme installiert oder Fernzugriff auf den Computer gewährt werden. Eine Möglichkeit, um sich vor Vishing zu schützen, ist, keine Anrufe von unbekannten Nummern anzunehmen. Allerdings können auch hinter angezeigten Rufnummern Betrüger:innen stecken. Mit sogenannten Spoofing-Programmen lassen sich nämlich einfach offizielle Telefonnummern vortäuschen. Rufen Sie daher bei einem Vishing-Verdacht die Nummer von einem anderen Telefon aus an oder fragen Sie direkt beim Kundenservice des Unternehmens an.
Was tun, wenn man Opfer eines Vishing-Anrufs wurde?
Wer am Telefon persönliche Daten weitergegeben hat und befürchtet, auf eine:n Visher:in hereingefallen zu sein, sollte sofort handeln: sprich das Passwort ändern, die betroffene Karte sperren und umgehend das Finanzinstitut kontaktieren. Informieren Sie ausserdem das Unternehmen, in dessen Namen die Betrüger:innen Sie kontaktiert haben, und erstatten Sie Anzeige bei der Polizei. Melden Sie den Betrug auch beim Nationalen Zentrum für Cybersicherheit NCSC auf Der Link öffnet sich in einem neuen Fenster report.ncsc.admin.ch. Generell gilt: Je schneller reagiert wird, desto grösser ist die Wahrscheinlichkeit, dass man mit einem blauen Auge davonkommt.
Wissenswertes rund um die Sicherheit
Mehr über weitere Betrugsarten lesen Sie in unserem Beitrag «Die Maschen der Betrüger:innen. Das sollten Sie wissen». Viele Informationen für Privatpersonen bietet zudem das Nationale Zentrum für Cybersicherheit (NCSC) auf Der Link öffnet sich in einem neuen Fenster ncsc.admin.ch oder besuchen Sie die Seite Der Link öffnet sich in einem neuen Fenster skppsc.ch der Schweizerischen Kriminalprävention (SKP). Und die Hochschule Luzern bietet mit «eBanking – aber sicher!» verschiedene Kurse auf Der Link öffnet sich in einem neuen Fenster ebas.ch an.