Vishing

Cyberkriminelle nutzen hierbei eine Kombination aus technischer und emotionaler Manipulation:

Auf technischer Ebene können Betrüger ihre Rufnummer verbergen und vortäuschen, von einer anderen Nummer aus anzurufen. Auf emotionaler Ebene nutzen Angreifer geschickte Gesprächstechniken, um Vertrauen aufzubauen. Dadurch lassen die Angreifer es für ihre Opfer plausibel und notwendig erscheinen, sofort zu handeln und sensible Daten preiszugeben oder Überweisungen zu tätigen. Um glaubwürdiger zu erscheinen, können Betrüger bei gezielteren Angriffen auch zuvor gesammelte Informationen aus sozialen Medien oder vorherigen Anrufen verwenden, um Betroffene zu manipulieren. Gerade die direkte Ansprache übers Telefon ist hier besonders gefährlich, da sich im persönlichen Gespräch leichter Druck aufbauen lässt und Betroffene keine Zeit zur Reflektion bekommen.

Im Folgenden stellen wir Ihnen Beispiele für Vishing vor, die jedoch auch in abgewandelter Form sowie im DATEV-Kontext auftreten können:

• Automatisierte Anrufe:
  Durch den Einsatz von Sprachdialogsystemen oder Call-Centern wird eine große Anzahl von Telefonnummern abtelefoniert. Betroffenen wird in einem solchen Telefonat vorgetäuscht, dass deren Bankkonto ungewöhnliche Aktivitäten aufweist. Mit einem Frage-Antwort-Prozess versuchen Social Engineers, Betroffene nach und nach dazuzubringen, sensible Daten preiszugeben. Auf diese Weise gelangen die Betrüger an Kreditkartennummern, Bankdaten, Sicherheits-PINs, TANs und andere vertrauliche Daten und können diese dann für ihre Zwecke nutzen.

• Support-Betrug:
  Hierbei gibt sich ein Social Engineer als Support-Mitarbeiter eines bekannten Unternehmens aus. Er ruft Mitarbeiter jenes Unternehmens an, in der Hoffnung, einen Angestellten zu finden, der technische Hilfe benötigt. Sobald Hilfe angenommen wird, nutzt der Social Engineer die Gelegenheit, um über Fernzugriffssoftware Schadsoftware zu installieren und das Unternehmen zu infiltrieren.

• KI-Stimmverfälschung:
  Bei dieser Vishing-Variante handelt es sich bereits um gezieltere Angriffe. Mittels KI-Software wird die Stimme und Sprechweise vertrauter Personen imitiert. Um eine Stimme täuschend echt nachzubilden, braucht es nur wenige Worte einer Person. Diese können Social Engineers aus vorherigen Telefongesprächen, Videos oder über Social Media sammeln. Dialoge sind mithilfe der KI-Software flexibel anpassbar.

Absender, Betreff, Content – diese drei Komponenten sind entscheidend, um Vishing-Angriffe frühzeitig zu erkennen und abzuwehren. Die ABC-Regel bietet eine strukturierte Methode, um Anrufe auf mögliche Bedrohungen hin zu überprüfen.

Absender prüfen:
Fragen Sie sich, ob Sie einen Anruf dieser Person oder dieses Unternehmens erwarten. Wenn der Anruf unerwartet ist, seien Sie besonders vorsichtig. Wenn der Anrufer behauptet, Mitarbeiter eines bekannten Unternehmens zu sein, informieren Sie diesen über einen baldigen Rückruf und legen Sie auf. Rufen Sie dann die offizielle Nummer des Unternehmens zurück, um die Echtheit des Anrufs zu überprüfen.

Betreff prüfen:
Anrufe, die unerwartete Probleme oder dringende Angelegenheiten erwähnen, können verdächtig sein. Angreifer verwenden oft Druck und Dringlichkeit, um Betroffene zu schnellen, impulsiven Handlungen zu verleiten. Seien Sie skeptisch bei Anrufen, die sofortige Maßnahmen oder die Preisgabe sensibler Informationen verlangen.

Content prüfen:
Achten Sie auf die Sprache und den Ton des Anrufers. Professionelle Anrufe von legitimen Organisationen und Unternehmen sind in der Regel höflich und sachlich. Wenn ein Anrufer aggressiv oder bedrohlich wirkt, ist das ein Warnsignal. Seien Sie vorsichtig, wenn nach persönlichen oder finanziellen Informationen gefragt wird.

Sind Sie von einem Vishing-Angriff im DATEV-Kontext betroffen?
Dann können Sie dies an folgende E-Mail-Adresse melden: abuse@datev.de

Dadurch haben wir die Möglichkeit, den Vorfall in Abstimmung mit Ihnen im Bereich Betrugsversuche im DATEV-Kontext zu dokumentieren – selbstverständlich anonym und vertraulich. Sie helfen uns damit, zeitnah weitere Kunden und Mitglieder zu warnen.

Wie Sie sich im Falle eines IT-Sicherheitsvorfalls verhalten sollten, finden Sie unter Hilfe für den Ernstfall.