Sie erhalten einen Anruf. Die anrufende Person stellt sich als Mitarbeitende Ihrer Bank, des Finanzamts oder der IT-Abteilung Ihrer eigenen Organisation vor. Die Stimme klingt professionell, die Geschichte ist glaubwürdig und es herrscht Zeitdruck. Innerhalb von drei Minuten haben Sie Informationen preisgegeben, die Sie normalerweise niemals einer fremden Person mitteilen würden. Willkommen in der Welt des Voice Phishing.
Definition: Voice Phishing (Vishing)
Voice Phishing, kurz Vishing, ist eine Form des Social Engineering, bei der ein Angreifer versucht, per Telefon sensible Informationen zu erlangen. Anders als beim E-Mail-Phishing, bei dem ein Opfer selbst auf einen Link klicken muss, ist Vishing eine direkte und persönliche Interaktion. Der Angreifer passt seine Geschichte in Echtzeit an die Reaktionen des Opfers an.
Wie funktioniert ein Vishing-Angriff?
Ein typischer Vishing-Angriff verläuft in vier Phasen: Vorbereitung, Kontaktaufnahme, Manipulation und Ausnutzung. Der Angreifer sammelt im Vorfeld Informationen über das Ziel, nimmt als vermeintlich vertrauenswürdige Partei Kontakt auf, setzt psychologischen Druck ein und nutzt die erlangten Informationen aus.
Warum ist Vishing so effektiv?
Die Wirksamkeit beruht auf drei Säulen: menschliche Interaktion, weil eine Stimme Vertrauen schafft; die Geschwindigkeit des Gesprächs, sodass kaum Zeit zum Nachdenken bleibt; und die Schwierigkeit technischer Erkennung, weil es keinen Spamfilter für Telefongespräche gibt.
Was können Sie tun?
Führen Sie ein Verifizierungsprotokoll ein, trainieren Sie Mitarbeitende regelmäßig mit realistischen Szenarien, testen Sie die Widerstandsfähigkeit mit Mystery Calls und schaffen Sie eine Kultur, in der verdächtige Anrufe gemeldet werden.
