Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Social Engineering Glossar

Vishing (Voice Phishing)

Telefonbasierter Social-Engineering-Angriff, bei dem Angreifer als IT-Support, Bank oder Behörde auftreten um Zugangsdaten, persönliche Informationen oder Überweisungen zu erschleichen. KI-gestützte Stimmklonierung macht Vishing 2024 besonders gefährlich - sogar Stimmen bekannter Personen werden nachgeahmt.

Vishing kombiniert das Vertrauen, das Menschen gegenüber Telefongesprächen haben, mit Social-Engineering-Techniken. Im Gegensatz zu E-Mail-Phishing können Angreifer im Gespräch direkt reagieren, Einwände entkräften und Druck ausüben - das macht Vishing besonders effektiv.

Warum Vishing funktioniert

Mehrere psychologische Faktoren spielen zusammen und machen Vishing so wirkungsvoll:

Vertrauen in Stimmen: Menschen vertrauen Telefongesprächen grundsätzlich mehr als E-Mails. Die Überzeugung „Eine echte Person hätte mich nicht angerufen wenn…” setzt die Skepsis herab.

Zeitdruck: Im Gespräch bleibt keine Zeit zum ruhigen Nachdenken und Analysieren - das Gegenteil einer E-Mail, die man in Ruhe prüfen kann.

Autorität: Ein vermeintlicher „IT-Support” kann glaubhaft behaupten „Ihr Konto wurde kompromittiert - sofort handeln!”, eine vermeintliche „Polizei” kann behaupten „Sie sind in eine Ermittlung verwickelt”.

Caller ID Spoofing: Angreifer können über günstige VoIP-Dienste beliebige Telefonnummern anzeigen lassen. „02xx - Sparkasse München” sieht für das Opfer völlig legitim aus.

Häufige Vishing-Szenarien

IT-Support-Betrug

Der Ablauf folgt einem bewährten Muster: Ein Anruf mit der Behauptung „Guten Tag, hier ist der IT-Support von Microsoft” führt zur Behauptung, ungewöhnliche Aktivität auf dem PC erkannt zu haben. Die Aufforderung zur Installation von TeamViewer oder einem ähnlichen Remote-Access-Tool gibt dem Angreifer vollständigen Zugriff auf den Computer - und damit auf Online-Banking, Passwörter und persönliche Daten. Optional wird am Ende eine Rechnung für die „Hilfe” in Rechnung gestellt.

Erkennungsmerkmale:

  • Microsoft und Windows rufen niemals unaufgefordert an
  • Aufforderung Remote-Access-Tools zu installieren
  • Anfrage nach Passwörtern „für die Diagnose”
  • Kreditkartenzahlung für vermeintlichen Support

Bank-Vishing (Phone Scam)

Der klassische Ablauf: Ein Anruf mit gespoofter Sparkassen-Nummer, dann „Sicherheitsabteilung, Ihr Konto zeigt verdächtige Transaktionen”, gefolgt von der Bitte um Bestätigung der TAN oder PIN - und schließlich die Plünderung des Kontos.

Eine modernere Variante nutzt SMS-Codes: Ein erster Anruf kündigt eine SMS an. Die SMS zeigt einen Code mit dem Hinweis „Nie weitergeben!” - und der Angreifer fragt im Gespräch genau diesen Code zur „Identitätsverifikation” an. Mit dem Code erfolgt die Account-Übernahme oder eine Transaktion wird bestätigt.

Realität: Banken fragen niemals nach PINs, TANs oder Passwörtern!

CEO-Vishing (Voice BEC)

Der Angreifer recherchiert CFO und CEO vorab (LinkedIn, Website) und ruft dann den CFO an: „Hier [CEO-Name]. Ich bin gerade im Meeting, keine Zeit.” Es folgt die Behauptung eine M&A-Transaktion unter strikter Vertraulichkeit abzuschließen und die Anweisung, sofort einen hohen Betrag auf ein fremdes Konto zu überweisen - verbunden mit der ausdrücklichen Bitte, mit niemandem zu sprechen.

KI-gestützte Stimmklonierung (2024): Öffentliche Audio-Aufnahmen des CEOs (YouTube, Podcasts, Interviews) genügen modernen KI-Modellen um die Stimme in Echtzeit zu klonen. Der CFO hört die „echte” Stimme seines CEOs - eine Verifikation durch Rückruf wird damit erheblich schwieriger.

Realer Fall (2024, UK): WPP-CEO Mark Read wurde für eine Deepfake-Voice-Attacke in einem Teams-Meeting genutzt. Kriminelle verwendeten eine geklonte Stimme und ein gefälschtes Video für die CEO-Imitation. Der Betrugsversuch scheiterte - zeigt aber das Eskalationsniveau aktueller Angriffe deutlich.

Prävention:

  • Code-Wort-System für Finanzanweisungen - auch für CEOs
  • Finanzielle Anweisungen niemals per Telefon allein
  • Immer auf der bekannten, verifizierten Nummer des CEOs zurückrufen

KI und Vishing - die neue Bedrohungslage

Aktuelle Voice-Cloning-Tools senken die Einstiegshürde erheblich:

ToolFähigkeit
ElevenLabsStimmklonierung aus 30 Sekunden Audio
PlayHTEchtzeit-Stimmumwandlung während des Gesprächs
Resemble AIKommerzielle Stimmklonierung für verschiedene Anwendungen

Das Angriffsszenario mit KI:

  1. Audio-Material sammeln: LinkedIn-Video, YouTube-Interview (30-60 Sekunden reichen)
  2. KI-Modell trainieren
  3. Echtzeit-Voice-Cloning während des Anrufs
  4. Angreifer spricht - das Ziel hört die geklonte Stimme

Gegenmaßnahmen gegen KI-Vishing:

  • Vorab vereinbarte Code-Wörter die dem Angreifer unbekannt sind: „Sind Sie wirklich [Name]? Sagen Sie unser Stichwort!”
  • Video-Call-Verifikation (live, nicht aufgezeichnet)
  • Rückruf auf verifizierte Nummer aus dem Telefonbuch - niemals den Rückruf über die anrufende Nummer nutzen

Schutzmaßnahmen für Unternehmen

Technisch

  • Caller-ID-Verification: STIR/SHAKEN (in den USA und UK etabliert, in Deutschland noch begrenzt verfügbar)
  • Spam-Call-Filter: Microsoft Teams Anti-Robocall und ähnliche Lösungen
  • Callback-Verification: Immer auf die offizielle, vorab bekannte Nummer zurückrufen - nie den Rückruf über die angezeigte Nummer nutzen

Prozessual

  • Vier-Augen-Prinzip für alle Finanztransaktionen ab einem definierten Betrag
  • Festgelegte Kommunikationswege für sensitive Aktionen
  • Code-Wörter für ungewöhnliche CEO/CFO-Anweisungen
  • „Nein sagen ist OK”: Mitarbeiter darf auflegen und zurückrufen - ohne Konsequenzen

Trainings

  • Vishing-Simulation mit simulierten Anrufen an Mitarbeiter
  • Spezialtraining für Finance, HR und IT (Hochrisikogruppen)
  • Rollenspiele: Wie antworte ich auf Druck? Was sage ich wenn ich unsicher bin?

Erkennungs-Checkliste im Anruf

Red Flags - bei diesen Signalen auflegen:

  • Unangekündigter Anruf mit dringendem Thema
  • Anfrage nach Passwort, PIN, TAN oder Bestätigungscode
  • Aufforderung Software zu installieren
  • „Sprechen Sie mit niemandem” - das ist ein klares rotes Signal
  • Zeitdruck: „Jetzt sofort, keine Zeit”
  • Unbekannte Rufnummer trotz bekanntem Absender-Display

Sichere Reaktion:

  • Auflegen
  • Offizielle Nummer zurückrufen (aus Telefonbuch oder Firmen-Website - nicht den Rückruf über die angezeigte Nummer nutzen)
  • Den Anruf an IT-Security melden
  • Anweisungen über einen zweiten Kanal bestätigen (E-Mail oder Chat)

AWARE7 Leistungen zum Thema

Phishing-Simulation Security Awareness Training

Ausführlicher Wiki-Artikel

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Security Awareness Training: Wie die Human Firewall wirklich funktioniert

13 min Lesezeit

Verwandte Begriffe

Phishing Social Engineering - Die Psychologie des Angriffs Spear Phishing Whaling
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung