Telefon-Phishing oder auch Vishing bezeichnet Betrugsanrufe, bei denen Cyberkriminelle sich als IT-Support, Dienstleister oder Führungskraft ausgeben und mittels Social Engineering versuchen, Zugangsdaten, 2FA-Codes oder Handlungen wie Überweisungen zu erschleichen. Der Beitrag erklärt typische Maschen wie Spoofing, Rückrufbetrug und den Einsatz KI-gestützter Stimmen, zeigt klare Warnsignale und ordnet die Risiken für Unternehmen ein. Außerdem werden konkrete Schutzmaßnahmen vorgestellt – von Verifikation über bekannte Kanäle bis hin zu sinnvollen Sofortschritten bei Verdacht.
Was ist Vishing?
Vishing ist Telefon-Phishing: Cyberkriminelle versuchen am Telefon, an Zugangsdaten, 2FA-Codes oder interne Informationen zu kommen oder Personen zu riskanten Handlungen zu bewegen. Dabei nutzen sie Social Engineering, also psychologische Tricks wie Vertrauen, Hilfsbereitschaft, Angst oder Zeitdruck. Häufig geben sich Täter als Mitarbeitende bekannter Unternehmen aus, etwa IT-Support, Telefonanbieter oder Dienstleister. Teilweise werden sogar Deepfakes eingesetzt, bei denen Stimmen, zum Beispiel die einer Führungskraft, realistisch imitiert werden. Vishing steht dabei oft im Zusammenhang mit anderen Methoden wie Smishing (Betrug per SMS), um potenzielle Opfer über mehrere Kanäle zu erreichen.
Wie läuft ein Vishing-Angriff ab?
Es gibt zwei typische Wege: Entweder rufen Angreifer direkt an oder sie ködern Betroffene so, dass diese zurückrufen oder Kontakt aufnehmen, etwa über gefälschte E-Mails oder nachgeahmte Warnmeldungen von Sicherheitssoftware. Ein häufiger Trick ist Rufnummern-Spoofing: Die angezeigte Nummer wirkt seriös, ist aber manipuliert. Ziel ist meist, dass Geld überwiesen, Fernzugriff erlaubt oder Informationen preisgegeben werden, sodass Betrüger weitere Schritte vorbereiten können. In manchen Fällen werden Informationen über Personen oder Abläufe gesammelt, um spätere Angriffe zu präzisieren und weitere Opfer zu betrügen.
Eine besondere Masche sind verpasste Anrufe („Rückrufbetrug“). Das Telefon klingelt nur kurz, damit Personen zurückrufen. Dahinter stecken teure Mehrwertnummern oder Tests, ob eine Nummer aktiv ist. Solche Wellen werden oft automatisiert per Robo-Dialing durchgeführt, was Betrügern hilft, viele potenzielle Opfer schnell zu erreichen.
Wir empfehlen:
IT-Check & Workshop
Wie sicher ist Ihre IT wirklich?
Ein strukturierter IT-Check und ein kompakter Workshop schaffen Klarheit über Risiken und Handlungsbedarf.
Woran erkennt man Vishing?
- Der Anrufer erzeugt Druck oder fordert „sofortiges Handeln“.
- Es geht um Codes, Passwörter, Fernzugriff oder Überweisungen.
- Die Anfrage passt nicht zu üblichen Prozessen oder wirkt unlogisch.
- Es werden ungewöhnlich gezielte Fragen zu persönlichen Daten, Rollen oder Zuständigkeiten gestellt, um Personen zu verunsichern und leichter zu betrügen.
Wie kann man sich vor Vishing schützen?
- Unbekannte oder unterdrückte Nummern kritisch behandeln: Solche Anrufe sollte man nur annehmen, wenn man einen klaren Grund erwarten. Bei Unsicherheit lieber nicht rangehen oder sofort beenden, um nicht zum Opfer zu werden.
- Rufnummer nicht als Beweis werten: Durch Spoofing kann die angezeigte Nummer seriös wirken. Deshalb sollte man nicht automatisch auf das Display vertrauen.
- Identität aktiv prüfen: Name, Abteilung und Anlass nennen lassen und den Kontakt über einen zweiten Kanal verifizieren, zum Beispiel über die offizielle Zentrale, ein internes Telefonbuch oder ein bekanntes Ticket-System.
- Kontrollfragen stellen: Informationen abfragen, die nur echte Mitarbeitende oder autorisierte Dienstleister kennen, etwa Ticketnummer, vereinbarter Ansprechpartner oder interne Referenzen.
- Zeitdruck konsequent stoppen: Vishing arbeitet häufig mit Angst und Dringlichkeit. Aufbau von Druck ist ein Warnsignal; Rückruf nach Prüfung einfordern oder das Gespräch beenden.
- Keine sensiblen Daten herausgeben: Passwörter, 2FA-Codes, TANs, persönliche Daten oder interne Projektinformationen niemals telefonisch weitergeben, auch nicht an vermeintlichen „Support“.
- Keinen Fernzugriff erlauben: Keine Tools installieren, keine Links öffnen und keine Remote-Software aktivieren, solange die Anfrage nicht eindeutig legitimiert ist.
- Rückruf nur über bekannte Nummern: Für Rückrufe ausschließlich offizielle, selbst recherchierte Kontaktdaten nutzen, nicht die im Anruf genannte oder angezeigte Nummer.
- Vorfall melden und absichern: Verdächtige Anrufe intern an IT/Security melden. Bei Datenabfluss Passwörter ändern, Konten sperren lassen, 2FA prüfen, Geräte/Accounts kontrollieren und gegebenenfalls Zahlungen stoppen. So wird verhindert, dass Cyberkriminellen weitere Methoden für Betrugs-Folgeangriffe gelingen oder weitere Opfer entstehen.
Fazit
Vishing zeigt, wie gezielt Cyberkriminelle am Telefon Vertrauen ausnutzen, um an sensible Informationen oder Handlungen zu gelangen. Entscheidend ist daher, Auffälligkeiten wie Zeitdruck, Code-Abfragen oder Fernzugriffsforderungen früh zu erkennen und nicht in Routinen zu verfallen. Klare Prozesse zur Verifikation, konsequente Zurückhaltung bei sensiblen Daten und eine schnelle interne Meldung im Verdachtsfall reduzieren das Risiko deutlich und stärken die Cybersicherheit im Unternehmen nachhaltig.
