Voice-Phishing (Vishing)

Q: Was ist Voice Phishing (Vishing)?

Voice Phishing , auch Vishing genannt, ist eine Form des Phishing, bei der Betrüger versuchen, über Telefonanrufe vertrauliche Informationen wie Passwörter, Kontodaten oder Zugangsdaten zu erlangen – häufig unter falscher Identität, etwa als Bank oder Behörde.

Q: Welche Rolle spielen KI und VoIP beim Vishing?

Mithilfe von KI und Voice Cloning können Angreifer täuschend echte Stimmen erzeugen. Dadurch wirken Anrufe authentischer und sind schwerer zu entlarven – was die Bedrohungslage erheblich verschärft.

Q: Ist Vishing auch für Kommunen, Kommunalunternehmen gefährlich?

Ja, sehr sogar. Besonders Mitarbeitende mit Zugang zu sensiblen Daten oder Systemen sind beliebte Ziele. Daher sollten Kommunen Ihre Mitarbeiter regelmäßig mithilfe von Social Engineering-Trainings und Phishing-Simulationen sensibilisieren. Hier klicken und mehr zum Thema Social Engineering erfahren. Hier klicken!

Q: Wie erkenne ich einen Vishing-Anruf?

Typische Merkmale sind: unerwartete Anrufe, hoher Zeitdruck, ungewöhnliche Forderungen (z. B. Preisgabe von Zugangsdaten), automatisierte Ansagen oder computergenerierte Stimmen und Rufnummern, die nicht zurückgerufen werden können.

Q: Was tun, wenn ich auf einen Vishing-Anruf hereingefallen bin?

Legen Sie sofort auf und geben Sie keine persönlichen Informationen preis . Notieren Sie möglichst Uhrzeit, Telefonnummer und Inhalt des Anrufs und melden Sie den Vorfall an Ihre Bank, IT-Abteilung oder die Polizei.

Wenn die Stimme Ihre sensiblen Daten klaut

Voice Phishing – kurz Vishing – nutzt gefälschte Anrufe,
um sensible Daten zu stehlen.
Mit KI, Voice Cloning und psychologischer Manipulation wird es immer schwerer,
echte von betrügerischen Anrufen zu unterscheiden.
Hier erfahren Sie, wie die Masche funktioniert – und wie Sie sich effektiv schützen

Voice Phishing (Vishing) was ist das?

Vishing, auch bekannt als Voice Phishing, ist eine Form des Telefonbetrugs, bei der Täter gezielt versuchen, über betrügerische Telefonanrufe – mit ähnlichen Methoden wie bei anderen Phishing-Methoden – sensible Daten zu stehlen oder Schadsoftware zu verbreiten. Im Gegensatz zum klassischen Phishing setzen sie dabei auf die menschliche Stimme, um Vertrauen aufzubauen. Mithilfe von KI (künstlicher Intelligenz) kommen zunehmend künstliche Stimmverzerrung und Voice Cloning (Stimmklone) zum Einsatz. Zusätzlich bedienen sich die Angreifer gezielt Social-Engineering-Methoden, um ihre Opfer psychologisch zu manipulieren. Häufig werden solche Anrufe mit Smishing-Attacken (SMS-Phishing) kombiniert, um den Druck zu erhöhen und die Glaubwürdigkeit des Betrugs weiter zu steigern.

So läuft ein Voice Phishing Angriff ab: Methoden, Technik & Täuschung

Voice Phishing stellt eine zunehmend verbreitete Betrugsmasche dar. Um geeignete Schutzmaßnahmen ergreifen zu können, ist es wichtig zu verstehen, wie diese Methode funktioniert und welche Techniken dabei typischerweise zum Einsatz kommen.

Wie funktioniert Voice Phishing genau?

Ein typischer Vishing-Angriff verläuft oft in mehreren Schritten:

1. Informationsbeschaffung: Angreifer recherchieren öffentlich verfügbare Informationen über das Ziel.

2. Technische Vorbereitung: Mithilfe von Anrufer-ID-Spoofing (gefälschte Anrufernummer) erscheint der Anruf wie z. B. von einer Bank.

3. Anrufphase: Der Täter gibt sich als autorisierte Person aus (z. B. Bankberater oder Polizist).

4. Emotionale Manipulation: Es wird Druck erzeugt („Ihr Konto ist gesperrt!“) oder Angst geschürt („Sie sind Ziel eines Betrugsversuchs!“).

5. Datenabgriff: Das Opfer gibt im Stress persönliche Informationen preis.p

1. Informationsbeschaffung: Angreifer recherchieren öffentlich verfügbare Informationen über das Ziel. 2. Technische Vorbereitung: Mithilfe von Anrufer-ID-Spoofing (gefälschte Anrufernummer) erscheint der Anruf wie z. B. von einer Bank. 3. Anrufphase: Der Täter gibt sich als autorisierte Person aus (z. B. Bankberater oder Polizist). 4. Emotionale Manipulation: Es wird Druck erzeugt („Ihr Konto ist gesperrt!“) oder Angst geschürt („Sie sind Ziel eines Betrugsversuchs!“). 5. Datenabgriff: Das Opfer gibt im Stress persönliche Informationen preis.

Beliebte Methoden und Werkzeuge beim Vishing

Angreifer nutzen hochentwickelte Tools, um seriös zu wirken:

Spoofing-Software: Manipuliert die Anrufernummer.

Spracherkennungs-KI: Erzeugt täuschend echte Stimmen.

Robo-Calls: Automatisierte Anrufe zur Verbreitung von Angstbotschaften.

Whaling: Angriffe auf Führungskräfte mit besonders gezielter Ansprache – eine Sonderform des Spear-Phishing

Woran erkennt man Voice Phishing Anrufe?

Vishing-Anrufe lassen sich an mehreren eindeutigen Merkmalen erkennen, die bei genauer Beobachtung schnell Verdacht erregen. Besonders typisch ist eine auffällige Dringlichkeit, mit der der Anrufer versucht, sofortiges Handeln zu erzwingen – zum Beispiel mit Aussagen wie „Ihr Konto ist gesperrt“ oder „Ein Sicherheitsvorfall liegt vor“.

Ein weiteres häufiges Warnsignal ist eine unbekannte oder manipulierte Rufnummer, oft in Verbindung mit Anrufer-ID-Spoofing. Dabei erscheint eine vertrauenswürdige Nummer auf dem Display, obwohl der Anruf von einem ganz anderen Ort stammt. Auch automatisierte Anrufe mit computergenerierter Stimme oder ein unnatürlich wirkender Gesprächsfluss sind klare Hinweise.

Wenn der Anrufer persönliche Informationen wie Passwörter, Kreditkartendaten oder TANs abfragt, sollte man besonders wachsam sein – seriöse Institutionen fordern solche Angaben nicht telefonisch an. Ebenso verdächtig ist, wenn kein Rückruf möglich ist oder die angezeigte Nummer bei Rückruf ins Leere führt oder jemand völlig anderes erreicht wird.

Typisch sind außerdem ungewöhnliche Sprachmuster, ein überfreundlicher oder besonders ernster Ton und eine allgemeine Unsicherheit im Gespräch. Wer diese Warnzeichen erkennt, sollte das Gespräch sofort beenden und den Vorfall bei der echten Institution melden.

Beispiele für Vishing Attacken!

Transskript:

Visher: Guten Tag, Herr Mustermann. Mein Name ist Lisa Becker, ich rufe im Auftrag der Sicherheitsabteilung Ihrer Hausbank an. Es wurde heute ein ungewöhnlicher Zugriff auf Ihr Online-Konto festgestellt – aus dem Ausland.Wir möchten gemeinsam mit Ihnen prüfen, ob es sich um einen unberechtigten Zugriff handelt, damit wir Ihr Konto vor einem möglichen Betrugsversuch schützen können. Haben Sie in den letzten 24 Stunden einen Login aus Frankreich durchgeführt?

Opfer:Äh… nein, ich war nicht in Frankreich. Was soll ich denn jetzt tun?

Visher: Danke für die Rückmeldung. Dann handelt es sich mit hoher Wahrscheinlichkeit um einen unbefugten Zugriff. Um das Konto sofort zu sichern, benötige ich einmal kurz Ihre Kundennummer und die letzten vier Ziffern Ihrer EC-Karte. Danach erhalten Sie per SMS einen TAN-Code, den Sie mir bitte kurz durchgeben – das ist nötig, um die Sperrung zu aktivieren.

Opfer: Sie brauchen also… meine Kundennummer und die Kartennummer?

Visher: Ja, ganz genau. Keine Sorge – das Gespräch wird aus Sicherheitsgründen mitprotokolliert. Danach ist Ihr Konto wieder voll geschützt.

Transskript:

Visher: Guten Tag, Frau Müller. Mein Name ist Martin Schröder, ich bin vom IT-Dienstleister der Kommune beauftragt – wir betreuen u. a. das Ratsinformationssystem und das interne Dokumentenmanagement.
Wir haben heute Vormittag bei einem Routinecheck einen potenziellen Sicherheitsvorfall festgestellt – betroffen ist vermutlich auch Ihr Benutzerkonto im DMS.
Damit wir das System absichern können, brauche ich Ihre Mitarbeit. Ich würde Sie bitten, sich jetzt einmal am System anzumelden und mir Ihren aktuellen Benutzernamen zu bestätigen. Anschließend sende ich Ihnen per E-Mail einen Authentifizierungscode.

Opfer: Ähm… okay. Ich bin angemeldet – Benutzername ist m.mueller.

Visher: Danke. Jetzt erhalten Sie in Kürze eine E-Mail mit einem sechsstelligen Code – den geben Sie mir bitte einmal durch, damit ich den Systemzugang sichern kann.

Hinweis: In Wahrheit handelt es sich um einen Betrugsversuch: Der Täter nutzt die Daten für einen unautorisierten Fernzugriff. Die E-Mail enthält eine echte Authentifizierungsanfrage von Microsoft 365 oder einer anderen Plattform, ausgelöst durch den Angreifer.

Transskript:

Empfangskraft/Sachbearbeiterin: Guten Tag, was kann ich für Sie tun?

Anrufer: Wir haben heute Vormittag eine Unregelmäßigkeit im zentralen Login-System festgestellt – mehrere fehlgeschlagene Anmeldeversuche mit Ihrer internen IP-Adresse. Wir müssen prüfen, ob es sich dabei um einen echten Systemfehler oder um einen externen Angriff handelt.

Empfangskraft: Ähm… okay. Was genau brauchen Sie von mir?

Anrufer: Damit wir das Problem gezielt eingrenzen können, bräuchten wir kurz Ihren aktuellen Benutzername und – falls zur Hand – Ihre letzten zwei erfolgreichen Logins. Außerdem benötigen wir eine Bestätigung der aktuell eingesetzten Sicherheitssoftware.

Empfangskraft: Moment, also mein Benutzername ist m.schmidt… die letzten Logins weiß ich nicht auswendig…

Anrufer: Kein Problem, wir können den Abgleich über unser System machen. Wenn Sie mir kurz den Verifizierungscode aus Ihrer E-Mail oder Authenticator-App nennen könnten, den wir gerade gesendet haben, können wir die Sitzung absichern.

Empfangskraft: Es kam gerade eine Authenticator-Benachrichtigung… Moment… der Code ist 734928.

Anrufer: Perfekt. Vielen Dank. Damit haben wir den Zugriff gesichert. Sie können ganz normal weiterarbeiten. Wir melden uns, falls weitere Schritte notwendig sind.

Empfangskraft: Okay… danke.

So schützen Sie sich von Vishing Angriffen!

Ein effektiver Schutz beginnt damit, niemals persönliche Daten am Telefon preiszugeben, besonders bei unerwarteten Anrufen. Stattdessen sollte man das Gespräch beenden und selbst über bekannte Nummern zurückrufen. Technische Hilfsmittel wie Spam-Filter-Apps können dabei helfen, verdächtige Anrufe zu blockieren.

Im Kommunalen bzw. Unternehmensumfeld ist Mitarbeitersensibilisierung entscheidend. Da eines der größten Risiko-Faktoren von solchen Angriffen der Faktor Mensch ist. Eine bewährte Methode dabei ist: Social Engineering. Diese gezielten Tests machen Risiken greifbar, fördern Aufmerksamkeit und trainieren sicheres Verhalten – ohne reale Schäden zu verursachen.

So wird der Mensch zur starken Verteidigungslinie gegen Voice-Phishing.

Fazit: Wachsamkeit schützt vor Vishing – trotz moderner Täuschungstechniken

Vishing ist eine gefährliche Betrugsmasche, die durch den Einsatz von KI und modernen Technologien immer schwerer zu erkennen ist. Täuschend echte Stimmen, gefälschte Nummern und automatisierte Anrufe erschweren die Unterscheidung zwischen echt und betrügerisch. Umso wichtiger ist es, wachsam zu bleiben, keine sensiblen Daten am Telefon preiszugeben und sich regelmäßig zu informieren. Besonders in Unternehmen helfen Schulungen und Social Engineering Kampagnen, das Bewusstsein zu stärken. Denn auch in Zeiten technischer Täuschung gilt: Aufmerksamkeit bleibt der beste Schutz vor Voice Phishing.

ℹ Möchten Sie Ihr Unternehmen vor Phishing schützen? Kontaktieren Sie uns für eine individuelle und maßgeschneiderte Phishing-Simulation!

Häufig gestellte Fragen (FAQ) zu Voice Phishing Anrufen

Was ist Voice Phishing (Vishing)?

Voice Phishing, auch Vishing genannt, ist eine Form des Phishing, bei der Betrüger versuchen, über Telefonanrufe vertrauliche Informationen wie Passwörter, Kontodaten oder Zugangsdaten zu erlangen – häufig unter falscher Identität, etwa als Bank oder Behörde.

Welche Rolle spielen KI und VoIP beim Vishing?

Ist Vishing auch für Kommunen, Kommunalunternehmen gefährlich?

Wie erkenne ich einen Vishing-Anruf?

Was tun, wenn ich auf einen Vishing-Anruf hereingefallen bin?

actago GmbH – Beratung

Softwarelösungen

actago4IT GmbH