Sie verwenden einen veralteten Browser. Es können Darstellungsfehler und technische Probleme auftreten.
OK, SCHLIESSEN
Stellen Sie sich vor: Sie rufen bei der Hotline einer Buchungsplattform oder eines Kreditinstituts an, unterhalten sich mit dem Mitarbeiter, geben Daten preis – und müssen anschliessend feststellen, dass die gesamte Aktion gefakt war. Ein Albtraum! Doch genau dies ist der AXA Kundin Laura Zanetti passiert.
Zwei Wochen Fuerteventura: Sonne, Strand, Surfen! Laura Zanetti* und ihre Freundin Manuela Wyler hatten sich seit Monaten darauf gefreut. Doch ein paar Tage vor der Reise wurde der Freundin im Tram das Portemonnaie gestohlen – mitsamt ihrer Identitätskarte.
Laura Zanetti meldete sich bei der angeblichen Hotline einer Fluggesellschaft, um zu klären, ob ihre Freundin auch ohne ID von Zürich nach Fuerteventura reisen kann. Im Laufe des Gesprächs wurde die Stadtzürcherin gebeten, eine App herunterzuladen, um ihre Daten bequem und sicher einzugeben. In dieser App lud Zanetti ein Foto ihrer eigenen ID hoch und gab Bankdaten sowie weitere persönliche Daten ein.
«Zu keinem Zeitpunkt wurde ich misstrauisch. Der Mitarbeiter war sehr freundlich und hilfsbereit. Die App hat wunderbar funktioniert. Und dass man einige Daten eingeben muss, wenn man ohne ID fliegen will, war für mich absolut nachvollziehbar.»
Was die 29-Jährige nicht wusste: Cyberkriminelle hatten eine falsche Telefonnummer im Internet platziert, die vorgab die Hotline der Fluggesellschaft zu sein. Im Nachgang wurde die Kundin von dem angeblichen Callcenter-Mitarbeiter aufgefordert, Daten innerhalb einer gefälschten App einzugeben.
Die Internetbetrüger verloren keine Zeit: Noch während Laura Zanetti mit dem Mitarbeiter telefonierte, wurde von ihrem Bankkonto Geld auf ein Krypto-Wallet-Konto transferiert, das die Kriminellen in ihrem Namen eröffnet hatten. Ein zweites Krypto-Konto wurde in Zanettis Namen auf der Plattform Ramp eröffnet – hier wurden jedoch keine Überweisungen getätigt.
Zum Glück hat Laura Zanetti eine private Cyberversicherung. Die AXA half ihr unter anderem dabei, den Diebstahl bei der Polizei zu melden, die gefakten Krypto-Konten zu deaktivieren – und kam schliesslich für den finanziellen Verlust von CHF 4781 (abzüglich eines Selbstbehalts von CHF 200) auf.
*Der Name wurde auf Wunsch der Kundin geändert, er ist der AXA bekannt.
Wie haben Sie Laura Zanetti in diesem Fall unterstützt?
Zunächst habe ich der Kundin geraten, eine neue Identitätskarte zu bestellen, denn es besteht in solchen Fällen akutes Risiko, dass die Identität im Darknet für betrügerische Aktivitäten missbraucht wird. Ausserdem empfahl ich ihr, den Vorfall bei der Polizei zu melden und Anzeige zu erstatten sowie eine neue Kreditkarte anzufordern und die alte sofort sperren zu lassen. Für die neue Kreditkarte sollte sie unbedingt auch eine Zwei-Faktor-Authentifizierung einrichten. Ich habe die Fake-Konten auf den Krypto-Wallets Moonpay und Ramp umgehend gemeldet und erfolgreich im Namen von Frau Zanetti deaktivieren lassen.
Des Weiteren habe ich Frau Zanetti geholfen, den Betrug bei ihren Banken zu melden. Hier hilft professionelle Unterstützung und eine gewisse Hartnäckigkeit. Die Banken lehnen eine Haftung meist ab, wenn der Kundin oder dem Kunden fahrlässiges Verhalten angelastet werden kann.
Vishing ist eine Form des Betrugs, bei dem Kriminelle Telefonanrufe nutzen, um persönliche Informationen ihrer Opfer zu stehlen. Der Begriff "Vishing" ist eine Kombination der Wörter "Voice" (Stimme) und "Phishing" (Betrug per E-Mail oder Textnachricht).
Das Hauptziel: persönliche Daten wie Bankdaten, Kreditkartennummern, Identitätskarte oder Zugangsdaten zu stehlen, um sich finanziell zu bereichern.
Auch der mentale Support ist wichtig. Wie konnten Sie hier helfen?
Jede und jeder stellt sich in einer solchen Situation die Frage: Wie konnte ich nur auf diese Masche reinfallen? Warum bin ich nicht misstrauisch geworden? Warum haben die Cyberkriminellen gerade mich ausgewählt? Laura Zanetti und ich haben den Fall zusammen analysiert. Dabei konnte ich der Kundin aufzeigen, wie die Kriminellen sie aufs Glatteis geführt haben, und ihr helfen, sich weniger schuldig zu fühlen. Diese mentale Unterstützung war Laura Zanetti sehr wichtig.
In einem weiteren Präventionsgespräch habe ich die Kundin einige Tage später für die verschiedenen Arten von Phishing, Smishing und v. a. Vishing sensibilisiert. Diese Betrugsmaschen werden immer ausgefeilter und verändern sich ständig – ein Ende ist nicht abzusehen.
Schlussendlich konnten wir den gesamten finanziellen Schaden von Laura Zanetti decken: CHF 4781 (abzüglich eines Selbstbehalts von CHF 200). Ich habe mich besonders für unsere Kundin gefreut, weil der positive Bescheid über die Schadenübernahme noch vor ihren Ferien eintraf.
Wie funktioniert Vishing technisch?
Vishing bezieht sich technisch darauf, wie Betrügerinnen oder Betrüger Telefon oder Voice-over-IP-Technologie (Telefonieren übers Internet) nutzen, um ihre Identität und Rufnummer zu verschleiern. Sie geben vor, von einer Telefonnummer anzurufen, die nicht mit ihrer IP-Adresse verbunden ist. Dies ermöglicht es ihnen, kostengünstige VoIP-Anrufe durchzuführen und bei erfolgreichen Versuchen eine grosse Menge an Daten zu sammeln.
Welche emotionalen Taktiken setzen Betrüger beim Voice Phishing ein?
Oft erfinden die Kriminellen Geschichten, die für die Opfer plausibel erscheinen und dazu führen sollen, dass diese sofort handeln und sensible Informationen preisgeben. Dies wird als Social Engineering bezeichnet: gezielte zwischenmenschliche Beeinflussung zur Erlangung vertraulicher Informationen. Visher nutzen psychologische Tricks aus, um typisches menschliches Verhalten auszunutzen und Opfer dazu zu bringen, sensible Informationen preiszugeben.
Obwohl es verschiedene betrügerische Vishing-Maschen gibt, haben alle Voice-Phishing-Angriffe ein gemeinsames Muster:
Die Cyberkriminellen können verschiedene Techniken einsetzen, um ihr Ziel zu erreichen. Dazu gehören gefälschte Anrufnummern, in denen sie sich als bekannte Institutionen tarnen, und überzeugende Geschichten, um das Vertrauen der Opfer zu gewinnen. Sie können auch Druck aufbauen und Szenarien schaffen, die eine sofortige Handlung erfordern, um Opfer dazu zu bringen, schnell zu handeln und ihre Informationen preiszugeben.
Wie kann man sich vor Vishing schützen?
Es ist wichtig, vorsichtig zu sein und niemals persönliche oder finanzielle Informationen am Telefon preiszugeben. Es sei denn, Sie sind sich absolut sicher, dass der Anruf legitim ist. Wenn Sie Zweifel haben, ist es ratsam, selbst die offizielle Telefonnummer des Unternehmens zu suchen und sich direkt mit ihm in Verbindung zu setzen, um die Authentizität des Anrufs zu überprüfen.
Seriöse Organisationen werden Sie niemals auffordern, persönliche Daten wie Passwörter, Kreditkarten- oder Sozialversicherungsnummern telefonisch weiterzugeben.
Es ist auch empfehlenswert, Anrufe von unbekannten Nummern zu überprüfen, indem man die Telefonnummer recherchiert oder die Nummer blockiert und beim Telefonanbieter meldet. Ausserdem kann man den Betrugsversuch beim Nationalen Zentrum für Cybersicherheit melden. So können andere potenzielle Opfer gewarnt – und entsprechende Ermittlungen eingeleitet werden.
Bei den AXA Cyberpräventionsservices schreiben wir Prävention gross und warnen unsere Kundinnen und Kunden regelmässig vor aktuellen Betrugsmaschen. Damit sind Sie dem Rest der Bevölkerung einen Schritt voraus.
Heike Gross ist Content-Managerin und recherchiert spannende Themen rund um Cybersicherheit, Wohnen, Mobilität und vieles mehr.
