Sie verwenden einen veralteten Browser. Es können Darstellungsfehler und technische Probleme auftreten.
OK, SCHLIESSEN
Stellen Sie sich vor: Sie tätigen einen wichtigen Anruf und geben Daten weiter – nur um anschliessend festzustellen, dass der Anruf gefakt war. Genau dies ist der AXA-Kundin Laura Zanetti* passiert – sie ist Opfer eines Vishing-Angriffs geworden.
Zwei Wochen Fuerteventura: Sonne, Strand, Surfen! Laura Zanetti und ihre Freundin Manuela Wyler hatten sich seit Monaten darauf gefreut. Doch ein paar Tage vor der Reise wurde der Freundin im Tram das Portemonnaie gestohlen – mitsamt ihrer Identitätskarte.
Laura Zanetti wurde zum Opfer eines typischen Vishing-Angriffs mittels Telefonbetrug, indem sie sich bei der angeblichen Hotline einer Fluggesellschaft meldete, um zu klären, ob ihre Freundin auch ohne ID von Zürich nach Fuerteventura reisen kann. Im Laufe des Gesprächs wurde die Stadtzürcherin gebeten, eine App herunterzuladen, um ihre Daten bequem und sicher einzugeben. In dieser App lud Zanetti ein Foto ihrer eigenen ID hoch und gab Bankdaten sowie weitere persönliche Informationen ein. Und so begann der Vishing-Albtraum.
«Zu keinem Zeitpunkt wurde ich misstrauisch. Der Mitarbeiter war sehr freundlich und hilfsbereit. Die App hat wunderbar funktioniert. Und dass man einige Daten eingeben muss, wenn man ohne ID fliegen will, war für mich absolut nachvollziehbar.»
Was die 29-Jährige nicht wusste: Cyberkriminelle hatten eine falsche Telefonnummer im Internet platziert, die vorgab, die Hotline der Fluggesellschaft zu sein. Im Nachgang wurde die Kundin von dem angeblichen Callcenter-Mitarbeiter aufgefordert, Daten innerhalb einer gefälschten App einzugeben – ein sehr gängiges Vorgehen bei einem Vishing-Angriff.
Die Internetbetrüger verloren keine Zeit: Noch während Laura Zanetti mit dem Mitarbeiter telefonierte, transferierten sie von ihrem Bankkonto Geld auf ein Krypto-Wallet-Konto, das die Kriminellen in ihrem Namen eröffnet hatten. Ein zweites Krypto-Konto wurde in Zanettis Namen auf der Plattform Ramp eröffnet – hier wurden jedoch keine Überweisungen getätigt.
Zum Glück hat Laura Zanetti eine private Cyberversicherung. Die AXA half ihr unter anderem dabei, den Vishing-Vorfall sowie den Diebstahl bei der Polizei zu melden, die gefakten Krypto-Konten zu deaktivieren – und kam schliesslich für den finanziellen Verlust des Telefonbetrugs in Höhe von CHF 4781 (abzüglich eines Selbstbehalts von CHF 200) auf.
*Der Name wurde auf Wunsch der Kundin geändert, er ist der AXA bekannt.
1. Wie haben Sie Laura Zanetti in diesem Vishing-Fall unterstützt?
Zunächst habe ich der Kundin geraten, eine neue Identitätskarte zu bestellen, denn es besteht in solchen Fällen akutes Risiko, dass die Identität im Darknet für betrügerische Aktivitäten missbraucht wird. Ausserdem empfahl ich ihr, den Vishing-Vorfall bei der Polizei zu melden und Anzeige zu erstatten. Auch zu einer neuen Kreditkarte sowie sofortigen Sperrung der alten habe ich ihr geraten. Für die neue Kreditkarte sollte sie auch unbedingt eine Zwei-Faktor-Authentifizierung einrichten. Ich habe die Fake-Konten auf den Krypto-Wallets Moonpay und Ramp umgehend gemeldet und erfolgreich im Namen von Frau Zanetti deaktivieren lassen.
Des Weiteren habe ich Frau Zanetti geholfen, den Telefonbetrug bei ihren Banken zu melden. Hier helfen professionelle Unterstützung und eine gewisse Hartnäckigkeit. Die Banken lehnen eine Haftung meist ab, wenn der Kundin oder dem Kunden fahrlässiges Verhalten angelastet werden kann.
Vishing ist eine Form des Betrugs, bei dem Kriminelle Telefonanrufe nutzen, um persönliche Informationen ihrer Opfer zu stehlen. Der Begriff "Vishing" ist eine Kombination der Wörter "Voice" (Stimme) und "Phishing" (Betrug per E-Mail oder SMS-Nachricht).
Das Hauptziel: persönliche Informationen wie Bankdaten, Kreditkartennummern, Identitätskarte oder Zugangsdaten zu stehlen, um sich finanziell zu bereichern.
Auch Unternehmen können davon betroffen sein; die Vorgehensweise und das Ziel sind dabei ähnlich.
2. Auch der mentale Support ist nach einem Vishing-Vorfall wichtig. Wie konnten Sie hier helfen?
Jede und jeder stellt sich in einer solchen Situation die Frage: Wie konnte ich nur auf diese Masche reinfallen? Warum bin ich nicht misstrauisch geworden? Warum haben die Cyberkriminellen gerade mich für ihren Vishing-Betrug ausgewählt? Laura Zanetti und ich haben den Fall zusammen analysiert. Dabei konnte ich der Kundin aufzeigen, wie die Kriminellen sie aufs Glatteis geführt haben. So fühlte sie sich weniger schuldig. Diese mentale Unterstützung war Laura Zanetti sehr wichtig.
In einem weiteren Präventionsgespräch habe ich die Kundin einige Tage später für die verschiedenen Arten von Phishing, Smishing über SMS und vor allem Vishing sensibilisiert. Diese Betrugsmaschen werden immer ausgefeilter und verändern sich ständig – ein Ende ist nicht abzusehen.
Schlussendlich konnten wir den gesamten finanziellen Schaden von Laura Zanetti decken: CHF 4781 (abzüglich eines Selbstbehalts von CHF 200). Ich habe mich besonders für unsere Kundin gefreut, weil der positive Bescheid über die Schadenübernahme noch vor ihren Ferien eintraf.
3. Wie funktioniert Vishing technisch?
Vishing bezieht sich technisch darauf, wie Betrügerinnen oder Betrüger Telefon oder Voice-over-IP-Technologie (Telefonieren übers Internet) nutzen, um ihre Identität und Rufnummer zu verschleiern. Sie geben vor, von einer Telefonnummer anzurufen, die nicht mit ihrer IP-Adresse verbunden ist. Dies ermöglicht es ihnen, kostengünstige VoIP-Anrufe durchzuführen und bei erfolgreichen Versuchen eine grosse Menge an Daten zu sammeln. Diese nutzen sie anschliessend zu ihrem eigenen finanziellen Vorteil.
4. Welche emotionalen Taktiken setzen Betrüger beim Voice Phishing ein?
Beim Vishing erfinden die Kriminellen oft Geschichten, die für die Opfer plausibel erscheinen und dazu führen sollen, dass diese sofort handeln und sensible Informationen preisgeben. Dies wird als Social Engineering bezeichnet: gezielte zwischenmenschliche Beeinflussung zur Erlangung vertraulicher Informationen. Visher verwenden dazu psychologische Tricks, um typisches menschliches Verhalten hervorzurufen und ihre Opfer auszunutzen.
Obwohl es verschiedene betrügerische Vishing-Maschen gibt, haben alle Voice-Phishing-Angriffe ein gemeinsames Muster:
Die Cyberkriminellen können verschiedene Techniken einsetzen, um ihr Ziel zu erreichen. Dazu gehören gefälschte Anrufnummern und überzeugende Geschichten, um während des Vishing-Betrugs das Vertrauen der Opfer zu gewinnen.
5. Wie sollte man reagieren, wenn man Opfer von Vishing wurde?
Wenn Sie merken, dass Sie auf eine Vishing-Masche hereingefallen sind, sollten Sie schnell handeln. Das gilt es in diesem Moment zu tun:
6. Wie kann man Vishing erkennen und sich vor dem Telefonbetrug schützen?
Eine seriöse Institution oder ein Unternehmen wird niemals auf telefonischem Wege persönliche Daten wie Passwörter, Kreditkarten- oder Sozialversicherungsnummern von Ihnen verlangen. Wenn Sie sich nicht sicher sind, ob ein Anruf legitim ist, suchen Sie besser selbst nach der offiziellen Telefonnummer und setzen Sie sich direkt mit einer Mitarbeiterin oder einem Mitarbeiter in Verbindung, um die Authentizität des Anrufs zu überprüfen. So beugen Sie einem potenziellen Vishing-Angriff vor.
Auch empfehlenswert ist es, Anrufe von unbekannten Nummern zu überprüfen, indem Sie die Telefonnummer recherchieren. Im Zweifelsfall sollten Sie diese blockieren und beim Telefonanbieter melden. Ausserdem können Sie den Vishing-Betrugsversuch beim Nationalen Zentrum für Cybersicherheit melden. So können andere potenzielle Opfer gewarnt – und entsprechende Ermittlungen eingeleitet werden.
Bei den Cyberpräventionsservices der AXA schreiben wir Prävention gross und warnen unsere Kundinnen sowie Kunden regelmässig vor aktuellen Betrugsmaschen wie Vishing, Smishing per SMS oder Phishing per Mail. Damit sind Sie dem Rest der Bevölkerung einen Schritt voraus.
Heike Gross ist Content-Managerin und recherchiert spannende Themen rund um Cybersicherheit, Wohnen, Mobilität und vieles mehr.
