Vishing-Angriffe nehmen in der Schweiz zu – und dabei kann es jede:n treffen. „Vishing“ setzt sich aus den Worten Voice (Stimme) und Phishing (Datenangriff) zusammen. Betrüger rufen ihre Opfer direkt an, geben sich als Bank, Behörde oder IT-Support aus und versuchen, sensible Informationen zu ergaunern.
Was ist Vishing?
Vishing ist eine Form des Social-Engineering-Angriffs, bei dem Betrüger das Telefon als Medium nutzen, um vertrauliche Daten von ihren Opfern zu erlangen.
Das Wort selbst setzt sich aus „Voice“ (Stimme) und „Phishing“ (digitale Datenfischer) zusammen. Während klassisches Phishing typischerweise über E-Mails oder gefälschte Webseiten erfolgt, erfolgt der Angriff beim Vishing direkt über das Telefon.
Ziel dieser Angriffe ist es, Menschen dazu zu bringen, Zugangsdaten, Passwörter, TAN-Codes oder andere sicherheitsrelevante Informationen preiszugeben.
Angriffsmethoden im Vergleich
| Phishing | Smishing | Vishing |
|---|---|---|
| Betrug per E-Mail oder gefälschter Webseite | Betrug über SMS oder Messenger-Dienste | Betrug telefonisch, direkte Kontaktaufnahme |
| Ziel: Passwörter, Kontodaten, Login-Informationen | Ziel: Kontodaten, TANs, persönliche Informationen | Ziel: Passwörter, TANs, Zugriff auf Geräte oder Konten |
| Opfer klicken auf Links oder laden Anhänge herunter | Opfer werden über Nachrichten zu Handlungen bewegt | Opfer werden durch gesprochene Anweisungen manipuliert |
| Weit verbreitet, technisch leicht zu erkennen (Spamfilter) | Zunehmend, wirkt persönlicher als E-Mail | Stark psychologisch, schwer überprüfbar, hohe Erfolgsquote |
Vishing im Fokus des Bundesamts für Cybersicherheit
Die Bedrohung durch Vishing ist in der Schweiz kein theoretisches Risiko, sondern ein tatsächliches und wachsendes Problem. Das Bundesamt für Cybersicherheit (BACS) – die zentrale Schweizer Behörde für Cyberabwehr und Sensibilisierung – warnt öffentlich vor dieser Masche und liefert regelmässig Berichte und Handlungsempfehlungen.
In den letzten Jahren haben sich die Meldungen zu betrügerischen Anrufen deutlich erhöht. Laut jüngsten Meldungen des BACS sind vor allem betrügerische Telefonanrufe im Namen angeblicher Behörden oder Finanzdienstleister stark gestiegen.
Diese Anrufe sind häufig automatisiert oder von Callcentern im Ausland gesteuert, sie nutzen Spoofing-Techniken, um zum Beispiel Schweizer Vorwahlen anzuzeigen und so echte Behörden- oder Banknummern vorzutäuschen.
So laufen Vishing-Angriffe typischerweise ab
Vishing-Angriffe folgen einem klar strukturierten Ablauf, der auf psychologischer Manipulation basiert. Wer die einzelnen Schritte kennt, kann Betrugsversuche früh erkennen und verhindern.
1. Kontaktaufnahme
Die Täter rufen direkt an – oft über Spoofing, das bedeutet, dass auf dem Display eine legitime Schweizer Vorwahl oder bekannte Nummer angezeigt wird. In Wirklichkeit sitzen die Betrüger aber häufig im Ausland.
Das Ziel: sofortige Aufmerksamkeit und Vertrauen erzeugen.
2. Autoritätsaufbau
Die Anrufer geben sich als Bankmitarbeiter, Polizist, Behördenmitarbeiter oder IT-Support aus. Sie nutzen offizielle Begriffe, Fachjargon oder angebliche Sicherheitsprotokolle, um ihre Glaubwürdigkeit zu erhöhen.
Dieser Schritt ist entscheidend: Viele Opfer lassen sich allein durch die vorgespielte Autorität verunsichern.
3. Druck und Zeitstress
Vishing setzt auf Stress und Eile: angebliche Notfälle, verdächtige Überweisungen oder Sicherheitsprobleme sollen die Opfer dazu bringen, schnellstmöglich zu handeln.
Der psychologische Druck ist hoch: Wer unvorbereitet reagiert, tendiert eher dazu, vertrauliche Daten herauszugeben.
4. Erfragen sensibler Daten
Sobald Vertrauen aufgebaut ist, fordert der Angreifer sensible Informationen an, zum Beispiel:
- Passwörter oder Zugangscodes
- TANs oder Einmal-Codes
- PINs oder Sicherheitsfragen
- Zugriff auf Computer oder Softwareinstallation
Wichtig: Keine seriöse Bank oder Behörde verlangt diese Daten am Telefon! Wer explizit danach fragt, ist ein Krimineller.
5. Ausnutzung der Daten
Hat der Angreifer die Informationen, nutzt er sie direkt für den Zugriff auf Konten. Dadurch entstehen finanzielle Schäden. Oft werden die Daten auch weiterverkauft oder für weitere Angriffe genutzt.
Handlungsempfehlungen
Wer Opfer eines Vishing-Anrufs wird oder einen verdächtigen Anruf erhält, sollte keinen Moment zögern. Die wichtigste Regel lautet: Auflegen und nicht diskutieren. Alle weiteren Schritte folgen daraus.
Sofortmassnahmen
- Gespräch sofort beenden. Leg einfach auf, sobald sensible Daten gefordert werden oder Druck aufgebaut wird.
- Nicht zurückrufen! Auch wenn die Nummer offiziell aussieht: Spoofing ist weit verbreitet. Rückrufe führen ins Leere oder zu weiteren Betrugsversuchen.
- Keine Daten weitergeben. Keine PINs, Passwörter, TANs, Sicherheitscodes oder Softwareinstallationen am Telefon preisgeben.
Wenn Unsicherheit bleibt
- Kontaktiere die Bank oder Behörde direkt über die offiziellen Kanäle, z. B. über die Telefonnummer auf deren offizieller Website.
- Nutze nicht die Rückruffunktion des Telefons, sondern wähle die Nummer selbst.
Nach einem möglichen Datenverlust
- Kontozugänge sofort sperren
- Bank informieren – Betrugsfälle melden
- Passwörter ändern – besonders, wenn dieselben Daten auf mehreren Plattformen genutzt werden
- Anzeige erstatten – bei der Polizei oder Online-Meldeportalen
- Digitale Hygiene prüfen – Zwei-Faktor-Authentifizierung aktivieren, Geräte auf Malware überprüfen
Woher haben Täter die Daten?
Die meisten Vishing-Angriffe beginnen nicht völlig zufällig – die Täter verfügen bereits über grundlegende persönliche Informationen, bevor sie anrufen. Diese Daten stammen häufig aus Datenlecks, Hacks oder öffentlich zugänglichen Quellen.
Typische Quellen
- Online-Dienste und Apps: Fitness-Apps, Online-Shops, Airlines oder soziale Netzwerke können Ziel von Datenlecks sein. Gelangen Daten wie Name, E-Mail-Adresse oder Telefonnummer in die Öffentlichkeit, werden sie von Kriminellen gesammelt.
- Datenhandel im Darknet: Leaks werden in der Regel weiterverkauft oder in sogenannten „Datenbanken“ zusammengeführt. Ein einzelnes Leck kann schnell in einer grossen Sammlung landen, die von Betrügern gekauft wird – für wenige Rappen bis Franken.
- Kombination und Bereinigung: Kriminelle fügen Datensätze zusammen, überprüfen sie auf Aktualität und bereinigen sie. So entsteht ein „hochwertiger“ Datensatz, der für Vishing-Anrufe genutzt wird.
Manchmal tauchen Daten in mehreren Leaks gleichzeitig auf – je häufiger man Online-Dienste nutzt, desto wahrscheinlicher ist ein Treffer.
Sprich: Die Täter müssen dich nicht direkt „ausspionieren“ – sie kaufen oder sammeln einfach bereits geleakte Daten. Je mehr persönliche Informationen online verfügbar sind, desto höher ist auch die Wahrscheinlichkeit, dass diese für Vishing-Angriffe genutzt werden.
Prävention: So minimierst du das Vishing-Risiko
Leider lässt Vishing sich nicht vollständig verhindern. Der Schutz dagegen beginnt aber bei der eigenen Datenverfügbarkeit und dem bewussten Umgang am Telefon.
Datenbewusstsein
Überlege genau, welche Informationen du online teilst. Je weniger persönliche Daten öffentlich oder in Apps verfügbar sind, desto schwerer haben es Betrüger.
Tools wie „Have I Been Pwned“ erlauben es, zu prüfen, ob eine E-Mail-Adresse in bekannten Leaks auftaucht, um das Risiko einzuschätzen.
Das kannst du entweder direkt auf https://haveibeenpwned.com/ tun oder wenn du ein deutschsprachiges Tool bevorzugst, gibt es recht neu auch den Leak-Check von experte.de: https://www.experte.de/email-check
(Wir haben berichtet: Emailadresse gehackt? Leak Check endlich für deutschsprachigen Raum)
Digitale Hygiene
- Nutze starke, einzigartige Passwörter für verschiedene Dienste.
- Aktiviere Zwei-Faktor-Authentifizierung, wo immer möglich.
- Aktualisiere regelmässig Software und Apps, um Sicherheitslücken zu vermeiden.
Telefonische Vorsicht
- Sei misstrauisch bei Anrufen, die Druck ausüben oder sensible Daten verlangen.
- Sofort auflegen, wenn Zweifel bestehen.
- Rückrufe nur über offizielle Kontaktinformationen durchführen, nicht über die Nummer des Anrufers oder die Rückruftaste.
Sensibilisierung im Umfeld
Sprich mit Familie, Freund:innen oder Mitarbeitenden über Vishing und typische Vorgehensweisen. Je mehr Menschen die Masche kennen, desto geringer ist die Wahrscheinlichkeit, dass die Täter erfolgreich sind.
Fazit: Prävention ist vor allem bewusster Umgang mit eigenen Daten und kritisches Verhalten am Telefon. Wer diese Regeln beachtet, kann das Risiko von Vishing deutlich senken.