Vishing-Angriffe nehmen in der Schweiz zu – und dabei kann es jede:n treffen. «Vishing» setzt sich aus den Worten Voice (Stimme) und Phishing (Datenangriff) zusammen. Betrüger rufen ihre Opfer direkt an, geben sich als Bank, Behörde oder IT-Support aus und versuchen, sensible Informationen zu ergaunern.
Was ist Vishing?
Vishing ist eine Form des Social-Engineering-Angriffs, bei dem Betrüger das Telefon als Medium nutzen, um vertrauliche Daten von ihren Opfern zu erlangen.
Das Wort setzt sich aus «Voice» (Stimme) und «Phishing» (digitale Datenfischer) zusammen. Während klassisches Phishing über E-Mails oder gefälschte Webseiten läuft, findet der Angriff beim Vishing direkt über das Telefon statt.
Ziel: Menschen dazu bringen, Zugangsdaten, Passwörter, TAN-Codes oder andere sicherheitsrelevante Informationen preiszugeben.
Angriffsmethoden im Vergleich
| Phishing | Smishing | Vishing |
|---|---|---|
| Betrug per E-Mail oder gefälschter Webseite | Betrug über SMS oder Messenger-Dienste | Betrug telefonisch, direkte Kontaktaufnahme |
| Ziel: Passwörter, Kontodaten, Login-Informationen | Ziel: Kontodaten, TANs, persönliche Informationen | Ziel: Passwörter, TANs, Zugriff auf Geräte oder Konten |
| Opfer klicken auf Links oder laden Anhänge herunter | Opfer werden über Nachrichten zu Handlungen bewegt | Opfer werden durch gesprochene Anweisungen manipuliert |
| Weit verbreitet, technisch leicht zu erkennen (Spamfilter) | Zunehmend, wirkt persönlicher als E-Mail | Stark psychologisch, schwer überprüfbar, hohe Erfolgsquote |
Vishing im Fokus des Bundesamts für Cybersicherheit
Die Bedrohung durch Vishing ist in der Schweiz kein theoretisches Risiko. Das Bundesamt für Cybersicherheit (BACS) – die zentrale Schweizer Behörde für Cyberabwehr und Sensibilisierung – warnt öffentlich vor dieser Masche und liefert regelmässig Berichte und Handlungsempfehlungen.
Die Meldungen zu betrügerischen Anrufen haben in den letzten Jahren deutlich zugenommen. Laut BACS sind vor allem betrügerische Telefonanrufe im Namen angeblicher Behörden oder Finanzdienstleister stark gestiegen.
Viele dieser Anrufe sind automatisiert oder von Callcentern im Ausland gesteuert. Sie nutzen Spoofing-Techniken, um Schweizer Vorwahlen anzuzeigen und echte Behörden- oder Banknummern vorzutäuschen.
So laufen Vishing-Angriffe typischerweise ab
Vishing-Angriffe folgen einem klar strukturierten Ablauf, der auf psychologischer Manipulation basiert. Wer die einzelnen Schritte kennt, erkennt Betrugsversuche früher.
1. Kontaktaufnahme
Die Täter rufen direkt an – oft per Spoofing: Auf dem Display erscheint eine legitime Schweizer Vorwahl oder bekannte Nummer. Die Betrüger sitzen in Wirklichkeit häufig im Ausland.
Ziel: sofort Aufmerksamkeit und Vertrauen erzeugen.
2. Autoritätsaufbau
Die Anrufer geben sich als Bankmitarbeitende, Polizisten, Behördenmitarbeitende oder IT-Support aus. Sie verwenden offizielle Begriffe, Fachjargon oder angebliche Sicherheitsprotokolle, um glaubwürdig zu wirken.
Dieser Schritt ist entscheidend: Viele Opfer lassen sich allein durch die vorgespielte Autorität verunsichern.
3. Druck und Zeitstress
Vishing setzt auf Stress und Eile: angebliche Notfälle, verdächtige Überweisungen oder Sicherheitsprobleme sollen dazu bringen, schnellstmöglich zu handeln.
Der psychologische Druck ist hoch. Wer unvorbereitet reagiert, gibt eher vertrauliche Daten heraus.
4. Erfragen sensibler Daten
Sobald Vertrauen aufgebaut ist, fordert der Angreifer sensible Informationen – zum Beispiel:
- Passwörter oder Zugangscodes
- TANs oder Einmal-Codes
- PINs oder Sicherheitsfragen
- Zugriff auf Computer oder Softwareinstallation
Wichtig: Keine seriöse Bank oder Behörde verlangt diese Daten am Telefon. Wer explizit danach fragt, ist ein Krimineller.
5. Ausnutzung der Daten
Hat der Angreifer die Informationen, greift er direkt auf Konten zu. Finanzielle Schäden entstehen oft unmittelbar. Häufig werden die Daten auch weiterverkauft oder für weitere Angriffe genutzt.
Handlungsempfehlungen
Wer einen verdächtigen Anruf erhält, sollte nicht zögern. Die wichtigste Regel: Auflegen und nicht diskutieren. Alle weiteren Schritte folgen daraus.
Sofortmassnahmen
- Gespräch sofort beenden. Leg einfach auf, sobald sensible Daten gefordert werden oder Druck aufgebaut wird.
- Nicht zurückrufen. Auch wenn die Nummer offiziell aussieht: Spoofing ist weit verbreitet. Rückrufe führen ins Leere oder zu weiteren Betrugsversuchen.
- Keine Daten weitergeben. Keine PINs, Passwörter, TANs, Sicherheitscodes oder Softwareinstallationen am Telefon preisgeben.
Wenn Unsicherheit bleibt
- Kontaktiere die Bank oder Behörde direkt über die offiziellen Kanäle – zum Beispiel über die Telefonnummer auf deren offizieller Website.
- Nutze nicht die Rückruffunktion des Telefons, sondern wähle die Nummer selbst.
Nach einem möglichen Datenverlust
- Kontozugänge sofort sperren
- Bank informieren – Betrugsfälle melden
- Passwörter ändern – besonders wenn dieselben Daten auf mehreren Plattformen genutzt werden
- Anzeige erstatten – bei der Polizei oder über Online-Meldeportale
- Digitale Hygiene prüfen – Zwei-Faktor-Authentifizierung aktivieren, Geräte auf Malware überprüfen
Woher haben Täter die Daten?
Die meisten Vishing-Angriffe beginnen nicht zufällig. Die Täter verfügen bereits über grundlegende persönliche Informationen, bevor sie anrufen. Diese Daten stammen aus Datenlecks, Hacks oder öffentlich zugänglichen Quellen.
Typische Quellen
- Online-Dienste und Apps: Fitness-Apps, Online-Shops, Airlines oder soziale Netzwerke können Ziel von Datenlecks sein. Gelangen Name, E-Mail-Adresse oder Telefonnummer in die Öffentlichkeit, werden sie von Kriminellen gesammelt.
- Datenhandel im Darknet: Leaks werden weiterverkauft oder in sogenannten «Datenbanken» zusammengeführt. Ein einzelnes Leck kann schnell in einer grossen Sammlung landen, die Betrüger kaufen – für wenige Rappen bis Franken.
- Kombination und Bereinigung: Kriminelle fügen Datensätze zusammen, überprüfen sie auf Aktualität und bereinigen sie. So entsteht ein «hochwertiger» Datensatz für Vishing-Anrufe.
Manchmal tauchen Daten in mehreren Leaks gleichzeitig auf – je häufiger du Online-Dienste nutzt, desto wahrscheinlicher ein Treffer.
Die Täter müssen dich nicht direkt ausspionieren. Sie kaufen oder sammeln bereits geleakte Daten. Je mehr persönliche Informationen online verfügbar sind, desto höher die Wahrscheinlichkeit, dass sie für Vishing-Angriffe genutzt werden.
Prävention: So minimierst du das Vishing-Risiko
Vishing lässt sich nicht vollständig verhindern. Der Schutz beginnt aber bei der eigenen Datenverfügbarkeit und dem bewussten Umgang am Telefon.
Datenbewusstsein
Überlege genau, welche Informationen du online teilst. Je weniger persönliche Daten öffentlich oder in Apps verfügbar sind, desto schwerer haben es Betrüger.
Tools wie «Have I Been Pwned» erlauben es zu prüfen, ob eine E-Mail-Adresse in bekannten Leaks auftaucht.
Das geht direkt auf https://haveibeenpwned.com/ – oder, wer ein deutschsprachiges Tool bevorzugt, über den Leak-Check von experte.de: https://www.experte.de/email-check
(Wir haben berichtet: Emailadresse gehackt? Leak Check endlich für deutschsprachigen Raum)
Digitale Hygiene
- Nutze starke, einzigartige Passwörter für verschiedene Dienste.
- Aktiviere Zwei-Faktor-Authentifizierung, wo immer möglich.
- Aktualisiere regelmässig Software und Apps, um Sicherheitslücken zu vermeiden.
Telefonische Vorsicht
- Sei misstrauisch bei Anrufen, die Druck ausüben oder sensible Daten verlangen.
- Sofort auflegen, wenn Zweifel bestehen.
- Rückrufe nur über offizielle Kontaktinformationen – nicht über die Nummer des Anrufers oder die Rückruftaste.
Sensibilisierung im Umfeld
Sprich mit Familie, Freund:innen oder Mitarbeitenden über Vishing und typische Vorgehensweisen. Je mehr Menschen die Masche kennen, desto geringer die Wahrscheinlichkeit eines Erfolgs.
Prävention heisst vor allem: bewusster Umgang mit eigenen Daten und kritisches Verhalten am Telefon. Wer diese Regeln beachtet, senkt das Risiko deutlich.