Vishing stellt eine nicht ganz neue, dafür aber immer gefährlicher werdende Form des Social Engineering dar. Der Begriff setzt sich aus „Voice“ und „Phishing“ zusammen und beschreibt eine Betrugsmethode, bei der Angreifer über das Telefon oder Voice-over-IP-Netze (VoIP) versuchen, sensible Informationen zu erlangen oder Mitarbeiter zu unbedachten Handlungen zu bewegen. Anders als beim klassischen E-Mail-Phishing stehen nicht geschriebenen, sondern gesprochene Worte und der Tonfall im Zentrum – eine mitunter heimtückische Kombination technischer und psychologischer Natur. Cyberkriminelle nutzen quasi das Vertrauen und die Hilfsbereitschaft ihrer Opfer aus, um die Angerufenen zur Preisgabe persönlicher Daten wie Passwörter, Kreditkarteninformationen oder interner Unternehmensgeheimnisse zu bewegen oder sie zur Durchführung bestimmter Aktionen zu verleiten.
IT-Sicherheitsexperten betrachten Vishing als eine sehr ernstzunehmende Bedrohung, da es menschliche Schwachstellen ausnutzt, die durch technische Schutzmaßnahmen schwer zu eliminieren sind. Während Firewalls, Intrusion-Detection-Systeme und Endpoint-Security-Lösungen das Netzwerk und die Endgeräte vor direkten Angriffen schützen, zielt Vishing auf den „Faktor Mensch“ ab. Die Täter nutzen psychologische Tricks, um ihre Opfer zu manipulieren. So können sie etwa behaupten, dass ein dringendes Sicherheitsproblem vorliegt und sofortige Maßnahmen erforderlich seien, wodurch der Angerufene unter Druck gesetzt wird, vorschnell zu handeln.
Ein typisches Vishing-Szenario könnte in etwa so aussehen: Ein Mitarbeiter erhält einen Anruf von einer unbekannten (evtl. auch internen – siehe Caller-ID-Spoofing) Nummer. Die Person gibt sich als Mitarbeiter der IT-Abteilung aus und behauptet, dass ein Problem mit dem Benutzerkonto festgestellt wurde. Um das Problem zu beheben, bittet der vermeintliche IT-Mitarbeiter nun um das Passwort des Benutzers und/oder fordert den Mitarbeiter auf, eine bestimmte Software zur Fernwartung zu installieren, die in Wirklichkeit aber Schadsoftware enthält. Dabei können Angreifer mitunter auch (zuvor recherchierte) Insiderinformationen nutzen, um ihre Glaubwürdigkeit zu erhöhen und das Vertrauen des Opfers zu gewinnen. Die emotionale Komponente – Zeitdruck, vermeintliche Autorität, Hilfsbereitschaft – macht Vishing dabei besonders effektiv.
Eine zusätzliche Gefahr geht hier inzwischen von den immer besser werdenden KI-Systemen aus. Täter können damit Sprachsynthese oder aufgezeichnete Sprache einsetzen, um Anrufe automatisiert und in sehr hoher Stückzahl zu verbreiten.
Der Schutz vor Vishing erfordert eine mehrgleisige Strategie, wobei die wichtigste Verteidigungslinie hier der Mensch selbst ist. Regelmäßige Schulungen, in denen typische Vishing-Szenarien und Verhaltensregeln vermittelt werden, erhöhen das Bewusstsein auf allen Ebenen. Mitarbeiter müssen wissen, dass kein legitimer IT-Mitarbeiter Passwörter per Telefon erfragt und dass finanzielle Anweisungen immer zusätzlich schriftlich bestätigt werden müssen. Krisenübungen, bei denen Vishing-Anrufe simuliert werden, können ebenso helfen, Reaktionswege zu testen und bestehende Sicherheitslücken frühzeitig zu erkennen. Zudem sollten Unternehmen klare Richtlinien für die telefonische Weitergabe sensibler Informationen festlegen und diese auch konsequent durchsetzen.
