«Guten Tag, Frau Müller, hier Huber von der Sicherheitsabteilung der UBS.» In den vergangenen Monaten erhielten Konsumentinnen und Konsumenten – und auch Mitarbeitende in KMU – immer häufiger derartige Telefonanrufe. Oft handelte es sich bei den Anrufern nicht um Mitarbeitende der genannten Bank oder Firma, sondern um dreiste Betrüger.

Kriminelle setzen zunehmend das Telefon ein, um an vertrauliche Daten zu gelangen. Die Masche wird als Vishing («Voice-Phishing») bezeichnet. Dabei geben sich die Anrufenden als Mitarbeitende von Microsoft, IT-Support-Firmen, Banken – oder gar als Polizisten – aus. Unter dem Vorwand von verdächtigen Überweisungen, Virusfunden oder technischen Problemen fordern sie ihre Opfer auf, schädliche Programme herunterzuladen, gefälschte Webseiten zu besuchen oder sensible Informationen wie Passwörter oder Kreditkartendaten herauszugeben. So verschaffen sie sich Zugriff auf Geräte oder Konten oder verlangen für den angeblichen Support Gebühren.

Nicht neu – aber professioneller

Die Betrugsart ist nicht neu, wurde in letzter Zeit jedoch immer professioneller. Sprachen die Anrufer früher noch meist gebrochenes Englisch, beauftragen sie heute oft Mittelsmänner, die mit den potenziellen Opfern in perfektem Deutsch oder gar Schweizerdeutsch kommunizieren. Um den gesunden Menschenverstand der Angerufenen auszuhebeln, wird meist Druck aufgesetzt. Umgehendes Handeln sei erforderlich, um betrügerische Transaktionen zu stoppen oder eine Kontosperrung zu verhindern. Alles fake!

Fälschung der Stimme

Besonders glaubhaft wirken die Anrufe, wenn sich die Angreifer zuvor Informationen über das Opfer beschafft haben und im Gespräch einfliessen lassen – etwa Beruf, Wohnort, Eigentumsverhältnisse oder Hobbys. Diese Informationen lassen sich oft im Internet finden, etwa in den sozialen Medien, wo viele Menschen unbedarft private und berufliche Informationen über sich teilen. Oft werden auch Phishing-Mails zur Informationsbeschaffung genutzt.

Noch perfider wird es, wenn das Telefon die korrekte Rufnummer etwa der Hausbank anzeigt. Eine Fälschung der Telefonnummer ist innerhalb der Schweiz zwar nicht möglich, wohl aber aus dem Ausland.

Die schweizerischen Netzbetreiber leiten ausländische Anrufe weitgehend ungeprüft weiter. So können ausländische Callcenter oder Betrüger echte Unternehmensnummern oder Schweizer Mobilfunknummern verwenden, und damit bereits initial Vertrauen stiften. Mit Hilfe künstlicher Intelligenz lassen sich sogar menschliche Stimmen immer besser nachbilden. Wenn Nummer und Stimmklang mit denen des persönlichen Kundenberaters übereinstimmen, lassen sich fingierte Anrufe kaum von echten unterscheiden.

Keine sensiblen Daten preisgeben

Wie können Konsumentinnen und Konsumenten es vermeiden, auf derart professionelle Betrügereien hereinzufallen? Zunächst ist es wichtig zu wissen, dass IT-Firmen wie Microsoft oder Apple sowie Finanzinstitute keine unaufgeforderten Anrufe an private Nutzer tätigen, um technischen Support anzubieten. Bei solchen Problemen liegt die Initiative immer bei den Kunden.

Auch fordern seriöse Unternehmen niemals die Herausgabe von Passwörtern, Sicherheitscodes oder anderen Zugangsdaten. Zwar melden sich Banken und Kreditkartenanbieter bei verdächtigen Bewegungen tatsächlich oft telefonisch. Aber selbst dann verlangen Sie weder Kennwörter noch die Installation von Programmen. Im Zweifelsfall also niemals sensible Daten preisgeben, sondern den Anruf beenden und die Bank oder Firma über deren offizielle Nummer zurückrufen. Damit landen Sie mit Sicherheit an der richtigen Stelle.

Björn Näf*

* Björn Näf ist Dozent am Departement Informatik der Hochschule Luzern.