Vishing und Smishing

Einleitung

Vishing und Smishing sind Varianten des Social Engineerings, bei denen Angreifer versuchen, über Telefon oder SMS vertrauliche Informationen zu erhalten oder Schadaktionen auszulösen. Beide Methoden zielen darauf ab, das Vertrauen des Opfers auszunutzen – oft unter Zeitdruck oder mit gefälschter Autorität.

Vishing (Voice Phishing)

Definition: Vishing steht für „Voice Phishing“ und bezeichnet betrügerische Anrufe, bei denen das Opfer durch gezielte Gesprächsführung zur Herausgabe sensibler Daten verleitet werden soll.

Typische Ziele:

  • Passwörter oder Zugangsdaten

  • Einmal-PINs oder 2FA-Codes

  • Anmeldedaten zu E-Mail, Bank, Unternehmenssystemen

  • Persönliche Informationen (z. B. Geburtsdatum, Adresse)

Ablauf:

  1. Der Angreifer ruft an, oft mit gefälschter Nummer (Caller ID Spoofing)

  2. Er gibt sich z. B. als IT-Support, Bankmitarbeiter oder Techniker aus

  3. Druck wird aufgebaut („Sicherheitsvorfall“, „Dringende Maßnahme“)

  4. Opfer gibt vertrauliche Informationen preis oder führt Aktionen durch (z. B. Login, Fernwartung)

Beispiel-Szenario:

„Hallo, hier ist der IT-Support. Wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt. Bitte bestätigen Sie kurz Ihre Zugangsdaten, damit wir das Problem beheben können.“

Erkennungsmerkmale:

  • Unbekannter Anrufer mit Dringlichkeit oder Autorität

  • Bitten um Passwort, PIN oder Installation von Software

  • Druck oder Konsequenzandrohung bei Nichtbefolgen

Gegenmaßnahmen:

  • Niemals sensible Daten am Telefon preisgeben

  • Rückruf über offizielle Firmen-/Hotline-Nummern

  • Mitarbeiterschulungen zu Social Engineering

  • Einsatz von Caller ID-Filtern (sofern verfügbar)

Smishing (SMS Phishing)

Definition: Smishing bezeichnet Phishing-Angriffe über SMS. Opfer werden durch eine Nachricht dazu verleitet, auf einen Link zu klicken oder persönliche Daten einzugeben.

Typische Inhalte:

  • Paketbenachrichtigungen (z. B. DHL, UPS)

  • Bank- oder Kreditkartenwarnungen

  • „Verifizierungs“-Links zu Konten oder Diensten

  • Gewinnbenachrichtigungen oder Gutscheine

Ablauf:

  1. Opfer erhält eine glaubhaft aussehende SMS

  2. Link führt zu einer gefälschten Webseite (z. B. Login-Seite)

  3. Opfer gibt dort Zugangsdaten oder Kreditkarteninfos ein

  4. Alternativ wird ein Schadprogramm (APK) zum Download angeboten

Beispiel-SMS:

DHL: Ihr Paket konnte nicht zugestellt werden. Bitte aktualisieren Sie Ihre Lieferdaten: http://dhl-paket-verfolgen.link

Erkennungsmerkmale:

  • Ungewöhnliche URLs (z. B. mit .link, .top, .xyz)

  • Dringender Handlungsaufruf

  • Unbekannter Absender

  • Nachricht ohne vorherigen Kontext

Gegenmaßnahmen:

  • Links in SMS grundsätzlich nicht anklicken

  • Absendernummer prüfen oder blockieren

  • Zwei-Faktor-Authentifizierung aktivieren

  • Mobilgerät gegen APK-Installationen absichern

Gemeinsamkeiten und Unterschiede

Merkmal
Vishing
Smishing

Kanal

Telefonanruf

SMS / Messenger

Ziel

Gespräche, direkte Interaktion

Klicks, Dateneingabe

Täuschungsmittel

Soziale Autorität, Stimme

Fake-Links, gefälschte URLs

Interaktionsgrad

Hoch (Dialog)

Niedrig (1-Klick-Aktion)

PreviousPretextingNextQuishing

Last updated