Datum
16.03.2024
Einleitung
Da wartet man tagelang auf ein Paket und plötzlich klingelt das Telefon. Am Apparat: „Amazon“. Der freundliche Mitarbeiter des Konzerns teilt mit, dass es einem Cyberkriminellen gelungen sei, den Amazon-Account zu hacken und erzählt eine fesselnde Geschichte. Schließlich bittet er um Erlaubnis, Gegenmaßnahmen einleiten zu dürfen.
Vorsicht ist die Mutter der Porzellankiste.
Dass man in der heutigen Zeit niemandem mehr trauen kann, versteht auch der Amazon-Mitarbeiter und gibt zur Sicherheit seinen Namen an. Nach kurzer Überprüfung der angegebenen Kontaktdaten und Telefonnummer im Netz stellt sich heraus, dass tatsächlich jemand mit diesem Namen und dieser Nummer bei Amazon arbeitet. Also alles in Ordnung. Der Mitarbeiter ist vertrauenswürdig.
Besorgt folgt man den Anweisungen.
Der Mitarbeiter bittet nun um Fernzugriff auf den Rechner, das Smartphone, um die Attacke der Gangster zu stoppen. Er verlangt die Installation von Teamviewer oder AnyDesk und bittet den Kunden, sich bei seinem Amazon-Konto einzuloggen und das Webbanking zu öffnen.
Dann erfolgt die Säuberung.
Der Mauscursor flitzt hin und her und nach mehreren bangen Minuten ist die Gefahr gebannt. Der Cyber-Angriff ist abgewehrt, der Mitarbeiter zufrieden. Selbstverständlich war der Einsatz völlig kostenlos. Ein wirklich wunderbarer Service von Amazon.
Wieder so ein neues Wort: „Vishing“
Aber leider ist die Welt nicht so rosarot, wie viele glauben. Und so entpuppt sich die vermeintliche Rettungsaktion schon kurze Zeit später als äußerst fiese „Vishing-Attacke“. Als Vishing bezeichnet man den Trickbetrug via IP-Telefonie. Hierbei wird mit automatisierten Telefonanrufen versucht, das Opfer in die Irre zu leiten und persönliche Daten zu erhaschen (Zugangsdaten, Passwörter, Kreditkartendaten, Geschlecht, Vorname, Alter, oder Ähnliches). Der Täter blendet beim Anruf bei Bedarf eine falsche Anrufnummer ein und täuscht so eine falsche Identität vor, die einer raschen Kontrolle im Internet standhält.
Oder die Kriminellen legen vor der Attacke im Internet Seiten an, welche von den Suchmaschinen direkt angesteuert werden und die Identität des Anrufers bestätigen.
Ein Vishing-Angriff kann auch mit einem Phishing-Angriff kombiniert werden. Beispiel: Man bekommt eine E-Mail von der Bank, in welche diese um Rückruf bittet.
Fernwartungssoftware ist praktisch, denn dann muss niemand nach Hause kommen.
In der Tat ist eine Fernwartungssoftware wie TeamViewer oder AnyDesk praktisch, zumal für den Angreifer. Denn nach deren Installation er die totale Kontrolle über den Rechner und kann unbemerkt den ganzen Computer auskundschaften, manipulieren oder Daten entwenden und dies über Tage hinweg. Denn das Verbindungsicon ist für Laien nicht sichtbar und die verwendete Technik ohnehin ein Buch mit sieben Siegeln. Das Einzige, was für den Kunden wichtig ist: „Gratis! Es darf nichts kosten!“ Und das tut es ja, zumindest am Anfang.
Doch zurück zum sympathischen Amazon-Mitarbeiter
Leider war dieser selbst der Cyberkriminelle und hat durch den freigegebenen Zugriff unbemerkt einen direkten Zugang zu den Finanzmitteln und dem Amazon-Konto seines Opfers erlangt und zugeschlagen.
Was bleibt, ist Frust und Panik.
Wenn man erkennt, dass man das Opfer eines Voice-Phishings wurde, ist es längst zu spät. Das Geld ist weg und Panik macht sich breit.
Was kann man tun, um nicht selbst zum Opfer zu werden?
Keine Bank oder Firma bietet aus heiterem Himmel Schutz vor Cyberangriffen mittels Fernzugriff an.
Alle Großkonzerne bemühen sich, ihre Kundendienstleistungen so weit wie möglich einzuschränken, um ihre Rendite nicht zu gefährden. In der Regel haben sie nur noch wenige, extrem schwer erreichbare Supportmitarbeiter. Alle anderen Supportanfragen erfolgen ausschließlich online über Webseiten, die lediglich noch mit KI-Chatbots (Programmen zur Simulation des Supports) bearbeitet werden.
Wenn sich also ein Mitarbeiter eines großen Unternehmens unaufgefordert bei Ihnen meldet und Sie um Fernzugriff auf Ihr Handy, Tablet oder Ihren Computer bittet, sollten Sie das Gespräch beenden, egal, wie gut die Geschichte ist, die er Ihnen erzählt.
Wenn Sie bereits in die Falle getappt sind, ziehen Sie beim ersten Zweifel sofort den Netzstecker Ihres Computers, um den Angriff zu stoppen, und beauftragen Sie einen Fachmann, Ihren Computer auf eingeschleuste Schadsoftware zu überprüfen.
Dies gilt auch für Mobiltelefone und Tablets. Schalten Sie das Gerät sofort aus und lassen Sie es von einem Fachmann überprüfen.
Spielen Sie in Ihrem Kopf nochmals das Gespräch und den Ablauf durch. Wenn Sie zu dem Ergebnis kommen, dass der Betrüger bereits in den Besitz krimineller Verbindungsdaten gelangt ist, ergreifen Sie bitte umgehend Gegenmaßnahmen, um diese zu ändern.
Unser Blog verzichtet auf weiterführende Links, da wir nicht garantieren können, dass die Zieladresse weiterhin existiert und das anzeigt, wovon wir beim Erstellen des Blogs ausgingen.