What is vishing and how does it work?

Vishing (voice phishing) uses phone calls to manipulate targets into revealing sensitive information or authorizing transactions. Attackers spoof caller IDs to appear as banks, IT support, or executives. They use urgency, authority, and fear to prevent victims from verifying the request. The FBI's Internet Crime Complaint Center reported over $10 billion in losses from phone-based fraud in 2022.

How can you verify if a phone call is legitimate?

Never trust caller ID alone, as it can be spoofed. Tell the caller you will call back through the official number listed on the company's website or your internal directory. Legitimate callers will not object to this. Never provide passwords, one-time codes, or financial details over an inbound call, regardless of who the caller claims to be. If they pressure you to stay on the line, that itself is a red flag.

Vishing

Handle a realistic voice phishing call.

What Is Vishing?

Beim Vishing oder Voice-Phishing werden Mitarbeiter mithilfe von Telefonanrufen dazu manipuliert, vertrauliche Informationen preiszugeben, Gelder zu überweisen oder Systemzugriff zu gewähren. Das Internet Crime Complaint Center des FBI meldete im Jahr 2022 Verluste in Höhe von über 10 Milliarden US-Dollar durch Social-Engineering-Programme, wobei ein wachsender Anteil auf telefonische Angriffe entfällt. Im Gegensatz zum E-Mail-Phishing nutzt Vishing die Konversationsdynamik in Echtzeit aus, bei der die Zielpersonen weniger Zeit zum kritischen Nachdenken haben und den sozialen Druck verspüren, hilfreich zu sein. In dieser Simulation klingelt Ihr Telefon. Die Anrufer-ID zeigt eine Nummer an, die anscheinend zur IT-Abteilung Ihres Unternehmens oder zu einem vertrauenswürdigen Anbieter gehört. Die Person am anderen Ende ist ruhig, professionell und verwendet branchenspezifische Terminologie, die legitim klingt. Sie erläutern einen Sicherheitsvorfall oder ein Systemupdate, das Ihre sofortige Zusammenarbeit erfordert, einschließlich der Bestätigung Ihrer Anmeldedaten, der Autorisierung des Fernzugriffs oder des Zurücklesens eines Multi-Faktor-Authentifizierungscodes. Sie üben, das Gespräch zu unterbrechen, Verifizierungsfragen zu stellen und Rückrufverfahren über offizielle Telefonnummern anstelle der vom Anrufer angegebenen zu nutzen. Die Übung befasst sich mit den spezifischen Sprachsignalen und Gesprächsmustern, die Social Engineers von legitimen Anrufern unterscheiden: die subtile Umleitung, wenn Sie bohrende Fragen stellen, die zunehmende Dringlichkeit, wenn Sie einen Rückruf vorschlagen, und der strategische Einsatz von Fachjargon, um ein falsches Gefühl von geteiltem Fachwissen zu erzeugen.

What You'll Learn in Vishing

Erkennen Sie Anrufer-ID-Spoofing und verstehen Sie, warum angezeigte Telefonnummern nicht als Identitätsprüfung vertrauenswürdig sind
Wenden Sie die Rückrufüberprüfung anhand offizieller Unternehmensverzeichnisse an und nicht anhand der vom Anrufer angegebenen Telefonnummern
Identifizieren Sie die Gesprächsdrucktaktiken, die Besucher anwenden, einschließlich eskalierender Dringlichkeit, Autoritätsansprüche und Fachjargon
Weigern Sie sich, bei eingehenden Anrufen Anmeldeinformationen oder MFA-Codes weiterzugeben oder den Fernzugriff zu autorisieren, unabhängig von der angegebenen Begründung
Unterscheiden Sie zwischen durchsetzungsfähiger Identitätsüberprüfung und konfrontativem Verhalten, um bei verdächtigen Anrufen die Professionalität zu wahren

Vishing — Training Steps

Einführung

Dieses Training simuliert einen realen Vishing-Angriff, bei dem ein Angreifer einen KI-generierten Sprachfilter verwendet, um sich als vertrauenswürdiger Kollege auszugeben. Es ist ein geschäftiger Dienstagnachmittag, als Alices Telefon klingelt. Die Anrufer-ID lautet „Mike Stevens – Durchwahl“. 4247'. Alice kennt Mike; Er ist ein wirklich freundlicher Typ aus dem Infrastrukturteam. Sie erkennt dies als Mikes übliche Nummer und nimmt den Anruf umgehend entgegen.
Der unerwartete Anruf

Ohne dass Alice davon wusste, recherchierte Bob seit Wochen über Nexlify Solutions und deren Kunden SecureTech. Er sammelte Informationen über die Unternehmensstruktur, Mitarbeiternamen und interne Systeme über Social-Media-Profile, LinkedIn und die Unternehmenswebsite. Bob hat außerdem Aufnahmen von Mikes Stimme aus öffentlich zugänglichen Konferenzpräsentationen und Firmen-Webinaren erhalten. Mithilfe fortschrittlicher KI-Software zum Klonen von Stimmen hat er eine überzeugende Nachbildung von Mikes Stimme erstellt und die Anrufer-ID gefälscht, um Mikes interne Durchwahl anzuzeigen.
Die überzeugende Einführung

Die Stimme am Telefon klingt genau wie Mike – der gleiche Ton, die gleichen Sprachmuster und sogar sein charakteristischer leichter Bostoner Akzent. Alles dank GenAI-Technologien und einem großen Datensatz von Mikes öffentlichen Vortragsaufzeichnungen.
Dringlichkeit schaffen

Bob verdeutlicht Dringlichkeit und Autorität, indem er einen kranken Kollegen und ein wichtiges Kundentreffen erwähnt.
Die Informationsanfrage

Alice spürt den Druck der Notlage und möchte einer Kollegin in Not helfen.
Öffnen der Dateien

Alice öffnet das Firmenportal und versucht, auf sensible Daten zuzugreifen.
Weitergabe sensibler Informationen

Alice beginnt, die sensiblen Informationen am Telefon zu lesen. Dies ist durch die Unternehmensregeln streng verboten, aber die Anfrage scheint dringend zu sein und Mike hat aufgrund eines VPN-Problems keinen Zugriff auf Unternehmensressourcen.
Ein großer Fehler

Alice hat nun streng vertrauliche NDA-geschützte Informationen weitergegeben, darunter proprietäre Verschlüsselungsdetails, Disaster-Recovery-Standorte und interne Sicherheitsprotokolle.
Die verdächtige E-Mail

Bob sieht, dass sein Angriff erfolgreich war und versucht, ihn zu eskalieren, indem er Alice eine Phishing-E-Mail sendet.
Eine zwielichtige E-Mail geht ein

Alice erhält eine E-Mail, die offenbar von Mike Stevens stammt.

What Is Vishing?

What You'll Learn in Vishing

Vishing — Training Steps

Einführung

Der unerwartete Anruf

Die überzeugende Einführung

Dringlichkeit schaffen

Die Informationsanfrage

Öffnen der Dateien

Weitergabe sensibler Informationen

Ein großer Fehler

Die verdächtige E-Mail

Eine zwielichtige E-Mail geht ein