Social-Engineering: Telefonisch kannst du nahezu alles über eine Zielperson in Erfahrung bringen

by teufelswerk in Social Engineering

Wenn du elektronisch unterwegs bist und z. B. Bankgeschäfte tätigst, musst du dich authentifizieren. Ganz gleich, mit welchem Verfahren das geschieht, du musst dabei schon die eine oder andere technische Hürde überwinden, um an sensible Daten einer Zielperson zu kommen oder ein Geschäft im Namen einer anderen Person zu tätigen.

Telefonisch sieht das ein wenig anders aus. Du brauchst nur wenige Schlüsseldaten mit deren Hilfe du dich authentifizieren kannst, um an sensible Daten zu kommen. Die Schlüsseldaten zur Authentifizierung kann man mit etwas Geschick, Google und den Sozialen Medien leicht in Erfahrung bringen. Denn dank Facebook, Instagram, WhatsApp & Co. sind wir ja alle ausserordentlich mitteilungsbedürftig und viel zu gutgläubig, wenn es darum geht, in Schrift, Wort, Foto und Video alles Mögliche über uns preiszugeben.

Diesen Beitrag habe ich im Jahr 2022 verfasst und veröffentlicht. Er hat in der Zwischenheit nicht an Aktualität und Brisanz verloren, im Gegenteil, er ist immer noch höchstaktuell! Am 28. Mai 2025 habe ich diesen Artikel ergänzt und aktualisiert.

Es lebe das Internet! Es lebe das Social-Engineering!

In den vergangenen Monaten habe ich telefonisch mit einer erschreckenden Leichtigkeit sehr sensible Daten in Erfahrung gebracht, die man ansonsten nur mit einem erheblichen Identifizierungs- und Authentifizierungs-Aufwand erhält. Deshalb wundert es mich nicht, dass aktuell das technische „Hacken“ gar nicht mehr so sehr im Fokus von Cyber-Kriminellen steht, sondern vielmehr das Social-Engineering und das Human Hacking.

Alles was Cyber-Kriminelle zum Social-Engineering und Human-Hacking brauchen ist Menschenkenntnis, eine Hand voll psychologischer Tricks, Emphatie und Zugang (Accounts) zu den Sozialen Medien.

Social Engineering am Telefon: Die unterschätzte Gefahr

Social Engineering zählt zu den effektivsten Methoden, um an sensible Informationen einer Zielperson zu gelangen – und das oft ganz ohne technisches Know-how. Während bei digitalen Angriffen wie dem Hacking oder Phishing meist komplexe Sicherheitsmaßnahmen überwunden werden müssen, reicht beim telefonischen Social Engineering oft schon ein überzeugendes Auftreten und ein bisschen Hintergrundwissen.

Am Telefon fällt es vielen schwer, eine potenzielle Bedrohung zu erkennen. Wer freundlich, souverän und kompetent auftritt, wird selten hinterfragt. Betrüger nutzen diese Vertrauensseligkeit gezielt aus, um mit wenigen Schlüsselinformationen – etwa dem Geburtsdatum, der Adresse oder dem Namen eines Haustiers – Identitätsprüfungen zu umgehen.

Diese Daten lassen sich heute erstaunlich einfach beschaffen. Dank der allgegenwärtigen Nutzung sozialer Netzwerke wie Facebook, Instagram, Threads, LinkedIn oder TikTok liefern viele Menschen einem potenziellen Angreifer ungewollt ein vollständiges Profil frei Haus. Urlaubsfotos verraten den Wohnort, Posts zum Geburtstag oder Jubiläum geben persönliche Daten preis, und selbst scheinbar harmlose Inhalte wie der Lieblingsfilm oder die Namen der Kinder können für Sicherheitsfragen genutzt werden.

So einfach funktioniert telefonisches Social Engineering:

  1. Recherchephase: Der Angreifer sammelt öffentlich verfügbare Informationen – über Google, soziale Medien, Online-Profile und Forenbeiträge.
  2. Zieldefinition: Mit diesen Daten wird eine glaubwürdige Identität aufgebaut – z. B. ein angeblicher Bankmitarbeiter, ein Kollege aus der Personalabteilung oder ein Telekommunikationsanbieter.
  3. Kontaktaufnahme: Per Telefon wird das Opfer kontaktiert. Unter einem Vorwand wird gezielt nach weiteren Informationen gefragt oder sogar eine Aktion ausgelöst – etwa das Zurücksenden eines Authentifizierungscodes.
  4. Datennutzung: Die so gewonnenen Informationen können dann genutzt werden, um Accounts zu übernehmen, Bankgeschäfte zu tätigen oder Identitätsdiebstahl zu begehen.

Schutzmaßnahmen gegen telefonischen Identitätsdiebstahl:

  • Sensibilisierung: Sei dir bewusst, dass auch am Telefon keine echten Identitätsprüfungen stattfinden. Gib niemals sensible Daten heraus, ohne den Anrufer eindeutig zu identifizieren.
  • Informationshygiene: Überlege dir genau, was du online teilst – selbst harmlose Details können in den falschen Händen gefährlich sein.
  • Rückrufprinzip: Rufe bei vermeintlich offiziellen Anfragen immer über die offiziell bekannte Nummer zurück – niemals über eine Nummer, die dir vom Anrufer genannt wurde.
  • Zwei-Faktor-Authentifizierung: Verwende überall dort, wo es möglich ist, eine Zwei-Faktor-Authentifizierung. Diese bietet auch bei Social-Engineering-Angriffen eine zusätzliche Sicherheitsebene.

Social Engineering ist kein futuristisches Hacker-Tool, sondern passiert mitten im Alltag – oft am Telefon, mit harmlos wirkenden Gesprächen. Die größte Schwachstelle im System ist dabei oft nicht die Technik, sondern der Mensch. Umso wichtiger ist es, sich über die Methoden der Angreifer zu informieren und die eigene digitale Selbstverteidigung zu stärken. Wer mit offenen Augen durchs Netz geht, schützt nicht nur sich selbst, sondern auch sein persönliches Umfeld.

Identitätsdiebstahl per Telefon: Wie wenige Daten genügen

In vielen Fällen genügt es, wenn ein Anrufer bei einer Bank, einem Mobilfunkanbieter oder einer Versicherung das Geburtsdatum, die vollständige Anschrift und die Kontonummer einer Zielperson nennen kann – und schon gilt er als authentifiziert. Das Personal am Telefon geht dann oft davon aus, dass es sich um den echten Kunden handelt.

Mit dieser vermeintlichen „Authentifizierung“ lässt sich eine Vielzahl sensibler Informationen abfragen:

  • Kontostände
  • Letzte Transaktionen
  • Vertragsdetails
  • Zugangsdaten oder Sicherheitsverfahren
  • Änderungen an bestehenden Verträgen oder Adressen

Wer sich geschickt gibt und ein glaubwürdiges Szenario vorgibt, kann so unter der Identität einer anderen Person fast beliebig Informationen abfragen oder Änderungen veranlassen. Das fiese daran: Die betroffene Person merkt häufig erst Wochen später, dass ihre Identität missbraucht wurde – etwa, wenn Mahnungen eintreffen, neue Verträge abgeschlossen wurden oder das Bankkonto manipuliert wurde.

Woher kommen diese Schlüsseldaten?

Viele dieser Basisinformationen sind öffentlich oder mit geringem Aufwand recherchierbar:

  • Das Geburtsdatum haben viele in ihren Social-Media-Profilen hinterlegt. Meist ist es öffentlich einsehbar oder wird mit Glückwunsch-Posts offengelegt. In Online-Biografien und Lebensläufen wird es auch oft öffentlich genannt.
  • Die Anschrift lässt sich z. B. über Social-Media, Google-Dienste, Online-Telefonbücher, Impressen oder frühere Bestellungen recherchieren.
  • Die Kontonummer oder Teile davon können durch Social Engineering, Phishing-Mails oder sogar aus entsorgten Kontoauszügen hervorgehen.

In Kombination bilden diese Daten ein gefährliches Fundament für telefonischen Identitätsdiebstahl. Die Betroffenen fühlen sich oft machtlos – dabei beginnt der Schutz bereits mit einem bewussteren Umgang mit persönlichen Informationen im Netz.

Tipp für Leser:innen:
Frage bei deiner Bank oder deinem Anbieter nach, welche Daten zur telefonischen Authentifizierung notwendig sind, und ob es möglich ist, ein zusätzliches Sicherheitsmerkmal – wie ein Kennwort oder Rückrufpasswort – zu hinterlegen. So lässt sich das Risiko deutlich minimieren.

Jeder kann hacken!

Im Umgang mit den smarten Technologien, bei der Abfrage, Angabe und der Herausgabe von sensiblen Informationen und im Umgang mit Menschen sollte uns die Sätze „Jeder kann hacken! Jeder kann gehackt werden!“ immer bewußt sein.

Cyber-News

Abonniere jetzt unsere Cyber-News! Erhalte wertvolle Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, den neuesten Betrugsmaschen, Phishing-Methoden und Social-Engineering. Ganz gleich ob du Anfänger oder Fortgeschrittener bist, werde Teil unserer Community und erhalte alle 4 Wochen wertvolle Insights, um deine IT-Sicherheit zu verbessern!

Newsletter abonnieren

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

Commerzbank Fake Mail, mit folgendem Textinhalt: Sehr geehrte Kundin, sehr geehrter Kunde, Aus Sicherheitsgründen bitten wir Sie, Ihr Konto umgehend zu verifizieren. Da die Verifizierung bisher nicht abgeschlossen wurde, nicht bestätigten Konten vorübergehend sperren. Über den folgenden Link können Sie den Verifizierungsprozess starten, um eine Sperrung Ihres Benutzerkontos zu vermeiden: Jetzt aktualisieren Sollte die Aktualisierung nicht zeitnah erfolgen, wird der digitale Zugang zu Ihrem Konto aus Sicherheitsgründen vorübergehend gesperrt. Ihre Commerzbank - Commerzbank: Die Bank für Privat- und Unternehmerkunden.Commerzbank Fake Mail, mit folgendem Textinhalt: Sehr geehrte Kundin, sehr geehrter Kunde, Aus Sicherheitsgründen bitten wir Sie, Ihr Konto umgehend zu verifizieren. Da die Verifizierung bisher nicht abgeschlossen wurde, nicht bestätigten Konten vorübergehend sperren. Über den folgenden Link können Sie den Verifizierungsprozess starten, um eine Sperrung Ihres Benutzerkontos zu vermeiden: Jetzt aktualisieren Sollte die Aktualisierung nicht zeitnah erfolgen, wird der digitale Zugang zu Ihrem Konto aus Sicherheitsgründen vorübergehend gesperrt. Ihre Commerzbank - Commerzbank: Die Bank für Privat- und Unternehmerkunden.
Commerzbank-Fake-Mail: Wie Phishing-Mails Wikipedia nutzen, um glaubwürdiger...
Phishing-Mails sind längst nicht mehr plump oder schlecht formuliert –...
>>>
Die wahren Absichten hinter scheinbar harmlosem Kommentar-SpamDie wahren Absichten hinter scheinbar harmlosem Kommentar-Spam
Die wahren Absichten hinter scheinbar harmlosem Kommentar-Spam
Kommentarbereiche auf Websites oder Blogs sind nicht nur Orte des...
>>>
Datensicherheit-Cybersicherheit-BombDatensicherheit-Cybersicherheit-Bomb
Achtung vor ClickFix: TikTok-Videos verbreiten gefährliche Infostealer-Malware
Neuer Social-Engineering-Trick bedroht Millionen TikTok-Nutzer Cyberkriminelle schlagen mit einer besonders perfiden...
>>>
Tagged with: , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert