Anbahnung von Angriffen: Cyber-Kriminelle nutzen zunehmend Callcenter

Vorgetäuschte Callcenter für Tickethändler, Cyber-Sicherheitsunternehmen, „Corona“-Hilfsfonds oder Online-Händler

[datensicherheit.de, 04.11.2021] Security-Experten von Proofpoint haben nach eigenen Angaben „eine Zunahme von Attacken beobachtet, bei denen sich die Angreifer ein ausgeklügeltes Ökosystem von callcenter-basierten E-Mail-Bedrohungen zunutze machen“. Anders als bei klassischem Telefonbetrug, bei dem im Regelfall Täter ihre Opfer direkt anriefen, setzten Cyber-Kriminelle hier darauf, dass die potenziellen Opfer selbst zum Hörer griffen und so die Interaktion einleiteten. „Auf diese Weise entsteht für die Opfer vermeintliche Sicherheit, da diese selbst aktiv werden.“ Doch der Schaden könne auch für Privatpersonen immens sein. „E-Mail-Betrug, der von Callcentern unterstützt wird, ist zwar kein ganz neues Phänomen, allerdings werden die Täter nun immer professioneller.“ In vielen Fällen verlören die Opfer Zehntausende von Euro, die direkt von ihren Bankkonten gestohlen würden. Bei den Attacken konzentrierten sich die Täter vorwiegend auf Deutschland, die Vereinigten Staaten, Australien und Indien.

Im Prinzip 2 Arten von Callcenter-Bedrohungen beobachtet

Generell gebe es zwei Arten von Callcenter-Bedrohungen, welche von Proofpoint regelmäßig beobachtet würden: „Bei der einen kommt kostenlose, legitime Fernwartungssoftware zum Einsatz, um Geld zu stehlen. Bei der anderen wiederum wird eine als Dokument getarnte Malware verbreitet, um einen Computer zu kompromittieren.“
In letzterem Fall könne es auch zu Folgeinfektionen kommen, wenn weitere Malware nachgeladen wird. Bei dieser zweiten Angriffsart werde regelmäßig die „BazaLoader“-Malware genutzt, weshalb diese Vorgehensweise auch als „BazaCall“ bezeichnet werde. Proofpoint fasse beide Angriffsarten unter dem Kürzel „TOAD“ (für Telephone-oriented Attack Delivery) zusammen.

Abbildung: proofpoint

Infektionskette zum Diebstahl von Geld bzw. Daten

E-Mails sollen Opfer zum Anruf beim Callcenter verleiten

Laut den aktuellen Erkenntnissen von Proofpoint erhalten bei den jüngst beobachteten Angriffen die Opfer E-Mails, „in denen sich die Angreifer als Vertreter von Organisationen – beispielsweise Tickethändler für Justin-Bieber-Konzerte, Cyber-Sicherheitsunternehmen, ,Corona‘-Hilfsfonds oder Online-Händler – ausgeben und Rückerstattungen für irrtümliche Käufe, Software-Updates oder finanzielle Hilfen versprechen“.
Diese E-Mails enthielten dabei eine Telefonnummer der vermeintlichen Kundenbetreuung. Sobald die Opfer diese Nummer anrufen, werden sie demnach direkt mit einem der betrügerischen Callcenter-Mitarbeiter verbunden und der Angriff beginnt.

Abbildung: proofpoint

BazaCall-Infektionskette zur Verbreitung der BazaLoader-Malware

Proofpoint konnte Callcenter in Indien identifizieren

„Obgleich es eine Herausforderung ist, die TOAD-Aktivitäten bestimmten Gruppen zuzuordnen, gelang es Proofpoint mehrere Aktivitäts-Cluster in Indien zu identifiziert.“ Die meisten Aktivitäten in diesem Zusammenhang spielten sich dabei in drei Städten ab: Kolkata, Mumbai und Neu-Delhi.
Proofpoint habe zudem anhand der Interaktionen der Täter mit den Security-Experten sowie anhand von öffentlich zugänglichen Informationen, die in Betrugsforen und auf YouTube geteilt worden seien, mehrere physische Standorte der Täter ausfindig machen können.

Opfern droht schlimmste vorstellbare Erfahrung mit vorgetäuschtem Kundenservice-Callcenter

„Cyber-Kriminelle werden sehr kreativ bei ihren Ködern. Eine gefälschte Quittung für Justin-Bieber-Tickets oder den Kauf einer Schusswaffe erregen zumeist genug Aufmerksamkeit, um selbst den wachsamsten E-Mail-Empfänger hinters Licht zu führen“, kommentiert Sherrod DeGrippo, „VP, Threat Research and Detection“ bei Proofpoint.
DeGrippo warnt: Sollte der Empfänger hierauf reagieren und versuchen, die angeblichen Kosten anzufechten, folge eine ausgeklügelte Infektionskette, die erhebliche menschliche Interaktion erfordere. „Dabei können die Opfer die schlimmste Erfahrung mit einem vorgetäuschten Kundenservice machen, die man sich nur vorstellen kann und die letztendlich im Diebstahl von Geld bzw. einer Malware-Infektion mündet.“

Weitere Informationen zum Thema:

proofpoint, Selena Larson & Sam Scholten & Timothy Kromphardt, 04.11.2021
Caught Beneath the Landline: A 411 on Telephone Oriented Attack Delivery