Voice Phishing - Ein Blick auf Sicht der Angreifenden

Wir alle kennen Voice Phishing zumindest aus der Theorie, hier haben wir mal dank Brian Krebs einen Blick hinter die Kulissen einer professionellen Gruppe wie sowas tatsächlich in der Praxis abläuft.

Die Gruppe betreibt dies arbeitsteilig, koordinieren sich über Discord mit Screen Stream, so dass eine Person das Telefonat führen kann, während andere Personen dann im Hintergrund die abgephishten Zugangsdaten anwendet.

Und weil die Zusammensetzung dieser Gruppen dabei recht flüchtig ist - im Wesentlichen läuft es so lange gut, bis einer die anderen bestiehlt - haben wir hier mal tatsächlich ein Screen Recording der ganzen Aktion auf Youtube.

Ansonsten haben die Leute Social Engineering Handbücher, je nachdem ob es sich um Apple, Microsoft, Plattformen für Cryptowährungen oder sonst was handelt, beinhalten diese Handbücher dann auch Taktiken wie man gen Ende, nachdem der Zugang kompromittiert ist, die angerufene Person auch noch ein paar Minuten an der Strippe halten kann während im Hintergrund alles ausgeräumt oder kopiert wird.

Merkmal dieser professionellen Gruppe ist dabei das Spoofing von Telefonnummern gegenüber dem Diensteanbieter (in diesem Beispiel hier Apple) um über deren Telefonservice vorzugeben der Angerufene zu sein, und dann über das Servicemenü tatsächlich von Apple stammende Notifications auf den Geräten zu erzeugen, von denen der Anrufer so tut als wäre das durch ihn oder sie in der Rolle des Service-Mitarbeiters initiiert worden.

Ein Großteil der Interaktion ist dann auch harmlos - bis zum Schluss dann der aufgebaut Rapport gegenüber dem angerufenem für den eigentlichen Scam genutzt wird, beispielsweise in dem man aufgefordert wird das Bearbeitsungs-Ticket für diesen Anruf auf einer Webseite zu schließen. Das ist dann der Moment wo - wenn man skeptisch geblieben ist - eine Fake-Seite präsentiert wird und man seine Zugangsdaten und eventuelle 2FA-Token eingeben soll.

Was lernen wir daraus? Im Westen nichts Neues - es ist fundamental immer noch der alte Betrug, über den wir seit Jahren reden, nur technisch aufwändiger gestaltet um das Opfer in den Headspace zu bringen das alles hier sei schon authentisch.

Ich mag den Kommentar eines Forschers an der Stelle, dass die größte Gefahr für die Kriminellen nicht die Strafverfolgung sei, sondern andere Kriminelle

“In short, a person whose moral compass lets them rob old people will also be a bad business partner,”

Wobei man das mit einem Körnchen Salz lesen sollte, denn wir sind hier immer noch in einem Teilsegment - nämlich nur die Kriminellen, von denen wir wissen.

Oder um mal Bob Dylan zu zitieren:

“To live outside the law, you must be honest.”

Als Krimineller, wenn du von anderen Kriminellen betrogen wirst, kannst du dich ja schlecht an die Polizei wenden. Im Endresultat ist man dadurch auf einen guten Ruf angewiesen. Das wird auch im Buch von Diego Gambetta „Codes of the Underworld: How Criminals Communicate“ schön dargelegt.

Das Buch klingt sehr spannend. Leider nicht in meiner Onleihe, aber so teuer ist es ja jetzt auch nicht.