Callback als Scam
Bei dieser Betrugsmasche ist es Ziel der Angreifer, Opfer dazu zu bringen, eine Service-Hotline anzurufen, um einen vermeintlichen Irrtum aufzuklären. Wie es weitergeht und wie man es vermeidet, darauf hereinzufallen, zeigen wir Ihnen hier.
Im Bereich Social Engineering Versierte kennen auch den so genannten „Tech Support Scam“ und wissen natürlich, dass es nur Fake ist, wenn sich ein – meist Englisch sprechender – Support-Mitarbeiter meldet und erzählt, dass es ein Problem mit dem eigenen Computer gäbe. Aber was, wenn nicht der Support-Mitarbeiter bei Ihnen anruft, sondern der Anruf vielmehr von Ihnen initiiert wurde? Wenn Sie also glauben, das Callcenter eines Unternehmens angerufen zu haben. Das ist die Idee hinter Callback Phishing.
Die initiale Mail
Wie bei den meisten anderen IT-Betrugsdelikten auch ist eine E-Mail Ausgangspunkt für diesen Scam. Die Mail ist in ihrer Aufmachung meist eine unerwartete Rechnung für ein nicht gebuchtes Abonnement oder etwas anderes, das das potenzielle Opfer zu einer Handlung bewegen soll. Weitere Beispiele sind Anwaltsschreiben, angekündigte Paketzustellungen oder ähnliches. Die Mail enthält dabei aber im Unterschied zu klassischen Phishing-Nachrichten weder bösartige Links noch verdächtige Anhänge. Im Gegenteil, die Aufmachung kann höchst professionell aussehen und enthält nichts, was inhaltsbasierende Sicherheitslösungen als bösartig identifizieren könnten.
Das Ziel der Angreifer ist es, das Opfer dazu zu bringen, eine Telefonnummer, meist eine Service-Hotline anzurufen – beispielsweise, um den vermeintlichen Irrtum bei der Rechnungsstellung aufzuklären. Diese Servicenummer führt häufig ins Ausland, muss aber nicht zwangsläufig kostenpflichtig sein. So wird in einer Rechnung beispielsweise als Rechnungssteller ein real existierendes Unternehmen mit korrektem Impressum angegeben. Nur die Hotline-Nummer ist ausgetauscht.
Der Betrug
Das erste Etappenziel der Täter ist also der freiwillige Anruf des Opfers bei der vermeintlichen Service-Hotline. Dort wird es vom Gesprächspartner meist korrekterweise darauf hingewiesen, dass es sich um einen Betrug handelt. So hätten Kriminelle zum Beispiel eine manipulierte Rechnung geschickt, in der Hoffnung, dass ahnungslose Kunden das Geld einfach überweisen würden. So schaffen die Täter eine Vertrauensbasis – ist das Opfer doch zunächst erleichtert, dass es auf den offensichtlichen Betrug nicht hereingefallen ist und nun jemanden am Telefon hat, der es mit ihm ehrlich meint.
Diese bewusst herbeigeführte Situation dient nun der eigentlichen Absicht der Täter: Sie erklären dem Opfer, dass es vermutlich deswegen Ziel dieser E-Mail geworden sei, weil bereits relevante Daten gestohlen worden seien und dies erfahrungsgemäß daran liege, dass der PC des Opfers von Malware infiziert sei. Weil man als Unternehmen mit Weltruf seinen Kunden einen Gefallen tun wolle, biete man dem Opfer nun Hilfe durch einen Support-Mitarbeiter an.
Die „Kill Chain“
Das Opfer durchleidet nun ein wahres Gefühlsbad: Auf der einen Seite fühlt man sich von einem dringlichen Problem befreit. Auf der anderen Seite droht eine weitaus größere, unbekannte Herausforderung. Und hier ist ein „wohlmeinender Mitarbeiter“ einer „weltbekannten Firma“, der einem aus der Patsche helfen möchte. Klar lässt man sich weiterverbinden oder auch zurückrufen, weil der Kollege angeblich gerade noch mit einem ähnlichen Fall beschäftigt ist. Wie beim „Tech Support“-Scam wird nun dieser vermeintliche Support-Mitarbeiter eine Fernwartungssoftware auf dem System des Opfers einrichten, um die Steuerung zu übernehmen. Vor den Augen des Besitzers werden Daten ausgelesen, vermeintlich bösartige Dateien gelöscht und Sicherheitstools installiert. Damit ist das Ziel der Angreifer erreicht: Sie sind nun diejenigen, die das System und alle Daten darauf kontrollieren.
Vorsicht auch im Berufsleben
Auch wenn diese Betrugsmasche, wie viele Cyberangriffe, primär Privatanwender trifft, so stellen wir zunehmend fest, dass auch Ransomware-Gruppen diese Vorgehensweise wählen. Sie wenden sich dabei gerne an Mitarbeiter im Homeoffice oder geben sich gar als eigene Supportabteilung aus. Auch hier ist das Ziel, eine Fernwartungssoftware auf dem System des Opfers zu installieren oder eine andere Zugriffsmethode (Backdoor) einzurichten. Dem Opfer wird suggeriert, dass sein Problem damit behoben sei, um es in falscher Sicherheit zu wiegen. Auch soll der Betroffene keinen Grund haben, den Vorfall innerhalb des Unternehmens weiter zu melden. Die Ransomware-Akteure haben damit einen initialen Angriffspunkt, mit dem sie nach und nach die IT des Unternehmens von innen aushebeln können.
Gegenmaßnahmen
- Man kann es nicht oft genug betoen: Informationen, die Sie per E-Mail aus einer Ihnen nicht persönlich bekannten Quelle erhalten, sollten Sie immer skeptisch betrachten. Erhalten Sie eine fragwürdige oder falsche Rechnung oder ein ähnliches Schreiben, recherchieren Sie zunächst, ob eine angegebene Service-Hotline auch real ist.
- Dazu können Sie beispielsweise die Telefonnummer googlen, um festzustellen, ob es damit bereits Erfahrungen gibt. Oft genug melden sich Opfer beim Verbraucherschutz und Sie erfahren sehr schnell, wenn eine Nummer betrügerisch ist. Sollten Sie nichts finden: Seriöse Unternehmen haben auf ihrer Website Kontaktinformationen. Nutzen Sie diese.
- Wenn eine unerwartete E-Mail eine Handlungsaufforderung enthält, also beispielsweise eine Aufforderung zur Zahlung, Paketabholung, Umstellung von Kundendaten, etc., handelt es sich häufig um einen Betrugsversuch. Lassen Sie sich nicht unter Druck setzen.
- Erhalten Sie eine dubiose Mail an Ihre berufliche E-Mail-Adresse, leiten Sie diese stets an Ihre IT- oder IT-Sicherheitsabteilung weiter. Meist sind Sie nicht die einzige Person im Unternehmen, die so etwas erhält – und andere KollegInnen kennen diese Art des Angriffs unter Umständen nicht und sind dementsprechend sorglos.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.