Thought Leadership
Die Vorfälle häufen sich: Kriminelle geben sich als Regierungsbehörden, Steuerbeamte und sogar als Strafverfolgungsbehörden aus. Sie verwenden ausgeklügelte Methoden, um Menschen dazu zu bringen, ihnen Zugriff auf ihre privaten digitalen Geräte und Bankkonten zu gewähren oder direkt Geld an die Betrüger zu überweisen.
In der Regel haben sie eine oder mehrere der folgenden Techniken gemeinsam:
Gefälschte Anrufer-ID und Name einer offiziellen Regierungsbehörde:
Das Fälschen der Anrufer-ID ist einfach, und es ist nicht schwer, einen SMS-Namen einzurichten, der wie eine vertrauenswürdige Regierungsbehörde oder Strafverfolgungsbehörde aussieht. Manchmal verwenden die Kriminellen außerdem Logos von Ministerien in Verbindung mit ihren Kontaktdaten.
Ermittlungen oder andere offizielle Behördengeschäfte:
Angreifer beginnen oft mit einer glaubwürdig klingenden Geschichte, z. B. einer Strafverfolgungs- oder Steuerermittlung, und behaupten, dass das Opfer entweder unter Beobachtung steht oder in einem offiziellen Fall helfen muss. Verkehrsstrafen für Falschparken oder Geschwindigkeitsüberschreitungen sind ein weiterer häufiger Ansatz. Diese Geschichten wirken zumindest auf den ersten Blick legitim. Sobald jedoch Vertrauen aufgebaut ist, eskalieren die Forderungen schnell: Sie verlangen Zugriff auf Bankkonten, Einmalpasswörter oder die Einrichtung einer Fernsteuerung der Geräte. Zu diesem Zeitpunkt ist die Social Engineering-Technik so effektiv, dass es unglaublich schwierig wird, sich aus dem Griff des Angreifers zu befreien.
Bezug zu aktuellen Nachrichten oder saisonabhängigen Aktivitäten:
Die Betrüger stützen ihre Szenarien oft auf populäre Medienberichte, die mit Ministerien, neu verabschiedeten Gesetzen oder saisonalen Aktivitäten (z. B. Steuerterminen) in Verbindung stehen. Dadurch wirken ihre Szenarien glaubwürdiger und es ist wahrscheinlicher, dass sie eine Reaktion hervorrufen.
Verwendung von SMS oder E-Mail:
In der Vergangenheit erfolgten die meisten dieser Aktivitäten über Spam-E-Mails, immer beliebter werden jedoch SMS.
Missbrauch menschlicher Emotionalität:
Die Szenarien basieren zwangsläufig auf einer dringenden Situation, in der das Opfer helfen soll, z. B. bei einer ausstehenden Geldstrafe oder Gebühr, die auch noch erhöht wird oder sogar zu einer Inhaftierung führt, wenn das Opfer nicht sofort reagiert. Dieser Druck, schnell zu handeln, und das Angstmachen sollen das Opfer zu einer emotionalen Reaktion veranlassen.
Verschiedene Beamte sorgen für Vertrauen:
Um die Täuschung noch überzeugender zu machen, verweisen die Angreifer die Opfer häufig an einen weiteren falschen Regierungsmitarbeiter, um Verdachtsmomente zu zerstreuen. Das Opfer wird von einer Person zur nächsten weitergereicht, wobei jede ein wenig „hilft“, die Situation zu entschärfen, aber alle darauf aus sind, das Vertrauen des Opfers zu gewinnen und Zugang zu seinem Geld oder seinen digitalen Geräten zu erhalten. Die verschiedenen Personen sitzen oft nebeneinander in einem Callcenter, das sich auf diese Betrügereien spezialisiert hat. Durch die mehreren Personen, die sich um die Situation kümmern und jeweils mit dem Opfer sprechen, wirkt die Situation eher wie eine echte Behörde.
Vertrauensbildung durch detaillierte Anleitungen und Formulare:
Die Angreifer geben detaillierte mündliche Anweisungen, wie die vorgetäuschte Situation entschärft werden kann, und geben vor, dem Nutzer in jedem Schritt des Prozesses per Telefon zu helfen. Sie helfen ihm beim Ausfüllen gefälschter Behördenformulare und Anträge und leiten diese an andere falsche Behördenmitarbeiter weiter.
Diebstahl von Zugangsdaten und digitalen Geräten:
Die Angreifer gehen Schritt für Schritt vor, um alle sensiblen Daten des Opfers zu sammeln und Zugriff auf dessen finanzielle Ressourcen zu erhalten. Dazu installieren sie bösartige Apps, verleiten die Benutzer zum Klicken auf Links, sammeln Benutzernamen und Passwörter, ermitteln Bank- und andere Finanzdaten und stehlen Einmalpasswörter aus Multi-Faktor-Authentifizierungslösungen.
Fazit
All diese Betrugsmaschen können sich in ihrer Vorgehensweise durchaus unterscheiden, die Mehrheit folgt jedoch einem ähnlichen Muster. Sie sind sehr zielgerichtet und sorgfältig ausgeführt und richten sich oft gegen ältere Menschen, da diese eher über die entsprechenden Ressourcen verfügen und der technischen Komplexität dieser Angriffe leichter zum Opfer fallen. Deshalb ist Aufklärung so wichtig: Sollten Betroffene einige der Anzeichen erkennen, müssen sie ihre Familien oder Kollegen aufklären. Dann kann dies den Unterschied zwischen Sicherheit und Ausbeutung ausmachen.
Autor: Ed Skoudis, President und Fellow beim SANS Institute
