Thought Leadership
Die Plattform ATHR kombiniert KI mit klassischen Phishing-Methoden, um Angriffe fast vollständig zu automatisieren. Für eine Einstiegsgebühr von 4.000 US-Dollar erhalten Kriminelle Zugang zu einer Infrastruktur, die selbst erfahrene Sicherheitsfilter umgeht und globale Marken wie Google und Microsoft ins Visier nimmt.
Während klassische Phishing-Kampagnen zunehmend durch moderne Abwehrmechanismen und sensibilisierte Nutzer blockiert werden, etabliert sich mit der Plattform ATHR ein neues Modell des Betrugs: Ki-Vishing. Vishing, die Kurzform für Voice-Phishing, beschreibt Angriffe, bei denen Opfer per Telefon zur Preisgabe sensibler Daten bewegt werden. Was bisher geschulte menschliche Anrufer und aufwendige Callcenter-Strukturen erforderte, wird durch ATHR nun skalierbar und für eine breite Masse an Kriminellen zugänglich.
Rundum-sorglos-Paket für Cyberkriminelle
Hinter der Entdeckung stehen die Sicherheitsforscher Aaron Orchard, Callie Baron und Piotr Wojtyla von Abnormal Security, wie Cybernews berichtete. Sie beschreiben ATHR als eine Art Rundum-sorglos-Paket für Cyberkriminelle. Das Toolkit wird in einschlägigen Untergrundforen aggressiv beworben. Die Konditionen spiegeln den kommerziellen Charakter wider: Interessenten zahlen eine Vorabgebühr von 4.000 US-Dollar sowie eine Erfolgsprovision von zehn Prozent der generierten Gewinne. Damit folgt die Plattform dem Trend der kriminellen Dienstleistungswirtschaft, bei der spezialisierte Entwickler ihre Tools an weniger technisch versierte Akteure vermieten.
Der technologische Kern von ATHR basiert auf der Methode des Telephone-Oriented Attack Delivery, kurz TOAD. Im Gegensatz zu herkömmlichen Attacken verzichtet dieser Ansatz in der ersten Phase auf schädliche Anhänge oder verdächtige Links in E-Mails. Stattdessen erhalten die Opfer eine täuschend echte Nachricht, die beispielsweise über eine angebliche Sicherheitswarnung oder eine unbefugte Kontoänderung informiert. Diese E-Mail enthält lediglich eine Telefonnummer, die der Nutzer zur Klärung des Vorfalls anrufen soll. Da keine bösartigen URLs oder Payloads vorhanden sind, laufen viele herkömmliche Sicherheitslösungen ins Leere, weil keine technischen Indikatoren für eine Blockierung vorliegen.
KI übernimmt Gesprächsführung
Sobald ein Opfer die angegebene Nummer wählt, übernimmt die Plattform ATHR die vollständige Interaktion. Technisch greift das System auf die Open-Source-Telefonie-Engine Asterisk und den Standard WebRTC zurück. Dies ermöglicht es den Angreifern, den gesamten Anrufprozess direkt über einen gewöhnlichen Webbrowser zu steuern, ohne zusätzliche Hardware oder komplexe Plugins installieren zu müssen. Das eigentliche Herzstück der Plattform sind jedoch die KI-gestützten Sprachagenten. Diese nutzen skriptbasierte Dialoge, um die Opfer durch fingierte Sicherheitsszenarien zu führen. Die KI-Stimmen wirken professionell und vertrauenserweckend, während sie Schritt für Schritt Informationen abfragen, um angeblich die Identität des Nutzers zu verifizieren oder den Wiederherstellungsprozess des Kontos einzuleiten.
Ein entscheidender Vorteil für die Kriminellen ist die Skalierbarkeit. Frühere Plattformen waren auf geschulte menschliche Operatoren angewiesen, was die Anzahl der gleichzeitig führbaren Gespräche begrenzte. Mit ATHR kann ein einzelner Operator mehrere Kampagnen für verschiedene Marken gleichzeitig verwalten, da die KI die Gesprächsführung übernimmt. Die Plattform bietet vorgefertigte Phishing-Panels für eine Vielzahl prominenter Dienste an, darunter Finanz- und Krypto-Plattformen wie Coinbase und Binance sowie E-Mail-Anbieter wie Google, Microsoft, Yahoo und AOL.
Bereits Vorfälle bei SoundCloud und Betterment
Während des Telefonats können die Angreifer den Fortschritt des Opfers auf einer gefälschten Login-Seite in Echtzeit mitverfolgen. Wenn das Opfer seine Zugangsdaten oder einen sechsstelligen Verifizierungscode eingibt, werden diese Informationen sofort im Dashboard des Kriminellen angezeigt. Dieser kann die Sitzung aktiv steuern, das Opfer zwischen verschiedenen Seiten hin- und herleiten und die erbeuteten Daten sofort für einen Kontozugriff nutzen. Diese Synchronisation zwischen der KI-Sprachführung und der gefälschten Webseite erhöht die Glaubwürdigkeit des Betrugs massiv.
Die Sicherheitsbranche sieht in Plattformen wie ATHR eine ernste Eskalation. Lucy Finlay, Direktorin für sicheres Verhalten und Analytik bei Redflags, warnt davor, dass es sich hierbei nicht mehr um gezielte Einzelangriffe handelt, sondern um eine skalierbare Infrastruktur zur Massenmanipulation. Die Hemmschwelle für komplexe Social-Engineering-Angriffe sinkt durch solche Plug-and-Play-Lösungen enorm. Dass solche Vishing-Kits bereits in der Praxis eingesetzt werden, zeigen Berichte über Vorfälle bei Unternehmen wie SoundCloud und Betterment, die bereits Anfang des Jahres mit ähnlichen Methoden konfrontiert waren.
Verhaltensanalysen zum Schutz vor Ki-Vishing
Für Unternehmen bedeutet die Existenz von ATHR, dass herkömmliche Sicherheitsschulungen, die sich auf das Erkennen von Rechtschreibfehlern oder verdächtigen Links konzentrieren, nicht mehr ausreichen. Der Schutz muss sich künftig verstärkt auf Verhaltensanalysen stützen. Dazu gehört die Überwachung ungewöhnlicher Absenderbeziehungen und das Erkennen von Mustern bei Telefonnummern in E-Mails über mehrere Nutzerkonten hinweg. Mitarbeiter müssen darauf trainiert werden, bei unaufgeforderten Sicherheitswarnungen grundsätzlich skeptisch zu bleiben und ausschließlich offizielle Kanäle zur Verifizierung zu nutzen.
Die Entdeckung von ATHR ist ein deutlicher Beleg dafür, dass KI längst zum festen Bestandteil des Arsenals von Cyberkriminellen geworden ist. Die Automatisierung der menschlichen Interaktion macht es für Verteidiger schwerer denn je, zwischen legitimer Unterstützung und einem hochspezialisierten Betrugsversuch zu unterscheiden. In einer Welt, in der die Stimme am anderen Ende der Leitung perfekt simuliert werden kann, wird das Prinzip des Vertrauens zur größten Sicherheitslücke.
