Neue Betrugsmasche erklärt: Der Callback als Scam

Versierte im Bereich Social Engineering kennen bereits den so genannten „Tech Support Scam“ und wissen, dass es sich fast ausschliesslich um Fake handelt, wenn sich ein – meist Englisch sprechender – Support-Mitarbeiter meldet und erzählt, dass es ein Problem mit dem eigenen Computer gäbe. Aber was, wenn nicht der Support-Mitarbeiter bei Ihnen anruft, sondern der Anruf vielmehr von Ihnen initiiert wurde? Wenn Sie also glauben, das Callcenter eines Unternehmens angerufen zu haben – genau das ist die Idee hinter Callback Phishing.

Die initiale E-Mail

Wie bei den meisten anderen IT-Betrugsdelikten auch, ist eine E-Mail der Ausgangspunkt für diese Art von Scam. Die E-Mail ist in ihrer Aufmachung meist eine unerwartete Rechnung für ein nicht gebuchtes Abonnement oder etwas anderes, dass das potenzielle Opfer zu einer Handlung bewegen soll. Weitere Beispiele sind Anwaltsschreiben, angekündigte Paketzustellungen oder Ähnliches. Die E-Mail enthält dabei aber im Unterschied zu klassischen Phishing-Nachrichten weder bösartige Links noch verdächtige Anhänge. Im Gegenteil, die Aufmachung kann höchst professionell aussehen und enthält nichts, was inhaltsbasierende Sicherheitslösungen als bösartig identifizieren könnten.

Das Ziel der Angreifer ist es, das Opfer dazu zu bringen, eine Telefonnummer, meist eine Service-Hotline anzurufen – beispielsweise, um den vermeintlichen Irrtum bei der Rechnungsstellung aufzuklären. Diese Servicenummer führt häufig ins Ausland, muss aber nicht zwangsläufig kostenpflichtig sein. So wird in einer Rechnung beispielsweise als Rechnungssteller ein real existierendes Unternehmen mit korrektem Impressum angegeben. Nur die Hotline-Nummer ist ausgetauscht.

Der Betrug

Das erste Etappenziel der Täter ist also der freiwillige Anruf des Opfers bei der vermeintlichen Service-Hotline. Dort wird es vom Gesprächspartner meist korrekterweise darauf hingewiesen, dass es sich um einen Betrug handelt. So hätten Kriminelle zum Beispiel eine manipulierte Rechnung geschickt, in der Hoffnung, dass ahnungslose Kunden das Geld einfach überweisen würden. So schaffen die Täter eine Vertrauensbasis – ist das Opfer doch zunächst erleichtert, dass es auf den offensichtlichen Betrug nicht hereingefallen ist und nun jemanden am Telefon hat, der es mit ihm ehrlich meint.

Diese bewusst herbeigeführte Situation dient nun der eigentlichen Absicht der Täter: Sie erklären dem Opfer, dass es vermutlich deswegen Ziel dieser E-Mail geworden sei, weil bereits relevante Daten gestohlen worden seien und dies erfahrungsgemäss daran liege, dass der PC des Opfers von Malware infiziert sei. Weil man als Unternehmen mit Weltruf seinen Kunden einen Gefallen tun wolle, biete man dem Opfer nun Hilfe durch einen Support-Mitarbeiter an.

Die „Kill Chain“

Das Opfer durchleidet nun ein wahres Gefühlsbad: Auf der einen Seite fühlt man sich von einem dringlichen Problem befreit. Auf der anderen Seite droht eine weitaus grössere, unbekannte Herausforderung. Und hier ist ein „wohlmeinender Mitarbeiter“ einer „weltbekannten Firma“, der einem aus der Patsche helfen möchte. Klar lässt man sich weiterverbinden oder auch zurückrufen, weil der Kollege angeblich gerade noch mit einem ähnlichen Fall beschäftigt ist. Wie beim „Tech Support“-Scam wird nun dieser vermeintliche Support-Mitarbeiter eine Fernwartungssoftware auf dem System des Opfers einrichten, um die Steuerung zu übernehmen. Vor den Augen des Besitzers werden Daten ausgelesen, vermeintlich bösartige Dateien gelöscht und Sicherheitstools installiert. Damit ist das Ziel der Angreifer erreicht: Sie sind nun diejenigen, die das System und alle Daten darauf kontrollieren.

Vorsicht auch im Berufsleben!

Auch wenn diese Betrugsmasche, wie viele Cyberangriffe, primär Privatanwender trifft, so stellen wir zunehmend fest, dass auch Ransomware-Gruppen diese Vorgehensweise wählen. Sie wenden sich dabei gerne an Mitarbeiter im Homeoffice oder geben sich gar als eigene Supportabteilung aus. Auch hier ist das Ziel, eine Fernwartungssoftware auf dem System des Opfers zu installieren oder eine andere Zugriffsmethode (Backdoor) einzurichten. Dem Opfer wird suggeriert, dass sein Problem damit behoben sei, um es in falscher Sicherheit zu wiegen. Auch soll der Betroffene keinen Grund haben, den Vorfall innerhalb des Unternehmens weiter zu melden. Die Ransomware-Akteure haben damit einen initialen Angriffspunkt, mit dem sie nach und nach die IT des Unternehmens von innen aushebeln können.

Mögliche Gegenmassnahmen

• Man kann es nicht oft genug betonen: Informationen, die per E-Mail aus einer nicht persönlich bekannten Quelle erhalten werden, sollten immer skeptisch betrachtet werden. Erhalten Sie eine fragwürdige oder falsche Rechnung oder ein ähnliches Schreiben, recherchieren Sie zunächst, ob eine angegebene Service-Hotline auch real ist.
• Dazu kann beispielsweise die Telefonnummer gegoogelt werden, um festzustellen, ob es damit bereits Erfahrungen gibt. Oft genug melden sich Opfer beim Verbraucherschutz und man erfährt sehr schnell, wenn eine Nummer betrügerisch ist. Sollten man nichts finden: Seriöse Unternehmen haben auf ihrer Website Kontaktinformationen. Nutzen Sie diese!.
• Wenn eine unerwartete E-Mail eine Handlungsaufforderung enthält, also beispielsweise eine Aufforderung zur Zahlung, Paketabholung, Umstellung von Kundendaten, etc., handelt es sich häufig um einen Betrugsversuch. Lassen Sie sich nicht unter Druck setzen!.
• Erhalten Sie eine dubiose Mail an Ihre berufliche E-Mail-Adresse, leiten Sie diese stets an Ihre IT- oder IT-Sicherheitsabteilung weiter. Meist sind Sie nicht die einzige Person im Unternehmen, die so etwas erhält – und andere Kolleginnen und Kollegen kennen diese Art des Angriffs unter Umständen nicht und sind dementsprechend sorglos.