Phisher angeln nun auch übers Telefon

Phishing-E-Mails spähen über falsche Telefonnummern sensible Bankdaten aus

(05.05.06) - SurfControl hat eine neue Phishing-Variante identifiziert: Anstatt wie gewöhnlich den Empfänger zu einer betrügerischen Website umzuleiten, die Passwörter und Kontoinformationen abgreift, verweist diese Phishing-E-Mail auf eine Telefonnummer als Kontakt. Ziel der Attacke sind vor allem Kunden der amerikanischen Chase Bank. Die Phishing-Variante setzt eine gebührenfreie Telefonnummer ein, die möglicherweise mit falschen Namen oder Kontaktinformationen eingerichtet wurde. Das Erscheinungsbild der Telefonnummer ähnelt den typischen gebührenfreien Telefon-nummern, welche die echte Chase Bank nutzt. Wählen Kunden diese Nummer, werden sie von einer aufgezeichneten Nachricht begrüßt und gebeten, ihre vertraulichen Daten einzugeben. So tappen sie direkt in die Falle der Phisher.

Nachdem Empfänger von Phishing-E-Mails mittlerweile daran gewöhnt sind, betrügerische URLs zu erkennen, sehen sie sich dieser neuen Methode noch völlig ahnungslos gegenüber. Phisher auf der Suche nach Kundeninformationen nutzen dies aus, um ihre Erfolgsquote zu steigern.

So funktioniert der telefonische Phishing-Versuch:

SurfControl überprüfte die Verbrechermethode anhand von falschen Informationen. Das Phishing-System war sogar in der Lage, ungültige oder falsch eingegebene Kreditkartennummern zu erkennen. Dabei gehen die Betrüger folgendermaßen vor:

[Automatische Bandansage unter der angegebenen Nummer:]

Phisher: Willkommen bei der Kontoverifizierung der Chase Bank. Geben Sie bitte Ihre 16-stellige Kreditkartennummer ein.

Nutzer: [gibt gültige 16-stellige Kreditkartennummer ein]

Phisher: Geben Sie jetzt das Ablaufdatum ein, erst den Monat, dann das Jahr.

Nutzer: [gibt vierstelliges Datum ein]

Phisher: Geben sie bitte die letzten vier Ziffern der Sozialversicherungsnummer des Besitzers der Hauptkarte ein.

Nutzer: [gibt vier Ziffern ein]

Phisher: Der Vorgang wird bearbeitet. Vielen Dank. Ihr Konto ist verifiziert.

[Ende der Bandansage]

Erst kürzlich waren Kunden der Chase Bank ins Visier von Phishern geraten. Um die Bankkunden zur Herausgabe vertraulicher Daten zu bewegen, stellten die Betrüger 20 Dollar Belohnung für die Teilnahme an einer Umfrage in Aussicht. Das besondere an dieser Attacke war, dass sie mit einem so genannten Phishing-Kit durchgeführt wurde, bei dem Phishing-Mails von verschiedenen Servern, aber mit einem einheitlichen Quellcode verschickt wurden, um die Rechner mehrerer Unternehmen zu attackieren. Bei den gekaperten Systemen handelte es sich zum Teil um freie Web-Hosting-Server, die sich zum Zeitpunkt der Veröffentlichung der Phishing-Meldung am Netz befanden.

Die Global Threat Experts von SurfControl hatten unterschiedliche Varianten einer gleichen Nachricht entdeckt, die sich alle eines anderen Servers bedienten. Die Quellcodes der gefälschten Umfrage-Seiten wiesen jedoch große Ähnlichkeit auf. Ersten Reports des Sicherheitsdienstleisters Netcraft zufolge befand sich ein kompromittierter Server, der an der Phishing-Kampagne beteiligt war, an einem Standort in China. In einer genaueren Untersuchung stellten die Sicherheitsexperten von SurfControl zusätzliche Aktivitäten auf Servern in den USA fest. Insgesamt registrierte der Security-Dienstleister in den letzten Monaten eine Zunahme der Attacken anhand von Phishing-Kits um 30 Prozent. (SurfControl: ma)