‘Wie kann ich Ihnen heute helfen?’ Betrüger täuschen Online-Support-Agenten über Live-Chat-Plattformen

  • Eine aktuelle Phishing-Masche, die auf Live-Chat-Plattformen abzielt, funktioniert zum Teil deshalb, weil Website-Betreiber, die Chat-Funktionen nutzen, hochgeladene Dateien nicht immer sorgfältig auf Malware überprüfen.

    Phishing-Betrüger, die sich als Kunden ausgeben, kontaktieren Live-Chat-Support-Agenten mit gefälschten Fragen oder Problemen und bringen sie dazu, bösartige Dokumente zu öffnen, so ein Incident-Response-Experte, der in den letzten beiden Quartalen einen deutlichen Anstieg dieser Taktik beobachtet hat.

    Das Schema ist ein weiteres aktuelles Beispiel für Phishing-Kampagnen, die Kommunikationsmedien außerhalb von E-Mails nutzen, um potenzielle Opfer zu überrumpeln. Und sie funktioniert zum Teil, weil Website-Betreiber, die Chat-Funktionen verwenden, hochgeladene Dateien nicht immer sorgfältig auf Malware überprüfen.

    Devon Ackerman, Managing Director und Head of Incident Response für Nordamerika bei Krolls Cyber Risk Practice, sagte, dass die böswilligen Akteure hinter diesem wachsenden Trend “direkt mit Ransomware-Gruppen verbunden sind” und wahrscheinlich automatisierte Skripte verwenden, um “Kontakt”- oder Chat-Formulare im Internet zu finden, die sie missbrauchen können.

    “Vom Standpunkt der Codierung aus kann ich eine Logik erstellen, die nach [these chat forms] über eine beliebige Anzahl von Websites”, sagte Ackerman und versetzte sich in die Lage eines Angreifers. Nachdem ich das Formular selbst gefunden habe, “ist das zweite, wonach ich suche… ein interaktives oder auswählbares Feld [in the form field] das mir erlaubt, einen Dateiupload durchzuführen.”

    “Ich kann mich sogar über einen virtuellen Hosting-Server für vielleicht fünf, zehn Dollar im Monat anonymisieren und mein Skript einfach 24 Stunden am Tag laufen lassen und es nonstop scannen lassen, wie es ein Spiderbot tun würde”, fuhr Ackerman fort, der zuvor als Supervisory Special Agent und Senior Digital Sciences Forensics Examiner beim FBI tätig war.

    Die Täter wählen dann ein Ziel aus den vom “Spiderbot” identifizierten Websites aus und verfassen eine auf das jeweilige Unternehmen zugeschnittene Kommunikation, um es zu schädigen.

    Dieser Teil erfordert einen eher menschlichen, manuellen Ansatz, da er schwieriger zu automatisieren ist. Schließlich “gibt es mehr Variablen”, erklärt Ackerman, der kürzlich einen Kroll-Blogbeitrag zu diesen Erkenntnissen verfasst hat. “Jedes Formular ist ein wenig anders, jede Chat-Sitzung ist ein wenig anders.” Daher ist eine stärkere Anpassung erforderlich, was natürlich die Wahrscheinlichkeit verringert, dass diese Technik im großen Stil eingesetzt wird”. Allerdings macht es den Betrug auch authentischer und effektiver.

    Zum Beispiel “kennen die Akteure die Grenzen von Online-Chat-Diensten, die in der Regel auf eine Wissensbasis von FAQs zurückgreifen, um die Fragen der Besucher zu beantworten”, schrieb Ackerman in seinem Blog-Post. “Der Schauspieler präsentiert ein Problem, das wahrscheinlich nicht von den FAQs abgedeckt wird, und vor allem eines, das durch Hochladen einer Art von Dokumentation gelöst werden muss, z. B. eine strittige Rechnung oder ein Foto der beschädigten Ware.”

    Ein Beispiel könnte ein gefälschter Kunde sein, der vorgibt, ein Bild eines beschädigten Fahrzeugs an einen Autoversicherungsvertreter zu senden, oder ein falscher Geschäftsinhaber, der eine Website mit einem angeblichen Beweis für eine Urheberrechtsverletzung kontaktiert, die in Wirklichkeit nie stattgefunden hat, sagte er gegenüber SC Media.

    Wenn der Angreifer die bösartige Datei versendet, kommt sie im Zip-Format an, da Antiviren-Software die Malware in komprimierten Dateien nicht erkennen kann, erklärt der Blog-Post. Die Dokumente in der Zip-Datei enthalten bösartige Makros, die, wenn sie aktiviert werden, den Rechner des Kundensupport-Mitarbeiters mit Malware infizieren.

    Ackerman sagte, dass das Schema auch auf andere Webformulare auf einer Website angepasst werden kann, nicht nur auf solche, die mit dem Kundendienst und der Live-Hilfe verbunden sind. Zum Beispiel könnte eine Website, die Kunden auffordert, Fotos von sich selbst bei der Verwendung eines Firmenprodukts einzuschicken, ebenfalls zu ähnlichen Problemen einladen.

    “Die Formulare und die Chat-Funktionen sind in der Regel sehr Plug-and-Play – d.h. ‘Gib mir eine Datei. Ich werde die Datei irgendwo ablegen”, so Ackerman. “Wir haben uns, was die Webtechnologie angeht, global weiterentwickelt. Wir sollten in diesem Stadium Sicherheitsprüfungen implementieren. Ich sollte nicht in der Lage sein, ein Formular eine Datei nehmen zu lassen, egal welches Format, und einfach etwas damit zu machen, und das ist es, was viele Foren und Chat-Funktionen sind…”

    In mehreren Forschungsberichten der letzten Monate wurde auf Phishing-Kampagnen hingewiesen, die Elemente wie telefonbasiertes Vishing einsetzen, um zu vermeiden, dass Links oder Anhänge in E-Mails platziert werden, die andernfalls von herkömmlichen E-Mail-Sicherheitslösungen und Gateways erkannt werden könnten. Dieses Live-Chat-Schema ist ein weiterer cleverer Weg, um bestimmte Schutzmechanismen zu umgehen, indem das fehlbare menschliche Element ausgenutzt wird.

    Einige Unternehmen stellen direkt ihre eigenen internen Live-Chat-Kundenservice-Agenten ein, während andere diese Funktion an einen Dritten auslagern. In jedem Fall muss die Organisation, die für die Beschäftigung dieser Mitarbeiter verantwortlich ist, sicherstellen, dass sie sich dieser unkonventionellen Phishing-Masche bewusst sind. Aber diese Aufgabe ist nicht unbedingt so einfach.

    “Es ist eine Sache, die … Wiederholung ‘So sieht eine Phishing-E-Mail aus’ zu machen. [training exercise]”, sagte Ackerman. Aber “wenn Sie anfangen, in mehr Spezialität oder Boutique-Organisationen oder Cyber-Probleme zu bekommen, müssen Sie Schulungen haben, die spezifischer für diesen Workflow sind.”

    Und das ist bei Live-Chat-Phishing der Fall.

    “Wenn Sie letztendlich irgendeine Art von Formular oder Dateitransfer über eine Chat-Funktion erhalten, sollten die Bediener dahingehend geschult werden, dass sie verstehen, was sie erhalten, welches Format sie erhalten und was sie nicht haben sollten”, so Ackerman.

    Das Verständnis für die Gefahren von Makros ist eine weitere wichtige Lektion, die den Live-Chat-Bedienern vermittelt werden sollte, da es nur wenige plausible Gründe gibt, warum sie diese in einem Dokument, einer Tabellenkalkulation oder einem Formular-Upload aktivieren sollten.

    “Makros haben ihren Nutzen, aber normalerweise sind sie in einem internen Unternehmen, , auf die Art der Tabellenkalkulation Standpunkt, selten sollte ein Makro übernommen werden. Also sollte das Makro standardmäßig gesperrt werden, aber von einer Benutzerschulung oder Bullet Point für Ihre für Ihre Leser. Ich denke, der allgemeine Trend ist zu erkennen, was sie erhalten sollten und welches Format sie erhalten sollten.”

    In der Zwischenzeit sollten Unternehmen von diesen Mitarbeitern verlangen, dass sie nicht ihre eigenen Computer verwenden, um die eingereichten Dateien zu überprüfen, sondern einen “virtualisierten, abgetrennten, sauberen Arbeitsplatz”, der vielleicht in der Cloud oder auf einem virtuellen Desktop läuft, so Ackerman. Zusätzlich sollte diese geschützte Umgebung nicht nur durch Antiviren-Software, sondern auch durch Endpoint Detection and Response-Tools (z. B. EDR-, MDR- oder XDR-Lösungen) verstärkt werden.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com