Eine neue Cybercrime-Plattform „ATHR“ automatisiert Voice-Phishing-Angriffe. Dabei werden menschliche Operatoren und KI-gesteuerte Agenten eingesetzt, um sensible Anmeldedaten von Opfern zu stehlen. Die Plattform wird in Untergrundforen für 4.000 US-Dollar sowie eine 10%-Provision am erbeuteten Gewinn angeboten. Sie kann Login-Daten für verschiedene Dienste sammeln, darunter Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com und Yahoo.

Funktionsweise der ATHR-Angriffe

ATHR deckt den gesamten Ablauf eines telefonbasierten Angriffs (TOAD – Telephone-Oriented Attack Delivery) ab:

1. Anlocken über E-Mail: Opfer erhalten gefälschte E-Mails, die wie dringende Sicherheitswarnungen oder Kontobenachrichtigungen wirken. Diese sind so gestaltet, dass sie Filter und technische Authentifizierungen bestehen.
2. Telefonische Interaktion: Ruft das Opfer die angegebene Telefonnummer an, wird es über Asterisk und WebRTC zu einem KI-gestützten Sprachagenten geleitet.
3. Social Engineering via KI: Die Agenten folgen einem vorgefertigten Skript, das die Opfer dazu bringt, Sicherheitscodes und andere Anmeldedaten preiszugeben. Bei Bedarf können auch menschliche Operatoren die Gespräche übernehmen.
4. Echtzeit-Überwachung: Angreifer steuern den gesamten Angriff über ein Dashboard, verfolgen den Fortschritt in Echtzeit und erhalten sofort Zugriff auf die gestohlenen Daten.

ATHR reduziert den manuellen Aufwand für Angreifer deutlich und es ermöglicht auch technisch unerfahrenen Personen, automatisierte Vishing-Angriffe durchzuführen. Dadurch wird die Unterscheidung zwischen legitimen und bösartigen Anrufen zunehmend schwieriger.

Die Bedrohung durch ATHR zeigt deutlich, wie schnell sich Cyberkriminelle an neue Technologien anpassen. Indem die Plattform KI-Agenten einsetzt, die menschliche Stimmen imitieren und professionelle Support-Mitarbeitende nachahmen, wird es für Opfer zunehmend schwieriger, legitime von gefälschten Anrufen zu unterscheiden. Selbst technisch versierte Personen können durch die sorgfältig gestalteten Skripte und personalisierten E-Mails getäuscht werden. Die Automatisierung des gesamten Angriffsprozesses bedeutet zudem, dass Angreifer keine umfangreiche Infrastruktur oder ein großes Team mehr benötigen, um massenhaft sensible Daten zu erbeuten – eine Entwicklung, die das Schadenspotenzial exponentiell erhöht.

Besorgniserregend ist, dass ATHR plattformübergreifend arbeitet und Zugang zu einer Vielzahl wichtiger Online-Dienste ermöglicht, von E-Mail-Accounts bis hin zu Krypto-Börsen. Ein einmal kompromittiertes Konto kann nicht nur persönliche Daten, sondern auch finanzielle Mittel gefährden. Die Kombination aus hochgradig realistischer Täuschung, Echtzeit-Kontrolle über Angriffe und der Möglichkeit, Daten sofort zu nutzen oder weiterzuverkaufen, macht diese Angriffe extrem effizient und schwer aufzuhalten. Unternehmen und Privatpersonen müssen daher nicht nur ihre technischen Schutzmaßnahmen verstärken, sondern auch ihre Wachsamkeit gegenüber scheinbar harmlosen Anrufen oder E-Mails deutlich erhöhen.

Schutzmaßnahmen gegen ATHR und ähnliche Vishing-Angriffe

1. Sensibilisierung und Schulung der Mitarbeitenden
   • Mitarbeiter regelmäßig über Vishing-Angriffe informieren.
   • Verdächtige E-Mails oder Anrufe immer über offizielle Kanäle prüfen, nicht über die angegebenen Telefonnummern oder Links.
2. Multi-Faktor-Authentifizierung (MFA)
   • MFA schützt Konten zusätzlich, auch wenn Anmeldedaten kompromittiert werden.
   • Code-Generatoren (z. B. Authenticator-Apps) sind sicherer als SMS-Codes.
3. Technische Filter und Verhaltensanalysen
   • Einsatz von E-Mail-Sicherheitslösungen, die ungewöhnliche Kommunikationsmuster erkennen.
   • KI-basierte Systeme können Anomalien in der Interaktion zwischen Sender und Empfänger aufdecken.
4. Prüfung von Telefonnummern und Links
   • Telefonnummern aus E-Mails nicht direkt anrufen, sondern über offizielle Webseiten oder bekannte Kontakte prüfen.
   • Links nur nach genauer Kontrolle öffnen.
5. Regelmäßige Sicherheitsüberprüfungen
   • Sicherheitsrichtlinien und Notfallpläne für Datenpannen regelmäßig testen.
   • Log-Analysen auf verdächtige Zugriffe oder wiederholte Muster von Phishing-E-Mails durchführen.
6. Incident-Reporting
   • Einfache Meldewege für verdächtige E-Mails oder Anrufe etablieren.
   • Angriffe sofort intern melden, um schnelle Gegenmaßnahmen einzuleiten.

Mit der zunehmenden Automatisierung durch Plattformen wie ATHR wird präventive Sicherheit wichtiger als je zuvor. Der Fokus sollte auf Bewusstsein, technische Schutzmaßnahmen und Überwachung abnormaler Kommunikationsmuster liegen.