Betrügerischer Support: So schleusen sich Cyberkriminelle über falsche Support-Anrufe in Ihre Systeme ein
15.11.2024
ZAC: Jaja, ist klar, aber ganz ehrlich diese Methode ist recht gut gemacht.
Um was geht es in dem heutigen Beitrag?
Uns erreichen aktuell Fälle, die auf zwei mögliche Angriffsvarianten hinweisen könnten.
Variante 1:
Variante 2:
Allerdings wäre es auch möglich den „IT-Support“ authentischer erscheinen zu lassen, indem die Täter im Vorfeld Ihr E-Mail-Postfach kompromittieren. Dies würde das Mitlesen Ihrer Mails ermöglichen. So wäre es möglich, dass die Täter die echten Support Rückmeldungen aus Ihrem Postfach direkt herauslöschen und die Position des originären Supports einnehmen. Folglich wäre dieser Angriff noch professioneller, authentischer und deutlich schwieriger zu erkennen als die erste Variante.
Hinweis: Da es sich hier um ein neues Phänomen handeln könnte und bis zum Zeitpunkt der Berichterstellung wenige Fälle bekannt sind wird dieser Bericht bei neuen Erkenntnissen aktualisiert.
„Guten Tag, wir wurden darüber informiert, dass Ihr E-Mail-Postfach mit einer Vielzahl von E-Mail-Anfragen geflutet wird. Wir können Ihnen dabei helfen dieses Problem zu lösen. Hierzu müssen Sie uns einfach einen Zugriff auf Ihren PC, per Remote Zugang (Anydesk, Teamvierwer…), ermöglichen…“
ZAC: Jaja, ist klar, aber ganz ehrlich diese Methode ist recht gut gemacht.
Um was geht es in dem heutigen Beitrag?
Uns erreichen aktuell Fälle, die auf zwei mögliche Angriffsvarianten hinweisen könnten.
Variante 1:
- Ihr dienstliches/berufliches E-Mail-Postfach wird plötzlich mit hunderten bis tausenden E-Mails in kürzester Zeit (ein paar Minuten) „vollgespamt“ (E-Mail Bombing). In der Regel wird hier ein automatisierter Prozess/Dienst oder eine Software eingesetzt, um Ihre E-Mail-Adresse u. a. bei tausenden Newsletter verschiedenster Anbieter zu registrieren. Dies ist nicht nur nervig und ärgerlich, sondern kann auch Ihre Arbeitsfähigkeit sehr stark beeinträchtigen.
- Genau hier erfolgt dann der zweite Schritt dieses Phänomens. Die Täter Gruppierung nutzt das „E-Mail-Bombing“ hier lediglich als Vorbereitungshandlung, um dann anschließend einen fingierten „Support/Helpdesk“ Anruf durchzuführen. Hierbei könnten verschiedenste Kommunikationstools wie z. B. MS Teams, Skype, usw. eingesetzt werden. Auch ein Videocall könnte möglich sein.
- Die unbekannten Anrufer geben sich nun als Ihr hiesiger Support oder evtl. Microsoft aus, um Sie dann durch Techniken des „Social Engineerings“ davon zu überzeugen, dass der Anrufer Ihnen dabei helfen kann, das Problem mit dem E-Mail-Postfach zu lösen. Während des Zugriffs werden Sie möglicherweise befragt und die unbekannten Täter werden versuchen einen vertrauten und professionellen Eindruck zu hinterlassen. Es könnte auch sein, dass die Täter bereits Informationen gesammelt haben und Sie ganz gezielt mit Fragen oder Informationen über Ihren PC etc. zu manipulieren.
- Das Problem kann „natürlich“ nur behoben werden, wenn Sie dem Anrufer/der Anruferin einen Zugriff auf Ihren PC ermöglichen. Hierzu sollen Sie sich „einfach“ eine Remotesoftware wie z. B. Teamviewer oder Anydesk herunterladen und Ihre Sitzungs-ID übergeben sowie den darauffolgenden Beitritt der fremden Sitzung zustimmen.
- Sollte dieser Zugriff ermöglicht werden, kann dies verheerende Folgen für Ihren PC und/oder für das Unternehmensnetzwerk haben. Während des Zugriffs können sensible Unternehmens-, Zugangs-, Drittdaten und andere Informationen ausgespäht werden. Interne informationstechnische Daten wie IP-Adressen, Domänen, Clients etc. könnten evtl. ausgeleitet werden. Auch eine Kopie Ihres gesamten E-Mail-Postfaches kann erfolgen.
- Nicht nur Daten können abgegriffen werden, sondern auch Verbindungen zu sog. C2 Servern (Command and Control Servern) könnten hergestellt werden, um effiziente Schadsoftware auf Ihrem System zu installieren. Diese Schadsoftware kann sehr gut programmiert sein und so eine Identifizierung durch das Anti-Viren-Programm (während des Zugriffs evtl. deaktiviert) erschweren. So wäre es ebenfalls möglich eine sog. „Backdoor“ auf dem System versteckt zu hinterlegen, um zu einem späteren Zeitpunkt, auch ohne Ihre Mithilfe, auf Ihren PC/System Zugriff zu erhalten. Der „Worst Case“ wäre das Aufspielen einer Ransomware.
Variante 2:
Allerdings wäre es auch möglich den „IT-Support“ authentischer erscheinen zu lassen, indem die Täter im Vorfeld Ihr E-Mail-Postfach kompromittieren. Dies würde das Mitlesen Ihrer Mails ermöglichen. So wäre es möglich, dass die Täter die echten Support Rückmeldungen aus Ihrem Postfach direkt herauslöschen und die Position des originären Supports einnehmen. Folglich wäre dieser Angriff noch professioneller, authentischer und deutlich schwieriger zu erkennen als die erste Variante.
Hinweis: Da es sich hier um ein neues Phänomen handeln könnte und bis zum Zeitpunkt der Berichterstellung wenige Fälle bekannt sind wird dieser Bericht bei neuen Erkenntnissen aktualisiert.
Wie können Sie sich schützen?
- Spam-Filter, Regeln und/oder „Anti-Spam-Software“ können die ungewünschten E-Mails in Ihrem Posteingang reduzieren/verhindern
- Die interne IT hinzuziehen und dies im besten Fall persönlich
- Vorsorglich das Postfach auf eine mögliche Kompromittierung überprüfen lassen
- Uns (ZAC) anrufen. Wir können Sie in diesem Fall beraten und die Situation einschätzen
Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/81
Klicken Sie hier und abonnieren Sie unseren Newsletter.
