Cyberkriminalität und Vishing-Kampagnen
Cyberkriminelle rekrutieren Teams von professionellen Stimmenimitatoren, um hochrangige US-Crypto-Manager durch ausgeklügelte telefonbasierte Social-Engineering-Angriffe ins Visier zu nehmen. Die Operateure verdienen dabei bis zu 20.000 $ monatlich in dem, was Forscher als „Vishing„-Kampagnen bezeichnen.
Bericht von GK8
Ein neuer Bericht von GK8 von Galaxy, der von Decrypt überprüft wurde, zeigt, wie Bedrohungsakteure über traditionelle Phishing-E-Mails hinausgegangen sind, um organisierte kriminelle Unternehmen aufzubauen, die Crypto-Führungskräfte mit personalisierten Sprach- und Videokampagnen ins Visier nehmen. Die Angriffe nutzen kuratierte Datensätze von Führungskräften, Stimmenimitationen und professionelle Infrastruktur, um Personen auszunutzen, die die Verwahrungsinfrastruktur und privaten Schlüssel schützen – was das Risiko eines großflächigen Crypto-Diebstahls erhöht.
Rekrutierung und Zielsetzung
Im Juni entdeckten Forscher von GK8 Rekrutierungsbeiträge in eingeschränkten Untergrundforen, in denen etablierte Bedrohungsakteure erfahrene „Anrufer“ suchten, um gezielte Angriffe gegen leitende Angestellte führender US-Crypto-Unternehmen durchzuführen. Die Beiträge enthielten Musterziel-Listen mit fünf Crypto-Executives, darunter leitende Juristen, Ingenieure, Finanzcontroller und CTOs, alle mit einem Mindestvermögen von etwa 500.000 $.
„Wir haben den Ruf der Bedrohungsakteure in diesen Foren validiert, indem wir Empfehlungen, Ansprüche, Bewertungen, das Erstellungsdatum des Kontos des Anbieters und den Ruf des Forums untersucht haben“, sagte Tanya Bekker, Leiterin der Forschung bei GK8, gegenüber Decrypt.
Im Gegensatz zu traditionellen Phishing-E-Mails erklärte Bekker, dass moderne „Vishing“-Kampagnen „hochgradig zielgerichtet und personalisiert“ sind und sich auf „hochwertige Crypto-Executives und Fachleute mit privilegierten Zugängen“ konzentrieren.
Techniken und Methoden
Bedrohungsakteure setzen Berichten zufolge Voice over Internet Protocol-Systeme, direkte Durchwahlnummern und SMS-Funktionen ein, um Banken, Crypto-Dienste und Regierungsbehörden zu imitieren. Forum-Beiträge zeigen eine Vergütung von 15 $ pro 20-minütigem Anruf bis über 20.000 $ monatlich für erfahrene Operateure.
„Wir beobachten, dass einige Betreiber langfristig arbeiten und organisierte Gruppen aufbauen, die wie eine professionelle Betrugsindustrie funktionieren“, sagte Bekker.
Bekker berichtete, dass Angreifer zunehmend „Deepfake-Stimmen und -Videos“ sowie „Echtzeit-AI-gesteuerte Angriffe“ in ihren Operationen verwenden. Während der spezifische Fall, der überprüft wurde, sich auf US-Executives konzentrierte, sagte sie, dass ähnliche Kampagnen in Deutschland, Großbritannien und Australien operieren.
Wachsende Bedrohungen
Jüngste Vorfälle weisen auf den breiteren Umfang der Bedrohungen durch Social Engineering hin, mit denen die Crypto-Industrie konfrontiert ist. Nordkoreanische Operateure haben gefälschte Unternehmen gegründet und Deepfakes während Vorstellungsgesprächen verwendet, um in Crypto-Firmen einzudringen, wobei Angreifer allein im Jahr 2024 1,34 Milliarden $ über 47 Vorfälle gestohlen haben.
„Die Hauptmethode zur Erkennung ist, dass Angreifer fast immer eine langsame Internetverbindung haben“, erklärte Jimmy Su, Chief Security Officer von Binance.
Empfehlungen für Unternehmen
Der GK8-Bericht dokumentiert, wie Bedrohungsakteure den Fokus von Massenphishing-Kampagnen auf „Qualität vor Quantität“ verlagern. In den nächsten 12-18 Monaten warnte Bekker, dass die Angriffe raffinierter werden, da „es zunehmend schwierig wird, zwischen Fälschung und Realität zu unterscheiden“.
Sie betonte, dass Crypto-Organisationen sich gegen „maßgeschneiderte Social-Engineering-Angriffe, die menschliche Schwächen ausnutzen“, verteidigen müssen. Sie empfahl, dass Führungskräfte „davon ausgehen, dass ihre persönlichen Informationen bereits offengelegt wurden“ und sicherstellen, dass „hochwertige Transaktionen nicht von einer einzelnen Person bestätigt werden sollten.“
„Mit dem Anstieg hochgradig personalisierter Betrügereien müssen Unternehmen akzeptieren, dass selbst die vertrauenswürdigsten Insider getäuscht werden können“, sagte Bekker.
Der GK8-Bericht zeigt, dass Bedrohungsakteure detaillierte Rekrutierungskriterien für Anrufer festlegen, einschließlich Akzentpräferenzen, Geschlechtsauswahl, Sprachfähigkeiten und Verfügbarkeit über Zeitzonen hinweg, um spezifische Zielprofile abzugleichen und das Engagement der Opfer während der Hauptzeiten zu maximieren.
