Neue ATHR-Plattform automatisiert KI-gesteuerte Sprach-Phishing( Vishing)-Angriffe zum Diebstahl von Zugangsdaten
Eine neue Phishing‑Plattform verbindet KI und menschliche Betreiber
Eine Cybercrime‑Plattform namens ATHR wird als schlüsselfertige Lösung beworben, um vollständig automatisierte Sprach‑Phishing‑Kampagnen (Vishing) durchzuführen, die E‑Mail‑Köder, telefonbasierte Social‑Engineering‑Methoden und Diebstahl von Zugangsdaten in einem Paket kombinieren. Laut Forschern des Cloud‑E‑Mail‑Sicherheitsunternehmens Abnormal ist der Dienst so konzipiert, die gesamte telefonorientierte Angriffsabwicklung (TOAD) mit minimalem Aufwand für den Betreiber durchzuführen.
Die Plattform wird in Untergrundforen für 4.000 $, zuzüglich einer 10% Provision am Gewinn, angeboten. Abnormal berichtet, dass ATHR dazu verwendet werden kann, Anmeldedaten für mehrere große Dienste zu stehlen, darunter Google, Microsoft und Coinbase; zum Zeitpunkt der Analyse unterstützte sie insgesamt acht Onlinedienste: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo und AOL.
E‑Mail‑Köder führen Opfer in telefonbasierte Betrügereien
ATHR ist so aufgebaut, dass der Angriff vom ersten Köder bis zur finalen Datenerfassung verwaltet wird. Der Prozess beginnt mit einer E‑Mail, die sowohl einer oberflächlichen Prüfung als auch technischen Authentifizierungsprüfungen standhalten soll. Die Nachrichten sind auf bestimmte Marken und Ziele zugeschnitten, und die Plattform enthält Spoofing‑Mechanismen, die die E‑Mail so aussehen lassen sollen, als stamme sie von einem vertrauenswürdigen Absender.
Abnormal erklärt, dass der Köder üblicherweise als gefälschte Sicherheitswarnung oder Kontobenachrichtigung formuliert ist — gewählt, weil er dringend genug ist, um einen Anruf zu provozieren, aber allgemein genug, um inhaltsbasierte Filter zu umgehen.
„Der Köder ist typischerweise eine gefälschte Sicherheitswarnung oder Kontobenachrichtigung – etwas dringend genug, um einen Anruf zu veranlassen, aber generisch genug, um das Auslösen inhaltsbasierter Filter zu vermeiden“, heißt es im Bericht von Abnormal.
Bei diesem Anruf wird ATHR's Automatisierung besonders deutlich. Wählt ein Opfer die in der E‑Mail angegebene Nummer, wird der Anruf über Asterisk und WebRTC zu KI‑Sprachagenten geleitet, die durch vorgegebene Prompts die Interaktion steuern.
KI‑Agenten übernehmen das Social Engineering
Schützen Sie Ihre Privatsphäre mit Doppler VPN
3 Tage kostenlos testen. Ohne Registrierung. Ohne Protokolle.
Die Sprachagenten sind so konfiguriert, das Ziel durch ein vordefiniertes Sicherheitsszenario zu führen, wobei voreingestellte Prompts Tonfall, Persona und Verhalten so formen, dass sie legitimen Support‑Mitarbeitern ähneln. Bei Angriffen mit Google‑Thematik imitiert das System beispielsweise Verfahren zur Kontowiederherstellung und Verifizierung, mit dem Ziel, das Opfer zur Herausgabe eines sechsstelligen Verifizierungscodes zu bewegen.
Dieser Code ist das entscheidende Informationsstück, das benötigt wird, um das Konto zu übernehmen.
ATHR verlässt sich nicht ausschließlich auf KI. Die Plattform bietet auch die Option, Anrufe an einen menschlichen Operator weiterzuleiten. Abnormal zufolge ist es jedoch die KI‑Option, die das System hervorhebt, weil sie die Social‑Engineering‑Phase automatisiert, statt einen Live‑Betrüger für jedes Ziel in der Leitung haben zu müssen.
Das Ergebnis ist eine Plattform, die die gesamte Angriffsabfolge mit wenig manueller Intervention ausführen kann. Das Kontrollfeld von ATHR gibt Betreibern Kontrolle über E‑Mail‑Verteilung, Anrufbearbeitung und Phishing‑Operationen, während es gleichzeitig Echtzeitdaten auf Ziel‑Ebene und Protokolle mit gestohlenen Informationen liefert.
Eine stärker gebündelte Version von TOAD‑Angriffen
Abnormal beschreibt ATHR als einen kompletten Generator für Phishing‑ und Vishing‑Angriffe. Diese Einordnung ist wichtig, weil TOAD‑Angriffe traditionell von Angreifern erforderten, mehrere Komponenten selbst zusammenzustellen: E‑Mail‑Infrastruktur, Telefonie‑Systeme, Skripte, Tools zur Erfassung von Zugangsdaten und ein Team, das Opfer in Echtzeit bearbeiten kann.
ATHR fasst diese Schritte in einer einzigen Oberfläche zusammen. Forscher warnen, dass dies die technische Hürde für potenzielle Angreifer senkt und es weniger erfahrenen Kriminellen ermöglicht, automatisierte Vishing‑Kampagnen zu starten, ohne eigene Infrastruktur aufzubauen.
„Die Verschiebung von einem fragmentierten, manuell intensiven Betrieb hin zu einem produktisierten, weitgehend automatisierten Produkt bedeutet, dass TOAD‑Angriffe nicht länger große Teams oder spezialisierte Infrastruktur erfordern“, warnt Abnormal.
Diese Produktisierung ist es, die ATHR besonders besorgniserregend macht. Durch die Kombination menschlicher Betreiber mit KI‑Sprachagenten bietet die Plattform Angreifern Flexibilität, während sie einen Großteil der Arbeit entfernt, die früher das Ausmaß dieser Betrügereien begrenzte. Der E‑Mail‑Köder, der Telefonanruf, der geskriptete Wiederherstellungsablauf und das abschließende Ernten von Zugangsdaten werden alle innerhalb desselben Systems verwaltet, wodurch ein schlanker Pfad vom ersten Kontakt bis zur Kontoübernahme entsteht.
Da KI‑Werkzeuge immer leichter einsetzbar werden, zeigt ATHR, wie schnell diese Fähigkeiten in kriminelle Dienste eingebunden werden können. In diesem Fall unterstützt die Technologie nicht nur Phishing; sie hilft, die gesamte Social‑Engineering‑Operation zu automatisieren.
Quellen: