Skip to main content

Warnung: Voice Phishing-Kampagne richtet sich an Kunden bei Dutzenden von Banken.

Cyberkriminelle stahlen in einer Phishing-Kampagne, die Rogue-Textnachrichten und VoIP-Anrufe kombinierte, Debitkarteninformationen von Kunden Dutzender Finanzinstitute.

Die Visions-Phishing-Kampagne wurde von Forschern der Cyberkriminalitätsfahndung entdeckt PhishLabs bei der Untersuchung eines kürzlichen Angriffs gegen Kunden einer ungenannten mittelgroßen Bank.

Die Kunden der Bank hatten Textnachrichten erhalten, in denen sie behaupteten, ihre Debitkarten seien deaktiviert worden und wiesen sie an, eine Telefonnummer anzurufen. Ein unter dieser Nummer eingerichtetes IVR-System (Interactive Voice Response) forderte die Anrufer auf, ihre Debitkarte und PIN-Nummern einzugeben, um die Karten wieder zu aktivieren, sagte John LaCour, Gründer und CEO von PhishLabs, am Dienstag in einem Blogbeitrag.

Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"PhishLabs hat den Angriff untersucht und einen Cache mit gestohlenen Zahlungskartendaten von Kunden Dutzender Finanzinstitute aufgedeckt", so LaCour. "Basierend auf der Analyse des wiederhergestellten Caches schätzen wir, dass die für den Angriff verantwortliche Visier-Crew die Daten von 250 Karten pro Tag in dieser Visier-Kampagne gestohlen hat."

Angriff der Klone

Die Forscher glauben, dass die Angriffe stattfinden Sie werden von einer Gruppe von Cyberkriminellen aus Osteuropa ausgeführt und laufen seit Oktober 2013, als eine der Rogue-Telefonnummern verwendet wurde.

"Das Auszahlungslimit für Geldautomatenkarten beträgt normalerweise 300 Dollar pro Tag", sagte LaCour . "Am Beispiel des kürzlich untersuchten Angriffs können pro Tag des Angriffs 75.000 US-Dollar verloren gehen, wenn die gestohlenen Karten bei einer Geldausgabe verwendet werden."

Angreifer sollten normalerweise nicht in der Lage sein, eine Karte zu klonen die Kartennummer und die PIN, weil sie nicht den CVV1 (Card Validation Value) oder CVC1 (Card Validation Code) erhalten können, die auf dem Magnetstreifen der Karte codiert sind und typischerweise zur Authentifizierung verwendet werden.

"Leider einige Kartenausgeber und Zahlungsprozessoren authentifizieren Sie nicht den CVV1 / CVC1-Code ", sagte LaCour. "Dies ermöglicht es Besatzungsmitgliedern, Auszahlungsbanden und anderen Betrügern, Zahlungskarten mit gestohlenen Kartendaten zu erstellen und diese Karten zum direkten Abheben von Geld zu verwenden."

Aber selbst in Fällen, in denen das Klonen der Karte nicht möglich ist, können Cyberkriminelle weiterhin verwenden Karteninformationen, die durch das Befolgen von Kartentransaktionen erhalten werden, online oder per Telefon.

Laut LaCour installieren Angreifer ihre IVR-Software auf gehackten Servern und routen Anrufe von kompromittierten VoIP-Servern dorthin. Sie verwenden kostenlose Text-to-Speech-Tools zum Generieren der interaktiven IVR-Nachrichten und E-Mail-zu-SMS-Gateways zum Senden von Textnachrichten an Tausende von Benutzern.

"Zielunternehmen haben oft Schwierigkeiten, Visionsangriffe zu mildern", sagt LaCour sagte. "Es kann Wochen dauern, bis ein Unternehmen durch die Strukturen von Telekommunikationsanbietern, Netzbetreibern und Diensteanbietern navigiert und die Telefonnummern, die zum Betrug verwendet werden, effektiv herunterfährt."

Der Blogpost von PhishLabs enthält Empfehlungen für Finanzinstitute und Mobilfunkanbieter . Dazu gehören: Sicherstellen, dass CVV1 / CVC1 auf Karten kodiert und von Zahlungsprozessoren validiert ist; Kunden immer von einer Telefonnummer anrufen, die auf der Rückseite der Karte aufgedruckt ist; Zusammenarbeit mit Telekommunikationsunternehmen, um ihre technischen und Betrugsbekämpfungsverfahren zu verstehen; Schulung des Kundendienstmitarbeiters zur Handhabung von Visierberichten und zur Erstellung eines Reaktionsplans, der Kundenbenachrichtigungen beinhaltet.