Ein scheinbar harmloser Anruf kann verheerende Folgen haben. Den ersten Schritt machen Mitglieder von Estate, indem sie sich als das PayPal-Sicherheitsteam ausgeben. Fallen die Opfer darauf herein und geben ihren Sicherheitscode preis, verlieren sie die Kontrolle über ihre Online-Konten. Von Kryptowährungs-Wallets bis zu Bankkonten – nichts ist sicher.
Estate ermöglichte Hunderten Mitgliedern die Durchführung von automatisierten Anrufen und lockte damit Opfer in die Falle, ihre sensiblen Informationen preiszugeben. Die Methode, für die Multi-Faktor-Authentifizierung notwendige Passwörter zu stehlen, öffnete Türen zu finanziellen Ressourcen wie Kreditkarten und Online-Diensten.
Ein legitimes Angebot?
Der Dienst wurde als legitime Sicherheitsmaßnahme beworben. Man wolle die Widerstandsfähigkeit gegen Social-Engineering-Angriffe testen. Doch diese Leistungen wurden ebenfalls für bösartige Ziele genutzt. Verschleiert operierte Estate – verbarg seine Website vor Suchmaschinen und akquirierte Mitglieder nur durch Empfehlungen.
Vangelis Stykas, Chief Technology Officer bei Atropos.ai, deckte durch Zugriff auf eine Backend-Datenbank von Estate deren Arbeitsweise auf. Die unvergleichlichen Einblicke zeigte exklusiv TechCrunch. Ein Programmierfehler enthüllte Daten über die Mitglieder und ihre Aktivitäten – über 93․000 Cyberangriffe verzeichnete die Datenbank seit Mitte 2023.
Breite Angriffspalette
Ziele der Angriffe waren Nutzer von Amazon Bank of America Capital One und vielen anderen. Selbst Telefonnummern der Opfer und auch Details zu den angreifenden Mitgliedern wurden offenbart. Einzelne Angriffe zielten auf die Übernahme von Telefonnummern durch SIM-Swap.
TechCrunch kommt zu dem Schluss, dass Estate Angreifern helfe, Multi-Faktor-Authentifizierung mittels gestohlener Einmal-Passcodes zu umgehen. Diese Codes, per Telefon oder E-Mail oder durch Authentifizierungs-Apps generiert, gewährten Zugang zu Bankkonten und Online-Diensten. Die meisten Opfer stammen aus den USA.
Automatisierte Anrufe als Falle
Estate bewaffnete seine Mitglieder mit Tools zur Suche nach Einmalcodes. Das einzige Hindernis zur Übernahme der Konten waren diese Codes. Mit benutzerdefinierten Skripten trickten Angreifer die Opfer aus, ihre Passwörter preiszugeben. Besonders ältere Menschen waren Ziel größerer Kampagnen, da sie eher unaufgeforderte Anrufe annahmen.
Der Betreiber von Estate – ein junger dänischer Entwickler – gab laut TechCrunch zu die Website nicht weiterhin zu betreiben. Ein fehlerhaft konfigurierter Server enthüllte seinen Standort in den Niederlanden.
Versprechungen und Realitäten
Estate versprach seinen Mitgliedern Privatsphäre, zeichnete aber alle Aktivität ebendies auf. Einblick in sämtliche Serveraktivitäten hatte der Gründer fortwährend.
Allison Nixon von Unit 221B beschreibt solche Dienste als das Rückgrat der kriminellen Wirtschaft die Cyberkriminalität effizienter mache und die Schwächsten gefährde. Nixon insbesondere fordert: „Wir brauchen Strafverfolger, die welche kriminellen Akteure verhaften – jene die sich mit solchen Plattformen solidarisieren.“ Influencer die unethische Einnahmemethoden fördern, müssten gestoppt werden. Sie betont, dass viele junge Leute eine solche Karriere anzielen um in der Betrugsökonomie schnelles Geld zu machen – oft sehen sie sich lediglich als Plattform, nicht als Täter.
Kommentare