Die neue Plattform ATHR markiert einen Wendepunkt in der Vishing-Landschaft. Während Voice-Phishing-Angriffe bislang aufwendige manuelle Operationen mit mehrköpfigen Kriminellen-Teams erforderten, bietet ATHR nun eine produktreife Lösung aus einer Hand. Abnormal Security, ein Anbieter für Cloud-E-Mail-Sicherheit, hat das System analysiert und dokumentiert, wie es die komplexesten Phasen von Telefon-orientierten Attacken (TOAD – Telephone Oriented Attack Delivery) automatisiert.
Der Angriffsprozess beginnt mit einer täuschend echten E-Mail, die selbst technische Authentifizierungsprüfungen passiert. Typischerweise enthält sie eine gefälschte Sicherheitsmitteilung oder Kontobenachrichtigung – dringend genug, um zum Anrufen zu bewegen, aber generisch genug, um Content-Filter zu umgehen. Wer der Nummer folgt, wird über Asterisk und WebRTC zu KI-Sprachagenten durchgestellt, die mit sorgfältig ausgearbeiteten Prompts gesteuert werden.
Faszinierend aus kriminalistischer Perspektive: Diese KI-Agenten simulieren einen glaubwürdigen Sicherheitsvorfall. Bei Google-Konten etwa imitieren sie den Account-Recovery-Prozess, benutzen vorgegebene Prompts, die Ton, Ansatz und Verhalten professioneller Support-Mitarbeiter nachahmen. Ziel ist die Extraktion eines sechsstelligen Verifizierungscodes, der vollständigen Account-Zugriff ermöglicht.
Obwohl ATHR auch die Weiterleitung zu menschlichen Operatoren erlaubt, ist die KI-Automatisierung das Unique Selling Proposition. Ein Dashboard gibt den Betreibern vollständige Kontrolle über E-Mail-Verteilung, Anrufverarbeitung und Echtzeit-Monitoring. Sie erhalten Logs mit gestohlenen Daten, können Outcomes nachverfol und den gesamten Workflow optimieren.
Die Abnormal-Forscher warnen vor weitreichenden Konsequenzen: ATHR reduziert manuelle Arbeit drastisch und ermöglicht weniger technisch versierte Akteure, durchschlagkräftige Angriffe ohne eigene Infrastruktur durchzuführen. Das Geschäftsmodell – Verkauf plus Provisionsanteil – deutet auf schnelle Verbreitung hin. Zum Analysezeitpunkt unterstützte ATHR acht Services: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo und AOL.
Besondere Sorge bereitet deutschen Unternehmen die Schwierigkeit der Abwehr. Lure-E-Mails weisen keine verlässlichen Indikatoren auf, sind korrekt authentifiziert und wirken wie legitime Benachrichtigungen. Effektiver könnte sein, kommunikative Verhaltenstuster der Organisation zu modellieren und ähnliche Lures mit Telefonnummern zu identifizieren, die im gleichen Zeitfenster versendet werden. KI-gestützte Detection kann Anomalien flaggen, bevor Nutzer anrufen – doch Vorsicht bleibt essentiell.