Cofense identifizierte zwei verschiedene Angriffswege, die beide auf Zeitdruck, die Nachahmung vertrauenswürdiger Marken und den Missbrauch von LiveChat-Interaktionen setzen. Auffällig ist, dass beide Chat-Verläufe mangelhafte Grammatik und Zeichensetzung aufweisen. Das deutet laut den Forschern darauf hin, dass am anderen Ende ein menschlicher Operator nach einem Skript agierte und nicht ein automatisierter Bot oder ein KI-Assistent.

Der erste Angriffsweg beginnt mit einer gefälschten PayPal-Nachricht, die dem Empfänger eine Rückerstattung über 200 US-Dollar verspricht und ihn zum Klick auf eine Schaltfläche “View Transaction Details” auffordert. Der Klick leitet das Opfer auf eine über LiveChat gehostete Seite, die einem echten PayPal-Kundensupport nachempfunden ist. Im Gesprächsverlauf wird der Nutzer auf eine externe Phishing-Seite gelenkt, wo er zur “Abwicklung der Rückerstattung” seine PayPal-Zugangsdaten eingeben soll. Anschließend wird er aufgefordert, einen an sein Telefon gesendeten MFA-Code anzugeben. Danach nutzen die Angreifer die Phishing-Seite, um weitere Formulare mit Rechnungsdaten, Geburtsdatum und Kreditkarteninformationen abzufragen.

Die zweite Phishing-Mail trägt kein Markenlogo und teilt lediglich generisch mit, eine Bestellung stehe aus und müsse bestätigt werden – per Klick auf einen verlinkten Text “View Update”. Der Link führt auf eine Seite, die zunächst die Eingabe einer E-Mail-Adresse verlangt, um einen Chat zu starten. Erst danach gibt sich ein menschlicher Operator als Amazon-Support-Mitarbeiter aus und fragt weitere persönliche Details ab. Der vermeintliche “Mitarbeiter” behauptet dann, eine Rückerstattung sei verfügbar, es fehlten jedoch die Kartendaten, und bittet das Opfer zur “Verifizierung” um Kreditkartennummer, Ablaufdatum und CVC.

Nach Angaben der Forscher haben Phisher über die Jahre zahlreiche Tricks eingesetzt, um an Nutzerdaten zu gelangen; dies sei jedoch der erste dokumentierte Fall, in dem LiveChat auf diese Weise missbraucht wurde. Der Angriffsweg ähnele einer Online-Variante von Vishing-Angriffen, bei denen Täter in Live-Gesprächen mit Social Engineering arbeiten, um an sensible Daten zu gelangen oder sich mit Werkzeugen wie AnyDesk Fernzugriff auf Geräte zu verschaffen.

Die persönliche Interaktion ist laut den Forschern der Schlüssel zum Erfolg dieser Angriffe: Sie nimmt dem Opfer die Vorsicht und vermittelt den Eindruck, mit einer vertrauenswürdigen Person zu sprechen. Dadurch wirke der Phishing-Versuch “wie ein Kundenservice in Echtzeit, was die Vorsicht des Opfers senkt und die Chance auf erfolgreichen Diebstahl von Zugangsdaten und Daten erhöht”, schreiben sie.

Zur Abwehr solcher Angriffe brauche es nicht nur software- oder maschinengestützte Sicherheit, sondern auch menschliche Analyse, die “erfahrene Bedrohungsjäger, Echtzeit-Informationen und Nutzermeldungen” kombiniere, um sich entwickelnde Angriffe zu erkennen und zu stoppen. Im Blogbeitrag stellt Cofense konkrete Kompromittierungsindikatoren (IoCs) für beide in der Kampagne verwendeten E-Mails bereit.