„On the Line“: Ein Film über Vishing

Koreanische Filmproduzenten haben einen Film über Cybercrime gedreht, den man sich ansehen sollte – und sei es nur als Lehrmittel.

Haben Sie schon einmal die Verfilmung eines Cybersicherheitsglossars gesehen? Zu meiner Überraschung habe ich das kürzlich getan. Der südkoreanische Film On the Line (Originaltitel: Boiseu, was übersetzt „Stimme“ bedeutet und wobei es sich übrigens nicht um den gleichnamigen Film mit Mel Gibson in der Hauptrolle handelt) ist zweifellos ein Actionfilm. Gleichzeitig enthält er jedoch so viele Cybercrime-Anekdoten, dass man ihn fast als Lehrbuch für Informationssicherheit empfehlen könnte. Die von den Filmemachern angeheuerten Berater scheinen sich definitiv auszukennen.

„On the Line“ als Cybercrime-Almanach

Hauptsächlich handelt der Film vom sogenannten Voice Phishing, auch Vishing genannt. Doch der Protagonist, ein ehemaliger Polizist und mittlerweile Vorarbeiter Han Seo-joon, hat auch mit zahlreichen anderen Betrugsmaschen zu kämpfen. In diesem Beitrag möchten wir uns auf die Cybervorfälle (in chronologischer Reihenfolge) konzentrieren und den Action-Part ein wenig außen vor lassen.

Störsender für Mobiltelefone

Ein Eindringling verschafft sich Zugang zu einer Baustelle und versteckt ein Gerät mit diversen Antennen in einer Tasche mit Baubedarf. Wie wir später herausfinden, handelt es sich dabei um einen Störsender zum Blockieren von Handysignalen. Das Gerät stört die Frequenzen auf denen Mobiltelefone arbeiten, und verhindert so jegliche mobile Kommunikation im abgedeckten Bereich. Bald wird klar, warum die Kriminellen das Signal stören: um einen Vishing-Angriff durchzuführen.

 

Mit Malware infiziertes Handy

Die Frau von See-joon betreibt ein kleines Café. Sie erhält eine Spam-Nachricht auf ihrem Handy über ein Förderprogramm für Kleinunternehmer, die zur Begleichung ihrer Stromrechnungen angeblich einen Zuschuss erhalten sollen. Beim Öffnen des Links in der Nachricht installiert sie jedoch unwissentlich Malware auf ihrem Handy, die den Kriminellen Zugang zu all ihren Nachrichten, Telefonverläufen und persönlichen Daten verschafft und es ihnen ermöglicht, Anrufe von ihrem Telefon auf ihre eigenen, kriminellen Nummern umzuleiten.

Vishing (Szenario 1)

Im Anschluss beginnt die Vishing-Attacke: Sie erhält einen Anruf von jemandem, der sich als Anwalt ausgibt und sagt, es hätte einen Unfall auf der Baustelle gegeben, bei dem Seo-joon festgenommen und angeklagt wurde. Sie versucht sofort, ihren Mann telefonisch zu kontaktieren, kann ihn aber aufgrund des Störsenders nicht erreichen; sie nimmt an, dass sein Telefon ausgeschaltet ist oder momentan keinen Empfang hat. Deshalb wählt sie die Nummer der Baustelle, und eine Stimme am anderen Ende teilt ihr mit, dass sich dort ein Unfall ereignet hat: Ein Arbeiter sei ums Leben gekommen und der Vorarbeiter befindet sich derzeit in Polizeigewahrsam. Hier kommt die Malware ins Spiel: Denn in Wirklichkeit wurde die Frau von See-joon nicht mit der Baustelle, sondern über eine Weiterleitung mit den Kriminellen verbunden.

Kurz darauf klingelt das Telefon erneut. Dieses Mal gibt sich der Gesprächspartner als Mitarbeiter der Polizeiwache Busan Jungbu Police Station aus und teilt Seo-joon’s Frau mit, dass ihr Mann wegen eines Unfalls auf der Baustelle festgenommen und verhaftet wurde und sie ihn in der Strafvollzugsanstalt besuchen kann.

Der „Anwalt“ ruft erneut an und argumentiert überzeugend, dass Seo-joon schuldig gesprochen wird, wenn der Fall vor Gericht geht. Die einzige Möglichkeit, dies zu verhindern, ist mithilfe einer Entschädigungszahlung. Panisch und verwirrt überweist die Frau all ihre Ersparnisse auf das Konto der angeblichen Anwaltskanzlei.

Schnelle Auszahlung

Auf der Leinwand sehen wir die Banking-Schnittstelle der Betrüger, während jemand das Geld aufteilt und es auf sieben Konten überweist. Anschließend heben mit Dokumenten und Bankkarten bewaffnete Personen das Geld in verschiedenen Bankfilialen ab. Als die Frau merkt, dass sie Opfer eines Betrugs geworden ist und zur nächsten Bankfiliale rennt, ist das Geld nicht mehr auf ihrem Konto…und für immer verloren.

Vishing (Szenario 2)

Doch die Betrüger hatten es mit der Platzierung des Störsenders nicht nur auf die Ersparnisse eines Opfers abgesehen. Auch der Leiter des Bauunternehmens sagt, er sei getäuscht worden und habe eine viel größere Summe verloren. Bei ihm rief ein „Versicherungsunternehmen“ an, dass ihm einen Rabatt in Höhe von 50 % auf eine Familienversicherung für Bauunternehmer angeboten hat. Der gutgläubige Chef überwies den Anrufern nicht nur Geld, sondern auch die persönlichen Daten all seiner Angestellten. Und das Handysignal wurde genau in dem Moment gestört, als er merkte, dass der Anruf nicht von einem Versicherungsunternehmen stammte.

Geldwäsche via Devisenbörse

Die Polizei erklärt den Opfern, dass sie ihr Geld nicht zurückerhalten können, da es über ein Netz von Wechselstuben (eigentlich ein Geldtransferdienst) gewaschen wurde. Mit anderen Worten: die Kriminellen haben koreanische Won in Korea eingezahlt und chinesische Yuan in China wieder abgehoben.

Mulis unter Vertrag

Der Kriminelle, der den Störsender auf der Baustelle platziert hat, betreibt ein „Reisebüro“. In Wirklichkeit handelt es sich bei den Büro-Angestellten jedoch um Personen aus der Gegend, die auf schnelles Geld aus sind. Sie werden hierhergebracht, herausgeputzt und zu den Bankstellen geschickt, um die gestohlenen Gelder abzuheben. Nach einer spontanen Bemerkung zu urteilen, ist der Plan, jede Person zwei- oder dreimal in die Auszahlungsaktion einzubeziehen.

Pokerseite mit Dummy-Konto

Um herauszufinden, was los ist, wendet sich Seo-joon an eine befreundete Profi-Hackerin, die zum Zeitpunkt der Kontaktaufnahme von Kleinkriminellen unter Druck gesetzt wird, nachdem sie eine Online-Pokerseite erstellt hat, die sie dann heimlich mit ihrem eigenen Konto verbunden hat – offenbar, um das von den Spielern verlorene Geld abzuzwacken (oder zumindest einen Teil davon).

Geräte zum Massen-Spoofing

Sie erklärt Seo-joon detailliert, wie Angreifer dazu in der Lage sind, Opfer mit Fake-Nummern zu kontaktieren: Indem sie Geräte verwenden, die in normalen Wohnungen installiert sind, um Telefonnummern zu fälschen.

Handel mit persönlichen Daten

Seo-joon bricht in das Büro eines gewissen Mr. Park ein, der das kriminelle Unternehmen in Korea leitet. Dort wird er Zeuge, wie Dokumente und Karten verpackt werden, die offensichtlich an die Kuriere weitergegeben werden sollen. Doch was noch wichtiger ist, ist die Tatsache, dass jemand im Büro gestohlene Daten verkauft: Datenbanken von Mikrokreditschuldnern, Kaufhauskunden, Golfclubmitgliedern und Inhaber von Luxusimmobilien.

Unerlaubter Zugang zu persönlichen Daten

Mithilfe von gefälschten Dokumenten versucht Seo-joon das Vertrauen der Anführer des kriminellen Netzwerks in China zu gewinnen. Wie sich herausstellt, haben die Kriminellen Zugriff auf die Datenbank der koreanischen Polizei und die Zahlungsverläufe diverser Banken. Um die Identität von Seo-joon zu verifizieren, wird er nach von ihm getätigten Käufen gefragt. Glücklicherweise hat seine Bekannte, die ihm die falschen Dokumente besorgt hat, vorrausschauend gedacht und ihm zuvor eine passende Tarngeschichte eingebläut.

 

Vishing (Szenario 3) — aus krimineller Perspektive

Seo-joon findet einen Job in einem Call-Center und beobachtet, wie eine Gruppe von Betrügern versucht, eine weitere Person um ihr Geld zu bringen. Die angeblichen „Cybercrime-Ermittler“ behaupten, das Konto des Betroffenen werde für betrügerische Zwecke verwendet, wofür dieser als Komplize belangt werden könnte. Das Opfer wird misstrauisch und versucht, seine Bank zu kontaktieren, um das Konto zu sperren. Doch sein Telefon ist mit dem Trojaner infiziert, der den Anruf an dieselben Kriminellen zurückleitet, die ihm einreden, dass es zwei Stunden dauern wird, das Konto zu sperren, und dass nur die Finanzkontrollabteilung umgehende Hilfe leisten kann. Glücklicherweise gelingt es Seo-joon, den Plan zu sabotieren.

Vishing-Drehbuchautoren

Auf der Suche nach den Vishern schleust sich Seo-joon in ihre Machenschaften ein und beobachtet, wie sie ihre Pläne schmieden. Dahinter steckt viel Arbeit: Die Betrüger betreiben Marktforschung, machen verwundbare Personengruppen ausfindig und entwickeln Szenarien für jede von ihnen. Der leitende „Drehbuchautor“ erklärt, dass Vishing auf Empathie basiert – sie nutzen nicht Dummheit und Unwissenheit, sondern Ängste und Wünsche aus.

Vishing (Szenario 4)

Die Betrüger entwickeln eine völlig neue Betrugsgeschichte. Sie gelangen in den Besitz einer Liste von Arbeitssuchenden, die ein Vorstellungsgespräch bei einem großen Unternehmen hatten. Die Kriminellen rufen all diese Personen an und informieren sie darüber, dass sie die Stelle bekommen haben. Vor Arbeitsantritt müssen sie jedoch einige Formalitäten erledigen: Sie sollen sich einer ärztlichen Kontrolle unterziehen, eine Bonitätsprüfung durchführen lassen und einen Garanten benennen. Dies kann ein Angehöriger über 40 Jahre sein, der in der Lage ist, einen bestimmten Geldbetrag in das föderale Jugendbeschäftigungsprogramm einzuzahlen…

Wie realistisch ist all das?

Das Vishing im Film wird plausibel dargestellt und so gut wie alle Tricks sind auch im wirklichen Leben umsetzbar. Aber mischen Angreifer all diese Methoden wirklich so wild durcheinander? Glücklicherweise nur sehr selten. Die Geschichte der Telefon-Malware, die einen Anruf imitiert ist durchaus real – sehen Sie sich dazu unseren Beitrag über einen ähnlichen Trojaner an. Ein Störsender erinnert jedoch eher an einen zielgerichteten Angriff und wird wohl kaum in großem Umfang zum Einsatz kommen. Geldwäsche durch Geldwechsel ist in Korea wahrscheinlich möglich, in anderen Ländern wäre dies jedoch schwieriger. Der Gebrauch von Geldkurieren (Mulis) für dessen Auszahlung funktioniert in der Tat auf diese Weise. Was unbestreitbar wahr ist, ist ein Satz, der am Ende des Films gesagt wird: „Viele geben sich die Schuld, weil sie in den Köder gebissen haben, aber in Wirklichkeit wurden sie von cleveren, kalkulierenden Raubtieren gejagt. Doch früher oder später werden auch sie gefasst.“

Tipps