How confidential are your calls

NEUESTE ARTIKEL

König der Telefonbetrüger erhält 13 Jahre für den Betrieb von “iSpoof”

Blog icon verfasst durch XCell Technologies
Calendar icon

Publiziert am 28 Mai 2023

Im November 2022 führt die Polizei eine grenzüberschreitende Razzia gegen ein Cybercrime-as-a-Service (CaaS)-System namens iSpoof durch.

Trotz der Tatsache, dass iSpoof offen für seine Aktivitäten auf einer Seite warb, die nicht zum Dark Web gehörte und die mit einem normalen Browser über einen Domain-Namen erreicht werden konnte und trotz der Tatsache, dass die Nutzung seiner Dienste in Ihrem Land möglicherweise technisch legal war (wenn Sie sich als Rechtsanwalt auskennen, würden wir uns über eine Stellungnahme Ihrerseits freuen, nachdem Sie sich die nachfolgenden Bildschirmfotos der Seite angesehen haben)…

… Das Gericht in Großbritannien hatte keinen Zweifel, dass das System iSpoof mit der Absicht eingerichtet worden war, Leben zu zerstören und Geld zu unterschlagen.

Dafür wurde der 35-jährige Londoner Tejay Fletcher, der Drahtzieher der Website, zu weit über zehn Jahren Haft verurteilt.

Jede beliebige Telefonnummer anzeigen

Bis November 2022, als die Domäne aufgrund eines Beschlagnahmebeschlusses der US-Strafverfolgungsbehörden abgeschaltet wurde, sah die Hauptseite der Website so aus:

A woman is talking on the phone in the background. A smartphone and a custom caller ID to protect your privacy is pictured.
Sie können eine beliebige Nummer auf dem Display anzeigen lassen und so Ihre Anrufer-ID vortäuschen.

Ein erklärender Abschnitt weiter unten auf der Seite machte deutlich, dass der Dienst nicht nur dem Schutz der eigenen Privatsphäre diente, sondern auch dazu, die Angerufenen in die Irre zu führen:

An image of a smartphone and a text about what caller ID spoofing is

Erhalten Sie die Möglichkeit, zu ändern, was jemand auf seiner Anrufer-ID-Anzeige sieht, wenn er einen Anruf von Ihnen erhält. Sie werden nie erfahren, dass du es warst! Sie können vor dem Anruf eine beliebige Nummer auswählen. Ihr Gegenüber wird denken, Sie seien jemand anderes. Es ist einfach und funktioniert auf jedem Telefon weltweit!

Falls Sie immer noch nicht wissen, wie Sie iSpoof nutzen können, um ahnungslose Opfer zu betrügen, sehen Sie sich hier das Marketingvideo der Website an, das mit freundlicher Genehmigung der Metropolitan Police (besser bekannt als “Met”) in London, Großbritannien, zur Verfügung gestellt wurde:

Wie Sie weiter unten sehen werden, sind die Nutzer von iSpoof keineswegs anonym.

Mehr als 50.000 Nutzer des Dienstes wurden bereits identifiziert und allein im Vereinigten Königreich wurden fast 200 Personen verhaftet, gegen die ermittelt wird.

Gab sich als Bank aus…

Im Klartext: Wer sich beim iSpoof-Dienst anmeldete, konnte unabhängig von seinem technischen Kenntnisstand sofort damit beginnen, Anrufe zu tätigen, die auf den Telefonen der Opfer so angezeigt wurden, als kämen sie von einem Unternehmen, dem sie bereits vertrauten.

So drückt es die Metropolitan Police aus:

iSpoof-Benutzer, die für die Nutzung der Dienste bezahlen mussten, gaben sich als Vertreter von Banken wie Barclays, Santander, HSBC, Lloyds und Halifax aus und behaupteten, vor verdächtigen Kontoaktivitäten zu warnen.

Die Betrüger forderten die ahnungslosen Bürger auf, Sicherheitsinformationen wie einmalige Passwörter preiszugeben, um an ihr Geld zu gelangen.

Allein im Vereinigten Königreich beläuft sich der gemeldete Gesamtverlust der iSpoof-Opfer auf 48 Millionen Pfund, wobei der durchschnittliche Verlust bei 10.000 Pfund liegt. Da die Zahl der gemeldeten Betrugsfälle sehr gering ist, wird davon ausgegangen, dass der Gesamtbetrag wesentlich höher ist.

In den 12 Monaten bis August 2022 wurden weltweit etwa 10 Millionen betrügerische Anrufe über iSpoof getätigt, davon etwa 3,5 Millionen im Vereinigten Königreich.

Interessant ist, dass laut Met etwa 10 % dieser britischen Anrufe (insgesamt etwa 350.000), die an 200.000 verschiedene potenzielle Opfer gerichtet waren, länger als eine Minute dauerten, was auf eine überraschend hohe Erfolgsquote der Betrüger hindeutet, die den iSpoof-Dienst nutzen, um ihren gefälschten Anrufen den Anschein von Legitimität zu verleihen.

Wenn Sie von einer Nummer angerufen werden, der Sie vertrauen – z.B. von einer Nummer, die Sie so häufig benutzen, dass Sie sie in Ihre Kontaktliste aufgenommen haben, so dass sie mit einer von Ihnen gewählten Kennung wie Credit Card Company angezeigt wird und nicht mit einer allgemeinen Nummer wie +44.121.496.0149…

…ist es nicht verwunderlich, dass Sie dem Anrufer eher vertrauen, bevor Sie hören, was er zu sagen hat.

Das System, das dem Empfänger die Nummer des Anrufers übermittelt, bevor der Anruf entgegengenommen wird, heißt außerhalb Nordamerikas Caller ID oder Calling Line Identification (CLI).

Dies ist kein ID-Typ

Die Zauberwörter ID und Identifizierung sollten eigentlich nicht vorkommen, da ein technisch versierter Anrufer (oder ein völlig ahnungsloser Anrufer, der den iSpoof-Dienst nutzt) beim Einleiten des Anrufs eine beliebige Nummer eingeben könnte.

Mit anderen Worten: Die Anrufer-ID sagt nicht nur nichts über die Person aus, die das anrufende Telefon benutzt, sondern auch nichts Verlässliches über die Nummer des anrufenden Telefons.

Die Rufnummernanzeige “identifiziert” den Anrufer und die Nummer des anrufenden Telefons nicht zuverlässiger als die Absenderadresse auf der Rückseite eines Briefumschlags oder die Reply-To-Adresse in der Kopfzeile einer E-Mail.

Alle diese “Identifikatoren” können vom Absender der Kommunikation gewählt werden und können so ziemlich alles aussagen, was der Absender oder der Anrufer möchte.

Sie sollten eigentlich “What the Caller Wants you to Think, Which Could Be a Pack of Lies” (Was der Anrufer Ihnen weismachen will, was ein Haufen Lügen sein könnte) heißen und nicht “ID” oder “Identifikation”.

Und dank iSpoof gab es eine Menge Lügen, wie die Met behauptete:

Bis zur Schließung im November 2022 wuchs iSpoof stetig. Jede Woche meldeten sich 700 neue Nutzer an und die Website erwirtschaftete durchschnittlich 80.000 Pfund pro Woche. Zum Zeitpunkt der Schließung waren 59.000 Nutzer registriert. Die Website bot eine Reihe von Paketen an, bei denen die Nutzer die Anzahl der Minuten, die sie mit der Software telefonieren wollten, in Bitcoin kauften.

Die Website erwirtschaftete einen hohen Gewinn, so die Met:

iSpoof nahm etwas mehr als 3 Millionen Pfund ein, wobei Fletcher etwa 1,7 bis 1,9 Millionen Pfund dadurch verdiente, dass er es den Betrügern ermöglichte, das Leben der Opfer zu ruinieren. Er führte einen extravaganten Lebensstil und besaß einen Range Rover im Wert von 60.000 Pfund und einen Lamborghini Urus im Wert von 230.000 Pfund. Er machte regelmäßig Urlaub und reiste allein im Jahr 2022 nach Jamaika, Malta und in die Türkei.

Zu Beginn des Jahres 2023 bekannte sich Fletcher der Herstellung oder Lieferung von Gegenständen zum Zwecke des Betrugs, der Anstiftung oder Beihilfe zur Begehung einer Straftat, des Besitzes von Gegenständen zum Zwecke des Betrugs und der Übertragung von Gegenständen zum Zwecke des Betrugs schuldig.

Letzte Woche wurde er zu einer Haftstrafe von 13 Jahren und 4 Monaten verurteilt; 169 weitere Personen wurden im Vereinigten Königreich verurteilt. “wurden nun wegen des Verdachts der Verwendung von iSpoof verhaftet”. Die Ermittlungen der Polizei dauern an.

Was ist zu tun?

TIPP 1: Betrachten Sie die Anrufer-ID nur als Hinweis.
Das Wichtigste, was Sie sich merken sollten (und was Sie auch Ihren Freunden und Verwandten sagen sollten, wenn Sie glauben, dass sie für diese Art von Betrug anfällig sind), ist Folgendes: DIE RUFNUMMER DES ANRUFERS, DIE AUF IHREM TELEFON ANGEZEIGT WIRD, BEVOR SIE DEN HÖRER ABNEHMEN, BEWEIST NICHTS.

TIPP 2: Leiten Sie offizielle Anrufe immer selbst ein und verwenden Sie eine Nummer, der Sie vertrauen können.
Wenn Sie wirklich eine Organisation wie Ihre Bank anrufen müssen, stellen Sie sicher, dass Sie den Anruf selbst einleiten und eine Nummer verwenden, die Sie selbst herausgefunden haben.

Schauen Sie sich z. B. Ihren letzten Kontoauszug an, überprüfen Sie die Rückseite Ihrer Bankkarte oder fragen Sie in einer Filiale einen Mitarbeiter persönlich nach der offiziellen Nummer, die Sie bei künftigen Notfällen anrufen sollen.

TIPP 3: Seien Sie für gefährdete Freunde und Familienmitglieder da.
Stellen Sie sicher, dass Freunde und Familienmitglieder, von denen Sie glauben, dass sie gefährdet sind, von Betrügern umworben (oder eingeschüchtert, verwirrt und verunsichert) zu werden, wissen, dass sie sich an Sie wenden können und sollten, bevor sie am Telefon etwas zustimmen.

Und wenn jemand sie bittet, etwas zu tun, das eindeutig ein Eindringen in ihren persönlichen digitalen Raum darstellt, z. B. Teamviewer zu installieren, um ihnen den Zugriff auf den Computer zu ermöglichen, einen geheimen Zugangscode vom Bildschirm abzulesen oder ihnen eine persönliche Identifikationsnummer oder ein Passwort zu geben…

…stellen Sie sicher, dass sie wissen, dass es in Ordnung ist, einfach aufzulegen, ohne ein weiteres Wort zu sagen, und sich mit Ihnen in Verbindung zu setzen, um den Sachverhalt zunächst zu überprüfen.

Unser Rat

Wir haben immer wieder Anfragen von Benutzern nach Lösungen für das Spoofing von Anrufer-IDs abgelehnt, weil die Benutzer sich einer Vielzahl von Sicherheitsbedrohungen aussetzen können, sobald das Telefon in die freie Wildbahn des Internets gelangt ist. Die Änderung der Telefonnummer/Anrufer-ID erfordert einen Server eines Drittanbieters, der über die Datenverbindung des Telefons erreichbar ist. Der Grund dafür ist, dass die Telefonnummer nicht auf der SIM-Karte gespeichert ist, sondern auf der Ebene des Kernnetzes (Netzserver). Die SIM-Karte enthält lediglich die IMSI. Kein normaler Nutzer ist in der Lage, einen Background-Check durchzuführen, um herauszufinden, wer sich tatsächlich hinter dem Server verbirgt, der die Called ID Spoofing-Dienste zur Verfügung stellt. In der Tat war dies selbst für die Met ziemlich schwierig. Diese Leute können sich jederzeit hinter Webservern verstecken, die diese “sicheren” Dienste anbieten, und man kann nichts dagegen tun.
Dieselben Vorsichtsmaßnahmen sind auch bei verschlüsselter Kommunikation erforderlich: Egal, ob sie vorgeben, dass die Verschlüsselung Ende-zu-Ende erfolgt, ein guter Verschlüsselungsdienst wird immer einen Webserver und die Datenverbindung des Telefons verwenden. Daher gibt es keine Privatsphäre und keine Sicherheit mehr, sondern nur noch Risiken. Der oben beschriebene Fall ist ein perfektes Beispiel dafür.

Und noch etwas: Die Überwachung von Mobiltelefonen erfolgt auf der Grundlage von IMEI (Telefon-ID) und IMSI (SIM-Karten-ID). Die Telefonnummer (MSISDN, bezogen auf die Telefongesellschaft) wird nur verwendet, um die IMSI zu berechnen, aber die Strafverfolgungsbehörden und andere Sicherheitsdienste benötigen die Telefonnummer nicht, da sie ein Gerät namens “IMSI-Catcher” verwenden, das die IMSI über die Luft abgreift. Egal mit welchem Server das Telefon verbunden ist, egal welche Telefonnummer oder Called ID verwendet wird, der IMSI-Catcher erfasst immer die IMSI der SIM-Karte, um weitere Anrufe abzufangen. Ist keine SIM-Karte in das Telefon eingelegt (angenommen, das Telefon ist über WIFI mit einem Hotspot verbunden, um auf das Internet zuzugreifen), wird der IMSI-Catcher nur die IMEI des Telefons erfassen, was für das weitere Abfangen, einschließlich des Abfangens von Daten, vollkommen ausreicht.

 

Bleiben wir in Kontakt!

Gerne informieren wir Sie über aktuelle Beiträge und Angebote.

Weitere Beiträge

ABC Limited exposed

“Sicherer 4G WIFI-Router” Betrug

Es wird immer Betrüger geben, die den Wunsch nach Sicherheit ausnutzen, indem sie normale Produkte überteuert anbieten und behaupten, diese hätten “Sicherheitsmerkmale”. Wie in diesem Fall… Mehr lesen

REVOLTE ATTACK

REVOLTE Angriff

Dieser Angriff ermöglicht es einem Angreifer, die Verschlüsselung von VoLTE-Sprachanrufen zu knacken und die Anrufe abzuhören. Lesen Sie den ganzen Artikel