Betrügerische Anrufe sind für Millionen von Menschen weltweit zur täglichen Realität geworden. Von gefälschten Strafverfolgungsbeamten über Bankvertreter bis hin zu nachgeahmten Technik-Support-Agenten werden Opfer zunehmend durch direkte Gespräche in Echtzeit ins Visier genommen, die darauf ausgelegt sind, Dringlichkeit und hohen psychologischen Druck zu erzeugen, um sensible Informationen oder Geld zu erpressen. Berichte zeigen, dass diese Art von Cyberkriminalität die Gesellschaft sowohl finanziell als auch emotional erheblich beeinträchtigt. Laut dem **FBI** verloren US-Bürger über 60 Jahren im Jahr 2023 3,4 Milliarden US-Dollar. Ein weiterer Bericht zeigt, dass Vishing im Jahr 2025 um 449 % zugenommen hat und der durchschnittliche Verlust pro Betrugsanruf 3.690 US-Dollar beträgt. In diesem Artikel beleuchten wir, was als „Caller-as-a-Service“ beschrieben werden kann, ein wenig erforschter, aber sich schnell entwickelnder Aspekt der modernen Cyberkriminalität. Wir untersuchen, wie Bedrohungsakteure, ähnlich wie legitime Vertriebsorganisationen, strukturierte, geschäftsähnliche Betriebsmodelle mit Spezialisierung, Skalierbarkeit und leistungsgesteuerter Ausführung übernommen haben. Diese Ökosysteme sind nicht mehr Ad hoc. Sie bestehen aus unterschiedlichen Rollen und Funktionen, wobei verschiedene Akteure sich auf bestimmte Phasen des Angriffszyklus konzentrieren: von der Infrastruktur und den Werkzeugen bis zur Ausführung von Social Engineering. Wir untersuchen, wie diese Netzwerke funktionieren, einschließlich ihrer Rekrutierungsstrategien, definierten Rollen und Verantwortlichkeiten und sogar maßgeschneiderter Vergütungsmodelle – all dies spiegelt die Dynamik des legitimen Marktes genau wider. Das Ergebnis ist eine hochorganisierte, serviceorientierte Wirtschaft, die Betrug in großem Maßstab professionalisiert, die Eintrittsbarriere senkt und gleichzeitig Effizienz und Wirkung erhöht. ## Ein strukturierter organisierter Markt Das Ökosystem der Betrugsanrufe ist stark professionalisiert und segmentiert, was legitime Geschäftsabläufe widerspiegelt. Entlang der Wertschöpfungskette gibt es nun verschiedene Rollen, darunter Malware-Entwickler, -Vertreiber, Phishing-Kit-Ersteller, Infrastrukturbetreiber, Log-Verkäufer, Datenanalysten, Opferlistenhändler und schließlich die Betrugsanrufer, die die Angriffe ausführen. Diese Arbeitsteilung ermöglicht es jedem Teilnehmer, sich zu spezialisieren. Für Anrufer, die sich ausschließlich auf die Interaktion mit Opfern konzentrieren, verschiebt sich der Schwerpunkt auf die Qualität der Rekrutierung und die Professionalität des Betriebs und nicht auf die technische Fähigkeit. Dadurch wird die Eintrittsbarriere erheblich gesenkt. Einzelpersonen müssen keine Malware mehr entwickeln oder Infrastruktur verwalten und können sich auf die Verfeinerung von Kommunikationsfähigkeiten, Überzeugungstechniken und Social-Engineering-Taktiken konzentrieren.  Rekrutierungsanzeigen spiegeln diese Spezialisierung wider. Sie enthalten typischerweise klare Anforderungen wie muttersprachliche Englischkenntnisse, Kenntnisse der operativen Sicherheit (OPSEC) und frühere Betrugserfahrung. Bemerkenswert ist, dass einige Rollen verlangen, dass die Teilnehmer während Live-Anrufen auf dem Bildschirm geteilt bleiben. Diese Anforderung ist besonders aufschlussreich. Sie deutet darauf hin, dass Betreiber nicht einfach Aufgaben auslagern, sondern die Leistung in Echtzeit aktiv überwachen. Dies führt zu einem Maß an Qualitätskontrolle und operativer Aufsicht, das eher mit legitimen Callcentern als mit traditioneller Cyberkriminalität assoziiert wird. Eine solche Überwachung dient mehreren Zwecken: Gewährleistung der Einhaltung von Skripten, Verbesserung der Konversionsraten und Verhinderung von internem Betrug oder Datenlecks. Letztendlich unterstreicht dieses geschichtete und kontrollierte Modell, wie moderne Betrugsoperationen mit der gleichen Logik, Struktur und Effizienz wie legitime Unternehmen verwaltet werden. ## Underground-Rekrutierungstaktiken Wenn legitime Unternehmen potenzielle Mitarbeiter gewinnen wollen, zeigen sie ein starkes finanzielles Rückgrat, Kundenreferenzen und sogar Bilder zufriedener Mitarbeiter. Im Underground reicht ein Screenshot eines hohen Guthabens auf der Kryptowährungs-Wallet des Unternehmens aus. Ein Guthaben von rund 475.000 US-Dollar dient als Rekrutierungshilfe, um neue Mitarbeiter zu gewinnen. Solche „Proof-of-Profit“-Visualisierungen werden häufig in Underground-Communities verwendet, um Glaubwürdigkeit aufzubauen und potenzielle Verdienste zu demonstrieren. Ob authentisch oder gefälscht, ihr Zweck ist es, Skepsis abzubauen und die Teilnahme zu fördern. Diese Taktik spiegelt breitere Trends in Cyberkriminalitäts-Ökosystemen wider, bei denen Reputation und wahrgenommener Erfolg eine wichtige Rolle bei der Rekrutierung und Zusammenarbeit spielen.  ## Vergütungsmodelle für Betrugsanrufer Analysen deuten darauf hin, dass verschiedene Vergütungsmodelle existieren, darunter Festzahlungen, erfolgsabhängige Zahlungen und ein hybrider Ansatz, der beides kombiniert. In einem Modell erhalten Anrufer einen Prozentsatz der erbeuteten Gelder, wobei für größere Auszahlungen höhere Prozentsätze gewährt werden. In einem anderen Modell bieten Betreiber eine feste Zahlung von 1.000 US-Dollar pro erfolgreichem Anruf an, ergänzt durch einen zusätzlichen Prozentsatz. Gespräche zwischen Bedrohungsakteuren geben Einblicke in das Vergütungsmodell. Ein Betreiber erklärt, dass erfolgreiches Social Engineering nicht immer zu einer sofortigen Monetarisierung führt, daher ist die Vergütung auch verzögert oder bedingt. Dieser Unterschied ist wichtig. Er deutet darauf hin, dass der Betrugsprozess über den anfänglichen Anruf hinausgeht und zusätzliche Schritte zur Umwandlung von Zugriff oder Informationen in finanzielle Gewinne beinhaltet. Infolgedessen entschädigen Betreiber Anrufer für erfolgreiches Engagement, während sie die Kontrolle über nachgelagerte Monetarisierungsprozesse behalten. Teilnehmer akzeptieren nicht einfach die Bedingungen. Sie stellen Fragen, vergleichen Angebote und wägen die Vergütung ab, bevor sie sich verpflichten. Es ist eine Dynamik, die von jedem legitimen Arbeitsmarkt nicht zu unterscheiden ist. ## Stellenausschreibungen, Rollen und Verantwortlichkeiten von Betrugsanrufern Ähnlich wie bei Stellenanzeigen auf LinkedIn erstellen Underground-Betreiber klar definierte und hochgradig zielgerichtete Rekrutierungsanzeigen. Diese Anzeigen sind weit davon entfernt, generisch zu sein, und sie skizzieren klar die erforderlichen Eigenschaften, Verantwortlichkeiten und Erfahrungen für jede Rolle, was ein Reifegrad widerspiegelt, der typischerweise mit legitimen Organisationen verbunden ist. Für Betrugsanrufer geht der Schwerpunkt über die technische Fähigkeit hinaus. Von Kandidaten wird erwartet, dass sie starke Soft Skills demonstrieren, darunter klare Kommunikation, emotionale Intelligenz und fortgeschrittene psychologische Manipulationstechniken. Im Kern drehen sich diese Rollen um die Fähigkeit, Vertrauen aufzubauen, Dringlichkeit zu erzeugen und Opfer zu Handlungen zu bewegen, die zu finanziellen Verlusten oder Kontoübernahmen führen. Ein bemerkenswertes Muster ist die Präferenz für englische Muttersprachler, was auf eine gezielte Ausrichtung auf bestimmte geografische Regionen hindeutet. Dies unterstreicht die Bedeutung von kultureller Übereinstimmung und sprachlicher Flüssigkeit zur Maximierung der Erfolgsraten. In Kombination mit Echtzeit-Überwachung und Leistungsfeedback ähneln diese Operationen strukturierten Verkaufsböden, auf denen Social Engineering nicht nur ausgeführt, sondern kontinuierlich verfeinert und für höhere Konversionsraten optimiert wird. ## Verlagerung hin zu industrialisiertem Social Engineering Die Konvergenz von Rekrutierung, Überwachung, strukturierten Anreizen und modularen Arbeitsabläufen spiegelt eine breitere Verlagerung hin zu industrialisierten Betrugsoperationen wider. Dieses Modell spiegelt Entwicklungen wider, die bei Ransomware-as-a-Service (RaaS) und Initial Access Brokerage zu sehen sind, wo Spezialisierung und Arbeitsteilung die Effizienz vorantreiben. In diesem Fall ist der primäre Angriffsvektor jedoch die menschliche Interaktion, was ihn sowohl zugänglich als auch schwer zu erkennen macht. ## Auswirkungen für Verteidiger und Einzelpersonen Diese Bedrohungen spiegeln eine klare Verlagerung hin zu strukturierten, skalierbaren Betrugsoperationen wider, die sowohl für Organisationen als auch für Einzelpersonen wachsende Herausforderungen darstellen. Die dezentrale Natur dieser Ökosysteme macht die Störung inhärent schwierig. Die Entfernung einzelner Anrufer hat nur begrenzte Auswirkungen, da kritische Komponenten (Opferdaten, Betreiber und Monetarisierungskanäle) verteilt und widerstandsfähig sind. Gleichzeitig verstärkt die Abhängigkeit von kompromittierten Datenquellen eine wichtige Realität: Upstream-Verletzungen befeuern direkt nachgelagerten Betrug. Verschärft wird dies durch das zunehmende Maß an Professionalität. Mit Elementen wie Echtzeit-Überwachung, definierten Arbeitsabläufen und strukturierten Vergütungsmodellen werden diese Operationen konsistenter, effizienter und schwerer zu erkennen. Um dem entgegenzuwirken, sollten Verteidiger Prioritäten setzen: * Stärkere Identitätsüberprüfungsmechanismen * Verhaltensanomalieerkennung * Benutzerbewusstsein, das sich auf Echtzeit-Social-Engineering-Szenarien konzentriert Für Einzelpersonen ist es wichtig zu verstehen, dass betrügerische Anrufe selten zufällig sind. Sie sind oft gezielt, basieren auf kompromittierten Daten und werden von Fachleuten ausgeführt. Wachsamkeit, Skepsis und Bewusstsein sind die besten Abwehrmaßnahmen.