Cyberkriminelle knacken mit Vishing Zwei-Faktor-Authentifizierung

Eine neue Welle hochprofessioneller Voice-Phishing-Angriffe umgeht erfolgreich die gängigen Sicherheitsbarrieren der Zwei-Faktor-Authentifizierung. Experten fordern deshalb eine Rückbesinnung auf grundlegende Vorsichtsmaßnahmen.

Innerhalb der letzten 72 Stunden wurden Details zu weitreichenden Attacken auf Unternehmenskonten bekannt. Gleichzeitig warnen Behörden weltweit vor massivem Caller-ID-Spoofing. Diese Kombination aus technischer Raffinesse und sozialer Manipulation stellt eine akute Gefahr für Privatpersonen und Organisationen dar.

Interaktive Vishing-Angriffe in Echtzeit

Im Zentrum der neuen Bedrohung stehen maßgeschneiderte Phishing-Kits, die als Dienstleistung verkauft werden. Anders als statische Phishing-Webseiten erlauben diese Werkzeuge dem Angreifer während eines Telefonats, den Bildschirm des Opfers in Echtzeit zu steuern.

Der Täter gibt sich dabei oft als IT-Support-Mitarbeiter aus. Er leitet den Anwender auf eine gefälschte Login-Seite. Sobald das Opfer seine Zugangsdaten eingibt, nutzt der Angreifer sie sofort auf der legitimen Plattform. Erhält der Nutzer dann eine MFA-Abfrage – etwa einen Push oder Code –, spiegelt das Phishing-Kit diese prompt auf dem Bildschirm wider und der „Support-Mitarbeiter“ weist an, sie zu bestätigen.

Viele Unternehmen und Mitarbeiter unterschätzen die Gefahr durch interaktive Vishing-Angriffe, bei denen Angreifer Login- und MFA-Prozesse in Echtzeit ausnutzen. Ein kostenloses Anti-Phishing-Paket erklärt praxisnah, welche organisatorischen Kontrollen, Schulungen und technischen Maßnahmen sofort greifen – inklusive einer 4-Schritte-Anleitung zur Prävention von CEO-Fraud und social-engineering-Angriffen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Diese perfekte Synchronisation von telefonischer Anweisung und visueller Bestätigung überwindet viele gängige MFA-Verfahren. Betroffen sind Nutzer von Diensten wie Okta, Microsoft und Google.

Behörden warnen: Die angezeigte Nummer lügt

Die Gefahr wird durch eine parallel eskalierende Praxis verstärkt: das Fälschen von Anruferkennungen. Behörden in mehreren Regionen haben davor gewarnt, dass Kriminelle Nummern von Telekom-Anbietern, Polizeidienststellen oder Behörden vortäuschen.

Ein Betrugsring in Malaysia manipulierte die Anruferkennung, um Vertrauen vorzutäuschen. Allein dort führten im Vorjahr über 5.000 Fälle zu einem Schaden von umgerechnet mehr als 45 Millionen Euro. In Hawaii gaben sich Betrüger kürzlich als Polizeibeamte aus und nutzten die echte Nummer einer Polizeiwache, um angebliche Haftbefehle „gegen Zahlung“ zu löschen.

Die Botschaft der Ermittler ist eindeutig: Die auf dem Display angezeigte Nummer ist kein verlässliches Identitätsmerkmal mehr. Scammer nutzen oft ausländische Plattformen, um diese Daten zu fälschen.

KI-Stimmenklon: Die täuschend echte Notlage

Eine weitere, beunruhigende Entwicklung ist der Einsatz Künstlicher Intelligenz zum Klonen von Stimmen. Mit nur wenigen Sekunden Audio – etwa aus Social-Media-Posts – können Kriminelle täuschend echte Imitate erstellen.

In Kalifornien häufen sich Fälle, in denen Opfer emotionale Notrufe erhalten, die exakt wie die Stimme eines Kindes oder Partners klingen. Die vermeintlichen Angehörigen behaupten, in einem Unfall verwickelt oder verhaftet worden zu sein, und fordern sofortige Geldüberweisungen. Diese Technologie macht Betrug allein an der Stimme kaum noch erkennbar.

Analyse: Der Mensch bleibt das schwächste Glied

Der Erfolg dieser Kampagnen markiert eine kritische Wende in der Cybersicherheit. Während Unternehmen massiv in technische Abwehrmaßnahmen wie MFA investiert haben, konzentrieren sich Angreifer nun auf die Ausnutzung des menschlichen Faktors.

Die Industrialisierung der Cyberkriminalität, mit Phishing-Kits im Abo-Modell, demokratisiert diese hochwirksamen Angriffe. Sie sind nicht länger Elite-Hackern vorbehalten.

Die Gegenmaßnahmen müssen daher über die reine Login-Überwachung hinausgehen. Okta empfiehlt als Reaktion auf die jüngsten Angriffe den verpflichtenden Einsatz phishing-resistenter Authentikatoren wie FIDO2-Sicherheitsschlüssel, die Einschränkung des Zugriffs von Anonymisierungsdiensten und – entscheidend – die Sensibilisierung der Mitarbeiter für telefonische Social-Engineering-Taktiken.

Die wirksamste Verteidigung: Nicht abheben

In einer Welt, in der sowohl die Nummer als auch die Stimme gefälscht werden können, ist die effektivste erste Verteidigung einfach: gesunde Skepsis.

Sicherheitsexperten und Verbraucherschützer raten konsequent dazu, Anrufe von unbekannten Nummern nicht anzunehmen. Stattdessen sollte der Anruf in die Voicemail geleitet werden. Hinterlässt der Anrufer eine Nachricht von einer Bank, Behörde oder der IT, sollte man niemals auf die in der Nachricht genannte Nummer zurückrufen.

Stattdessen muss die offizielle Kontaktnummer über die legitime Website der Organisation oder eine frühere Rechnung eigenständig recherchiert und der Rückruf von dort initiiert werden.

Die goldene Regel gegen Vishing bleibt unverändert und unumstößlich: Niemals Passwörter, MFA-Codes, persönliche Daten oder sensible Aktionen während eines unerbetenen eingehenden Anrufs preisgeben oder durchführen. Wo die Methoden der Angreifer immer überzeugender werden, ist das Screening von Anrufen und die Verifizierung über separate, vertrauenswürdige Kanäle keine bloße Empfehlung mehr – sondern eine essenzielle Überlebensstrategie.

PS: Wenn Anrufer-ID und Stimmen fälschbar sind, helfen technische Maßnahmen allein nicht. Ergänzen Sie Ihre Abwehr mit konkreten Schulungsplänen, Checklisten für schnelle Reaktion und klaren Meldewegen innerhalb der Organisation. Das Anti-Phishing-Paket liefert kompakte Vorlagen für Awareness-Trainings, CEO-Fraud-Szenarien und eine sofort umsetzbare 4-Punkte-Strategie zum Schutz Ihrer Mitarbeiter. Jetzt Anti-Phishing-Guide anfordern