Cyberkriminelle nutzen Phishing-Kits für Angriffe auf Homeoffice-Mitarbeiter

Eine neue Woche von Social-Engineering-Angriffen zielt auf Remote-Mitarbeiter und IT-Helpdesks ab. Möglich macht das der Verkauf spezieller Voice-Phishing-Kits im Darknet.

Diese sogenannten „Scattered Spider“-Kits senken die Einstiegshürde für Cyberkriminelle erheblich. Sie ermöglichen komplexe, mehrstufige Angriffe mit alarmierender Leichtigkeit. Das geht aus aktuellen Erkenntnissen der Cybersicherheitsbranche hervor.

Ein Bericht von Okta’s Threat Intelligence Team vom Donnerstag zeigt: Immer mehr Angreifer kaufen diese Kits als Dienstleistung. Damit können sie sich als IT-Support ausgeben, um Benutzerdaten und Multi-Faktor-Authentifizierungscodes (MFA) abzufangen. Diese Entwicklung stellt eine erhebliche Bedrohung für Unternehmen aller Größen dar – besonders für solche mit verteilter Belegschaft.

Passend zum Thema Social‑Engineering und MFA‑Bypass: Viele Unternehmen unterschätzen, wie schnell gefälschte Helpdesk‑Anrufe und Voice‑Phishing Zugangsdaten und Push‑MFA aushebeln. Das kostenlose Anti‑Phishing‑Paket zeigt in einer praxisnahen 4‑Schritte‑Anleitung, wie Sie gefälschte Anrufer erkennen, Phishing‑Seiten sofort identifizieren und Mitarbeitende richtig schulen. Inkl. Checklisten für IT‑Teams und konkrete Sofortmaßnahmen, die Sie noch heute umsetzen können. Ideal für IT‑Verantwortliche in verteilten Teams und Helpdesks. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Phishing-as-a-Service: Die neue Bedrohungslage

Im Kern dieser neuen Gefahr stehen maßgeschneiderte Voice-Phishing-Kits. Sie werden in Darknet-Foren und auf Messaging-Plattformen verkauft. Die Werkzeuge imitieren die Authentifizierungsprozesse großer Identitätsanbieter wie Google, Microsoft und Okta täuschend echt.

Ein Angreifer kann die Phishing-Seite in Echtzeit überwachen, während ein ahnungsloser Mitarbeiter mit ihr interagiert. Der Betrüger kann dann gezielt weitere Seiten und Abfragen auslösen. Diese dynamische Interaktion macht den Vorwand, Anmeldedaten preiszugeben oder eine MFA-Push-Benachrichtigung zu bestätigen, für das Opfer viel glaubwürdiger.

Seit Ende 2025 hat sich diese kriminelle Aktivität deutlich weiterentwickelt. Einige Anbieter der Phishing-Kits werben sogar gezielt um muttersprachliche englische Anrufer. Diese sollen die Social-Engineering-Komponente der Betrügereien authentischer wirken lassen. Die Anrufer geben sich als Helpdesk des Unternehmens aus. Oft nutzen sie den Vorwand eines obligatorischen Updates oder einer Support-Ticket-Bearbeitung, um den Kontakt herzustellen.

So läuft ein moderner Helpdesk-Angriff ab

Die Angriffe folgen einem ausgeklügelten Muster, das das Vertrauensverhältnis zwischen Mitarbeitern und IT-Support ausnutzt.

1. Vorbereitung: Der Angreifer sammelt öffentlich zugängliche Daten wie Namen, Telefonnummern und verwendete Unternehmenssoftware – etwa von Firmenwebsites oder LinkedIn-Profilen.
2. Falle stellen: Mithilfe des Phishing-Kits wird ein täuschend echt aussehendes Login-Portal erstellt.
3. Anruf: Das Opfer erhält einen direkten Anruf von einer gefälschten Nummer, die wie die offizielle Support-Hotline des Unternehmens aussieht.
4. Diebstahl: Der als Helpdesk-Mitarbeiter auftretende Angreifer leitet das Opfer zur Phishing-Seite. Sobald die Zugangsdaten eingegeben werden, erhält der Kriminelle sie in Echtzeit. Anschließend wird der Benutzer aufgefordert, eine MFA-Anfrage zu bestätigen – und der Angreifer hat vollen Zugriff.

Dieser interaktive, persönliche Ansatz ist ein Markenzeichen der Gruppe Scattered Spider. Sie hat mit diesen Methoden bereits zahlreiche spektakuläre Unternehmenshacks durchgeführt.

Der menschliche Faktor: Vertrauen im Homeoffice wird ausgenutzt

Der Erfolg dieser Helpdesk-Betrügereien basiert auf der Ausnutzung des menschlichen Faktors – oft die schwächste Stelle in der Sicherheitskette. In einer Remote- oder Hybrid-Arbeitsumgebung unterstützt der IT-Support regelmäßig Mitarbeiter, die er persönlich nie getroffen hat. Eine rigorose Identitätsprüfung ist daher schwieriger.

Angreifer nutzen dies aus, indem sie Druck oder Autorität aufbauen. Mitarbeiter werden so zu Handlungen gedrängt, die sie sonst hinterfragen würden. Eine Analyse von Social-Engineering-Trends vom Januar 2026 zeigt: Das gezielte Ausspielen interner IT-Workflows ist eine gefährlich effektive Entwicklung. Angreifer imitieren Support-Mitarbeiter in Plattformen wie Microsoft Teams, um Passwort-Resets oder Ticket-Eskalationen zu fordern. Mit diesen rein sozialen Mitteln – ganz ohne Malware – können Kriminelle innerhalb einer Stunde hochrangige Zugriffe erlangen.

KI und Deepfakes: Die nächste Eskalationsstufe steht bevor

Dieser Trend ist Teil einer größeren Verschiebung hin zu ausgeklügelten, multikanaligen Social-Engineering-Kampagnen. Angreifer orchestrieren ihre Aktionen zunehmend über E-Mail, SMS, Telefon und Kollaborationsplattformen hinweg. So schaffen sie einen glaubwürdigen Kontext, der die Skepsis der Mitarbeiter überwindet. Herkömmliche, kanalspezifische Sicherheitsmaßnahmen verlieren dadurch an Wirkung.

Die zunehmende Verfügbarkeit von Künstlicher Intelligenz (AI) wird diese Betrügereien noch gefährlicher machen. Experten warnten in einem Bericht vom 16. Januar 2026, dass generative KI hyper-personalisierte Phishing-Nachrichten und Voice-Deepfakes ermöglichen wird. Diese können Tonfall und Inhalte sogar mitten im Gespräch anpassen, um Opfer effektiver zu manipulieren. Die Echtzeit-Nachahmung der Stimme eines Vorgesetzten ist keine theoretische Bedrohung mehr, sondern eine reale.

Wie sich Unternehmen schützen können

Angesichts dieser Entwicklung müssen sich Organisationen auf mehr und bessere Social-Engineering-Angriffe vorbereiten. Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz:

• Technische Maßnahmen: Implementierung von phishing-resistenter MFA (z.B. Sicherheitsschlüssel) und verstärkte Identitätsüberprüfung für alle Helpdesk-Interaktionen.
• Mitarbeiterschulung: Kontinuierliches Training, um Social-Engineering-Versuche zu erkennen und zu melden. Simulationstrainings für Helpdesk-Mitarbeiter können auf diese Hochdruckszenarien vorbereiten.
• Sicherheitskultur: Da Angreifer zunehmend menschliches Vertrauen statt technischer Schwachstellen ausnutzen, ist eine Kultur des gesunden Misstrauens und Sicherheitsbewusstseins im gesamten Unternehmen entscheidender denn je.

PS: Sie wollen Ihre Belegschaft gegen Deepfake‑Stimmen und hyper‑personalisierte Phishing‑Angriffe wappnen? Das Anti‑Phishing‑Paket liefert leicht umsetzbare Trainingsskripte, Vorlagen für Incident‑Response und Maßnahmen zur Absicherung von MFA‑Flows – alles als kostenloser Download. Speziell zusammengestellt für kleine und mittlere Unternehmen sowie IT‑Abteilungen, hilft das Paket, Angriffsflächen zu reduzieren und die Erkennungsrate bei gefälschten Helpdesk‑Anrufen deutlich zu erhöhen. Anti‑Phishing‑Paket jetzt sichern