Phishing-Angriffe in Echtzeit

Die Bedrohung durch Phishing entwickelt sich rasant weiter – und sie wird persönlicher, technischer und gefährlicher. Sicherheitsforscher von Okta berichten aktuell über neuartige Voice-Phishing-Kits, die selbst unerfahrenen Cyberkriminellen hochkomplexe und individuell zugeschnittene Vishing-Angriffe ermöglichen. Besonders brisant: Mit diesen Tools lassen sich sogar Multi-Faktor-Authentifizierungen (MFA) in Echtzeit umgehen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 , ordnet die Entwicklung ein – und warnt Unternehmen vor einer neuen Qualität sozialer Angriffe.

Hochprofessionelle Angriffe per Baukastenprinzip

Die neuen Kits funktionieren nach einem klar strukturierten Muster – und sind dennoch hochgradig flexibel:

1. Auswahl und Recherche der Opfer
   Angreifer sammeln gezielt Informationen: Namen, Telefonnummern, genutzte Apps und Dienste. Je besser das Profil, desto überzeugender der Angriff.

2. Erstellung täuschend echter Phishing-Webseiten
   Mithilfe der Kits werden maßgeschneiderte Login-Seiten erstellt, die optisch kaum von den Originalen – etwa von Google-, Microsoft- oder Kryptodiensten – zu unterscheiden sind.

3. Der Anruf: Vishing in Perfektion
   Die Täter rufen ihre Opfer an und geben sich als Support-Mitarbeiter der jeweiligen Plattform aus. Unter einem plausiblen Vorwand – beispielsweise einer dringenden Sicherheitsüberprüfung – fordern sie die Betroffenen auf, eine bestimmte Website zu öffnen.

4. Credential-Diebstahl in Echtzeit
   Sobald Nutzername und Passwort eingegeben werden, landen die Zugangsdaten direkt beim Angreifer – häufig über einen Telegram-Kanal. Doch hier endet der Angriff nicht.

Der kritische Moment: MFA wird live ausgehebelt

In der Vergangenheit war die Multi-Faktor-Authentifizierung oft der entscheidende Schutzmechanismus. Selbst wenn Zugangsdaten abgegriffen wurden, scheiterte der Login am zusätzlichen Faktor. Die neuen Voice-Phishing-Kits gehen jedoch einen Schritt weiter:

• Clientseitige Skripte auf der Phishing-Seite erlauben es dem Angreifer, den Authentifizierungsprozess im Browser des Opfers in Echtzeit zu steuern.
• Während das Opfer telefonisch instruiert wird, kann der Täter synchron festlegen, was auf dem Bildschirm erscheint.
• Wird beispielsweise eine Push-Benachrichtigung oder ein One-Time-Password (OTP) angekündigt, erscheint diese tatsächlich – weil der Angreifer parallel versucht, sich mit den gestohlenen Daten beim echten Dienst anzumelden. Bestätigt das Opfer die Push-Anfrage oder gibt den OTP-Code weiter, ist die MFA überwunden. Der Angreifer erhält vollständigen Zugriff auf das Konto – unbemerkt und in Echtzeit.

Warum diese Entwicklung so gefährlich ist

Die Kombination aus:

• technischer Automatisierung
• sozialer Manipulation
• Echtzeit-Synchronisierung
• und niedriger Einstiegshürde für Täter macht diese Kits besonders bedrohlich.

Angriffe richten sich dabei längst nicht mehr nur gegen einzelne Endnutzer. Auch Unternehmen – inklusive Führungskräfte – geraten zunehmend ins Visier. Gerade gut geschulte Mitarbeiter können durch den glaubwürdigen Support-Anruf in einer Stresssituation dennoch unter Druck geraten. Die Prognose der Sicherheitsforscher von Okta ist eindeutig: Solche Vishing-Angriffe werden in den kommenden Jahren deutlich zunehmen.

Was Unternehmen jetzt tun müssen

Technische Schutzmaßnahmen allein reichen nicht mehr aus. Selbst starke MFA-Mechanismen sind kein Garant mehr für Sicherheit, wenn Menschen in Echtzeit manipuliert werden. Entscheidend ist daher eine umfassende Strategie, die den Faktor Mensch ins Zentrum stellt:

1. Sicherheitsbewusstsein kontinuierlich stärken
   Mitarbeiter müssen regelmäßig über aktuelle Angriffsstrategien informiert werden – insbesondere über Social-Engineering-Taktiken am Telefon.

2. Realitätsnahe Phishing-Simulationen einsetzen
   Praxisnahe Tests helfen, Verhaltensmuster zu trainieren und Risiken sichtbar zu machen.

3. Human Risk Management etablieren
   Moderne Human Risk Management-Systeme kombinieren personalisierte Schulungen, automatisierte Tests und KI-gestützte Bedrohungserkennung. Sie ermöglichen es, Trainings individuell auszuspielen und kontinuierlich zu verbessern.

4. KI und Crowdsourcing nutzen
   Moderne Anti-Phishing-Technologien setzen zunehmend auf KI in Kombination mit Schwarmintelligenz, um Zero-Day-Bedrohungen frühzeitig zu erkennen.

Der Mensch bleibt die erste Verteidigungslinie

Die neuen Voice-Phishing-Kits zeigen eindrucksvoll, dass Cyberkriminalität zunehmend professionalisiert wird – und menschliche Reaktionen gezielt ausnutzt. Unternehmen müssen daher ihre Sicherheitsstrategie neu denken: Nicht nur Systeme absichern, sondern Menschen befähigen. Wer seine Mitarbeiter kontinuierlich schult, sensibilisiert und in eine ganzheitliche Sicherheitsarchitektur einbindet, reduziert Risiken signifikant – und macht aus potenziellen Schwachstellen eine starke Verteidigungslinie gegen moderne Cyberbedrohungen.