Vishing 2.0: Neue Phishing-Kits hebeln MFA per Live-Telefonat aus

VonJörn Schmidt
Hacker am PC
Foto von Clint Patterson auf Unsplash

Sicherheitsforscher von Okta warnen vor einer gefährlichen Evolutionsstufe beim Identitätsdiebstahl. Moderne Phishing-Baukästen ermöglichen es jetzt auch Anfängern, hochgradig personalisierte Voice-Phishing-Angriffe (Vishing) in Echtzeit durchzuführen. Das Besondere: Die Angreifer steuern die gefälschte Website synchron zum Telefonat. Sobald das Opfer seine Daten eingibt, landen diese sofort via Telegram beim Täter. Dieser nutzt die Zugangsdaten parallel auf der echten Plattform und weist das Opfer am Telefon an, den nun erscheinenden MFA-Code oder die Push-Bestätigung zu akzeptieren. Da die Phishing-Seite im Browser genau in diesem Moment die passende Erfolgsmeldung anzeigt, schöpfen selbst vorsichtige Nutzer keinen Verdacht.

Diese Kits zielen primär auf Konten bei Google, Microsoft sowie auf Krypto-Wallets ab. Der Prozess beginnt meist mit einer gründlichen Recherche des Opfers, um am Telefon als glaubwürdiger Support-Mitarbeiter aufzutreten. Die technische Raffinesse liegt in clientseitigen Skripten. Diese erlauben es dem Anrufer, den Browserinhalt des Opfers punktgenau zu manipulieren. So wird die Multi-Faktor-Authentifizierung (MFA) zum zahnlosen Tiger, da der Angreifer die Bestätigung des Nutzers mündlich einfordert und visuell auf der Fake-Seite untermauert.

Experten prognostizieren eine massive Zunahme dieser hybriden Angriffe. Da die Vishing-Expertise mittlerweile als Dienstleistung verkauft wird, steigt die Zahl der Vorfälle rasant. Herkömmliche Sicherheitsmechanismen wie Einmalpasswörter (OTP) oder einfache Push-Nachrichten bieten hier keinen Schutz mehr, weil der Faktor Mensch gezielt manipuliert wird. Die Angreifer reagieren am Telefon flexibel auf Rückfragen und bauen so eine Vertrauensebene auf, die rein technische Filter kaum blockieren können.

Effektive Verteidigung gelingt nur durch den Umstieg auf phishing-resistente Verfahren. Dazu zählen beispielsweise FIDO-Passkeys oder Hardware-Token, die eine physische Bindung an die echte Domain voraussetzen. Unternehmen sollten zudem ihre Belegschaft schulen, bei unaufgeforderten Support-Anrufen extrem skeptisch zu sein. Ein gesundes Misstrauen gegenüber telefonischen Anweisungen zur Kontoverifizierung bleibt die wichtigste Verteidigungslinie, bevor der digitale Generalschlüssel in fremde Hände fällt.

Um über alle News auf dem Laufenden zu bleiben, abonniere meinen WhatsApp-Newsletter oder folge mir auf Google News, Mastodon oder Bluesky!


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert