Vishing-as-a-Service: Neue Angriffswelle umgeht Zwei-Faktor-Authentifizierung

Cyberkriminelle bieten jetzt komplette Live-Phishing-Kits an, die selbst moderne Sicherheitsbarrieren aushebeln. Die Angriffe zielen auf Nutzerkonten großer Tech-Konzerne und Kryptodienste.

Eine neue, hochgefährliche Welle von Cyberangriffen bedroht die digitale Sicherheit von Unternehmen und Privatnutzern. Bedrohungsakteure setzen zunehmend auf Echtzeit-Voice-Phishing (Vishing), bei dem Live-Telefonbetrug mit interaktiven Phishing-Webseiten synchronisiert wird. Ziel ist es, nicht nur Login-Daten, sondern auch die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Sicherheitsforscher warnen vor einer wachsenden „Vishing-as-a-Service“-Branche im Darknet. Diese Toolkits ermöglichen selbst technisch wenig versierten Kriminellen hochkomplexe Social-Engineering-Angriffe auf große Online-Dienste.

Laut einem aktuellen Bericht des Identitätssicherheitsanbieters Okta vom 22. Januar werden diese Kits aktiv genutzt, um Nutzerkonten bei Tech-Giganten wie Google, Microsoft und Okta selbst sowie bei diversen Kryptowährungsanbietern zu kompromittieren. Diese Entwicklung markiert eine gefährliche Tendenz: Menschliche Manipulation und Echtzeit-Web-Manipulation verbinden sich, um bisher als robust geltende Sicherheitsmaßnahmen zu überwinden.

Phishing und Vishing funktionieren mittlerweile häufig in Echtzeit – und klassische 2FA genügt nicht immer, um Konten zu schützen. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Unternehmen Vishing‑Kits erkennen, Mitarbeiter effektiv schulen und CEO‑Fraud verhindern. Der Guide enthält branchenspezifische Gefahrenanalysen, psychologische Angriffsmuster, praktische Checklisten für die Incident‑Response und konkrete technische Gegenmaßnahmen, die sich sofort umsetzen lassen. Jetzt Anti-Phishing-Paket kostenlos herunterladen

Die Angriffe zeichnen sich durch die nahtlose Verknüpfung eines Telefonanrufs mit einer vom Angreifer live gesteuerten Phishing-Seite aus. Das Szenario beginnt typischerweise mit einem Anruf. Der Täter gibt sich als IT-Support oder Helpdesk-Mitarbeiter aus und lockt das Opfer mit einem Vorwand – etwa einem angeblichen Sicherheitsupdate – auf eine gefälschte Login-Seite.

Sobald das Opfer die Seite aufruft, sieht der Angreifer auf einem Live-Dashboard jede Aktion. Der eingegebene Benutzername und das Passwort werden sofort erfasst und oft über Telegram an den Täter weitergeleitet. Dieser loggt sich damit umgehend beim echten Dienst ein – und löst so die echte 2FA-Abfrage aus.

Hier kommt die Echtzeit-Fähigkeit ins Spiel: Der Angreifer sieht, welche Art von Bestätigung verlangt wird – ob Einmalkode per App, SMS oder Push-Benachrichtigung – und passt die Phishing-Seite des Opfers sofort an. Plötzlich erscheint dort genau die Aufforderung, die er gleich telefonisch geben wird: „Bitte geben Sie den 6-stelligen Code ein“ oder „Bestätigen Sie die Push-Nachricht.“ Diese Synchronisation von gesprochener Anweisung und Bildschirmanzeige verleiht dem Betrug eine enorme Glaubwürdigkeit.

2FA ist kein Allheilmittel mehr

Sicherheitsexperten haben die Multi-Faktor-Authentifizierung (MFA) lange als entscheidende Verteidigungslinie gepriesen. Doch diese Vishing-Kits sind speziell darauf ausgelegt, viele gängige Formen zu umgehen. Die interaktive Natur des Angriffs kann app-basierte Einmalkennwörter (TOTP), SMS-Codes und Standard-Push-Benachrichtigungen aushebeln.

Selbst fortschrittlichere Methoden wie Push-Benachrichtigungen mit Zahlenabgleich sind nicht immun. In diesem Fall zeigt der legitime Dienst eine Zahl an, die der Nutzer auf seinem Gerät bestätigen muss. Der Angreifer am Telefon sieht diese Zahl während seines eigenen Login-Versuchs und kann das Opfer einfach anweisen, genau diese Nummer einzugeben. Das unterstreicht eine kritische Schwachstelle jeder MFA-Methode, die nicht inhärent phishing-resistent ist.

Der Aufstieg dieser Kits ist Teil eines größeren Trends: Cyberkriminalität wird durch „as-a-Service“-Modelle immer zugänglicher. Die Plattformen bieten nicht nur die technische Infrastruktur, sondern teilweise auch Zugang zu erfahrenen Social Engineers und muttersprachlichen Anrufern. Das senkt die Einstiegshürde für hochsophistische Angriffe, die früher gut ausgestatteten Hackergruppen vorbehalten waren.

Die Industrialisierung der Menschen-Hacking

Die Entstehung dieser Echtzeit-Kits markiert eine signifikante Industrialisierung von Social-Engineering-Angriffen. Indem Werkzeuge für interaktives Phishing produktisiert werden, haben Kriminelle eine skalierbare und effiziente Methode geschaffen, um gesicherte Konten zu übernehmen. Experten sehen darin eine akute Gefahr für Organisationen, die sich auf konventionelle 2FA verlassen.

„Angreifer stehlen nicht mehr nur Passwörter. Sie führen ihre Opfer in Echtzeit durch den 2FA-Prozess, um den Single Sign-On (SSO) in eine direkte Daten-Diebstahl-Schiene zu verwandeln“, analysiert ein Sicherheitsforscher. Diese Evolution erfordert einen Strategiewechsel in der Verteidigung. Der Fokus muss sich vom bloßen Verifizieren von Logins hin zur kontinuierlichen Überwachung des Verhaltens nach der Authentifizierung verschieben, um anomale Aktivitäten zu erkennen.

Ausblick: Der Ruf nach phishing-resistenter Authentifizierung

Da sich diese „Vishing-as-a-Service“-Plattformen ausbreiten, rechnen Sicherheitsexperten mit einer Zunahme hochwirksamer, sozial manipulativ gesteuerter Angriffe. Der Erfolg dieser Methoden wird wahrscheinlich weitere Innovationen in der Cybercrime-Ökonomie antreiben.

Als Antwort drängen Cybersicherheitsexperten darauf, die Einführung wirklich phishing-resistenter MFA-Methoden zu beschleunigen. Dazu gehören Technologien wie FIDO2/WebAuthn, die kryptografische Schlüssel und Biometrie nutzen, sowie zertifikatbasierte Authentifizierung. Solche Methoden schaffen eine Bindung zwischen Nutzer, Gerät und legitimem Dienst, die eine Nutzung der Anmeldedaten auf einer betrügerischen Seite unmöglich macht.

Organisationen wird zudem geraten, die Schulung von Nutzern zu verbessern, strengere Netzwerkzugangskontrollen einzuführen und fortschrittliche Anti-Phishing-Lösungen einzusetzen. Da Angreifer ihr Tempo weiter erhöhen, ist die Notwendigkeit einer mehrschichtigen Verteidigung aus Technologie, Richtlinien und Nutzerbewusstsein größer denn je.

PS: Weil Angreifer Live‑Phishing mit Telefonanrufen kombinieren, benötigen Unternehmen eine kompakte, sofort anwendbare Anleitung. Das Gratis‑Anti‑Phishing‑Paket liefert eine 4‑Punkte‑Strategie — von Awareness‑Tests und Telefon‑Simulationsübungen bis zu konkreten IT‑Kontrollen und Vorlagen für Schulungs‑E‑Mails. Ideal für IT‑Teams und Sicherheitsverantwortliche, die den Erfolg von Vishing-Angriffen signifikant reduzieren wollen. Anti-Phishing-Checkliste jetzt gratis anfordern