IT-Support-Betrüger nutzen die Vertrauensstellung der Plattform für gezielte Vishing-Angriffe auf Unternehmen. Die Cybersicherheitslandschaft hat sich diese Woche dramatisch verändert. Sicherheitsforscher und Behörden warnen vor einer Welle gezielter Voice-Phishing-Angriffe über Microsoft Teams. Dabei nutzen Kriminelle das inhärente Vertrauen in die geschäftliche Kollaborationsplattform aus, um an sensible Unternehmensdaten zu gelangen.

Vom Spam-Bombing zur Fernsteuerung: So läuft der Angriff ab

Die aktuellen Kampagnen folgen einem ausgeklügelten Drehbuch, das auf Dringlichkeit und Glaubwürdigkeit setzt. Der Angriff beginnt oft mit einem „Spam-Bombing“: Das Postfach eines Mitarbeiters wird mit Tausenden automatisierten Nachrichten überschwemmt. Kurz darauf erhält das Opfer einen Anruf über Microsoft Teams – scheinbar von der internen IT-Hotline.

Anzeige

Die aktuellen Vishing-Attacken zeigen, wie perfide Kriminelle psychologische Tricks nutzen, um Sicherheitsbarrieren zu umgehen. In diesem kostenlosen Report erfahren Sie, welche Methoden derzeit besonders erfolgreich sind und wie Sie Ihre Organisation wirksam schützen. Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen

Der Anrufer erklärt die Spam-Flut zu einem bekannten technischen Problem, das sofortiges Handeln erfordere. Unter diesem Vorwand leitet er den Mitarbeiter an, das legale Windows-Tool Quick Assist zu starten und einen Sicherheitscode freizugeben. Schon hat der Angreifer vollen Fernzugriff auf den Arbeitsplatzrechner. „Der Erfolg liegt in der Ausnutzung der menschlichen Natur“, erklärt ein Analyst. „In einer vermeintlichen Krise wollen Mitarbeiter helfen.“

Mit der Fernsteuerung wechselt die Strategie. Die Opfer werden auf gefälschte Login-Portale geleitet, wo sie unter dem Deckmantel der „Identitätsprüfung“ ihre Unternehmensanmeldedaten eingeben. So erbeuten die Kriminellen Zugangsdaten in Echtzeit – während sie weiterhin Kontrolle über den kompromittierten Rechner behalten.

A0Backdoor: Die Malware für langfristigen Zugriff

Das eigentliche Ziel dieser Angriffe ist die Installation von persistenter Malware. Im Fokus steht dabei A0Backdoor, ein Schadprogramm, das als getarntes Microsoft-Installer-Paket daherkommt. Es tarnt sich als Teams-Update oder Systemkomponente. Durch eine Technik namens DLL-Sideloading wird die Malware unter dem Deckmantel vertrauenswürdiger Windows-Prozesse ausgeführt. Das macht die Erkennung für Standard-Sicherheitstools äußerst schwierig.

Einmal aktiv, baut A0Backdoor eine Command-and-Control-Verbindung auf. Die Angreifer nutzen oft Proxy-basierte Verbindungen, um den Datenverkehr im normalen Unternehmensnetzwerk zu verstecken. So können sie beliebige Befehle ausführen, weitere Schadmodule nachladen und sich im Netzwerk seitlich bewegen. Experten beobachten, dass die Täter privilegierte Accounts und Verzeichnisdienste ansteuern, um die Kontrolle über gesamte Domänen zu erlangen.

Storm-1811: Die Akteure hinter den Angriffen

Für diese Kampagnen wird hauptsächlich die Gruppe Storm-1811 verantwortlich gemacht, auch bekannt als Blitz Brigantine. Sie hat eine dokumentierte Geschichte in der Nutzung von Kollaborationsplattformen für Ransomware-Angriffe, insbesondere der Variante Black Basta. Die Gruppe hat ihr „IT-Support“-Auftreten verfeinert, verwendet professionell klingende Skripte und greift gezielt während der Hauptgeschäftszeiten an – um den Druck auf die Opfer zu maximieren.

Nicht nur kriminelle Gruppen nutzen diese Methode. Auch staatlich unterstützte Akteure wie Midnight Blizzard wurden dabei beobachtet, kompromittierte Microsoft-365-Mandanten für koordinierte Phishing- und Vishing-Angriffe auf Behörden und Rüstungsunternehmen zu nutzen. Die Konvergenz der Taktiken zeigt: Der „Kollaborations-first“-Angriffsvektor ist zum Standard im modernen Bedrohungsportfolio geworden.

Besonders gefährdet sind der Finanz- und der Gesundheitssektor. Im Gesundheitswesen nutzen Angreifer das hochstressige Umfeld des medizinischen Personals aus, das einer Stimme auf einer professionellen Plattform eher vertraut als einer verdächtigen E-Mail. Solange diese Sektoren auf externe Kommunikationsfunktionen in Teams angewiesen sind, bleiben sie lukrative Ziele.

Abwehrstrategien: So schützen sich Unternehmen

Microsoft reagiert auf die eskalierende Bedrohung mit beschleunigten Sicherheitsupdates. Seit Mitte März 2026 verfügt Teams über eine neue Anrufmeldungsfunktion. Nutzer können verdächtige Anrufe direkt in der Oberfläche als potenzielle Betrugsversuche melden. Zudem warnt das System jetzt verstärkt vor Betrug, wenn ein externer Anrufer versucht, eine vertrauenswürdige Organisation oder interne Abteilung zu imitieren.

Sicherheitsexperten empfehlen Unternehmen mehrere Sofortmaßnahmen:
* Kommunikation einschränken: Eingehende Kommunikation von nicht verwalteten oder externen Teams-Konten sollte stark eingeschränkt werden. Ein Allowlist-Ansatz für vertrauenswürdige externe Domänen reduziert die Angriffsfläche erheblich.
* Remote-Tools auditieren: Die Nutzung von Fernwartungstools wie Quick Assist oder AnyDesk muss überprüft und auf autorisiertes Personal beschränkt werden. Eine sekundäre Freigabe sollte Pflicht sein.
* Mitarbeiter schulen: Die Sensibilisierung der Belegschaft bleibt die wichtigste Verteidigungslinie. Schulungsprogramme müssen jetzt spezifische Simulationen von Teams-basiertem Vishing enthalten. Eine klare Botschaft: Legitime IT wird niemals unaufgefordert per Chat oder Anruf nach Fernzugriff fragen. Eine Kultur, in der Mitarbeiter Anfragen über einen sekundären Kanal verifizieren, kann die meisten Angriffe bereits im Ansatz stoppen.

Anzeige

Um die IT-Sicherheit in Ihrem Unternehmen nachhaltig zu verbessern, ohne das Budget zu sprengen, bietet dieser Experten-Guide eine praxisnahe 4-Schritte-Anleitung zur Abwehr von Cyber-Angriffen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

Ausblick: KI und die Zukunft der Angriffe

Der Aufstieg des Teams-Vishing ist Teil eines größeren Trends: Angreifer nutzen die „blinden Flecken“, die durch hybride Arbeit und Cloud-Kollaboration entstehen. Während die E-Mail-Sicherheit über Jahrzente gereift ist, hinkt der Schutz von Echtzeit-Chat- und Voice-Plattformen hinterher. Der Übergang von Software-Schwachstellen zu identitätsbasierten Angriffen zeigt eine einfache Wahrheit: Oft ist es leichter, einen Menschen zu täuschen als eine Firewall zu knacken.

Die Integration von künstlicher Intelligenz in diese Kampagnen bereitet der Sicherheitsbranche zunehmend Sorgen. Berichte vom 23. März 2026 deuten darauf hin, dass einige Bedrohungsakteure bereits mit KI-generierten Stimmen experimentieren. Diese „Deepfake“-Stimmen können den Tonfall und Akzent einer bestimmten Region oder sogar eines bestimmten Managers imitieren – und die Täuschung nahezu ununterscheidbar von der Realität machen.

Die Schlacht um den Unternehmens-Desktop wird 2026 wohl in den Lobbys der Kollaborations-Apps geschlagen. Unternehmen, die ihre internen Messaging- und Voice-Umgebungen nicht mit derselben Strenge sichern wie ihre E-Mail-Gateways, werden zunehmend verwundbar sein. Die aktuelle Welle des Teams-Vishing ist ein klares Signal: Die Sicherheitsgrenze hat sich verschoben. Die neue Frontlinie der Verteidigung ist der einzelne Mitarbeiter hinter dem Headset.