Woche 25: Gefälschte Sprachnachrichten verbreiten Schadsoftware und zielen auf Zugangsdaten

23.06.2026 - Letzte Woche verzeichnete das BACS vermehrt Meldungen zu einer Betrugsmasche, bei der angebliche Sprachnachrichten («Voicemails») per E-Mail versendet werden. Die Täterschaft missbraucht dabei das Design bekannter Microsoft-Dienste, um Opfer entweder auf Phishing-Seiten zu locken oder sie zur Installation von Schadsoftware zu verleiten.

Gefälschte E-Mails, die eine angebliche Sprachnachricht ankündigen, sind derzeit vermehrt im Umlauf. Die von den Angreifern versendenten E-Mails sind optisch stark an offizielle Benachrichtigungen von «Microsoft 365» beziehungsweise «OneDrive for Business» angelehnt. Die missbräuchliche Verwendung vertrauter Logos (wie «Microsoft 365») verleitet oft zu unüberlegtem Handeln. In den Nachrichten wird den Empfängern suggeriert, dass sie eine neue Sprachnachricht («New voicemail») erhalten haben. Um die E-Mails authentisch wirken zu lassen, erfinden die Betrüger Details wie das angebliche Empfangsdatum, eine Telefonnummer des Absenders sowie die Dauer der Sprachnachricht. In einem besonders dreisten Fall, wurde sogar der Betreff «Sterbeanzeige» verwendet, um beim Empfänger gezielt Dringlichkeit und emotionalen Druck zu erzeugen und so ein unüberlegtes Öffnen der Nachricht zu provozieren.

Zwei Varianten des Angriffs

In der ersten Angriffsvariante versuchen die Angreifer, das Opfer zum Öffnen einer Schadsoftware zu verleiten. Bei dieser Methode ist der E-Mail direkt eine komprimierte Datei angefügt, beispielsweise ein ZIP-Archiv namens «audio_Y6CEKNH8OE.zip». Die Kriminellen hoffen, dass die Opfer den Anhang öffnen, um die vermeintliche Nachricht abzuhören. Wer allerdings diese Datei entpackt und ausführt, installiert unbemerkt Schadsoftware (z. B. einen «Infostealer») auf seinem System.

Beispiel einer angeblichen Voicemail-Benachrichtigung, welche im Anhang eine Schadsoftware enthält.
Beispiel einer angeblichen Voicemail-Benachrichtigung, welche im Anhang eine Schadsoftware enthält.

Bei der zweiten Variante haben es die Betrüger auf die Passwörter des Opfers abgesehen. Der in der Voicemail enthaltene Link oder die der E-Mail angehängte HTML-Datei führt auf eine professionell gefälschte Microsoft-Login-Seite. Auf dieser Phishing-Seite wird dem Opfer ein visueller «Audio player» mit Abspielbalken präsentiert. Um die angebliche Nachricht abzuhören, werden die Nutzer aufgefordert, auf einen blauen Button mit der Aufschrift «Play voicemail as guest» zu klicken. In der Folge wird eine gefälschte Loginseite eingeblendet und so versucht, die Microsoft-Zugangsdaten (E-Mail und Passwort) der Opfer abzugreifen.

Beispiel einer Phishing-E-Mail mit der Aufforderung, eine Voicemail-Nachricht abzuhören und Zugangsdaten anzugeben.
Beispiel einer Phishing-E-Mail mit der Aufforderung, eine Voicemail-Nachricht abzuhören und Zugangsdaten anzugeben.

Vom Einzelfall zur Angriffskette

Ein erfolgreicher Angriff endet selten beim ersten kompromittierten Konto. Erbeutete «Microsoft 365»-Zugangsdaten verschaffen den Angreifern Zugriff auf E-Mails, OneDrive, SharePoint und Teams und damit auf einen Grossteil der internen Kommunikation einer Organisation. Aus dem übernommenen Postfach werden in einem nächsten Schritt häufig sogenannte «Chain-Phishing-E-Mails» an alle Kontakte des Opfers versendet. Da diese von einer vertrauten Absenderadresse stammen und sich oft sogar auf bestehende E-Mail-Verläufe bezieht, ist die Erfolgsquote bei den Empfängern deutlich höher als bei klassischem Phishing.

Parallel dazu beobachten die Angreifer den Geschäftsverkehr. Aus den mitgelesenen Nachrichten lassen sich laufende Projekte, Zahlungsmodalitäten und interne Hierarchien rekonstruieren, was für gezielten CEO-Betrug oder für «Business-E-Mail Compromise (BEC)» genutzt wird. Eine gefälschte Zahlungsaufforderung, die im richtigen Moment aus dem echten Postfach von Mitarbeitenden kommt, ist für die Buchhaltung kaum als Betrug erkennbar. Bei Infektionen mit Schadsoftware wie einem «Infostealer» werden die ausgelesenen Zugangsdaten, Cookies und Wallet-Informationen zudem im Darknet weiterverkauft. Sie tauchen teilweise erst Wochen oder Monate später in gezielten Folgeangriffen wieder auf, was eine spätere Zuordnung zum ursprünglichen Vorfall erschwert.

Empfehlungen

  • Prüfen Sie Anhänge kritisch: Öffnen Sie niemals unerwartete ZIP-Anhänge. Echte Sprachnachrichten oder Voicemails von Telefonsystemen werden in der Regel als Audio-Dateien (wie .wav oder .mp3) und nicht als ZIP-Archive verschickt.
  • Klicken Sie bei unerwarteten Benachrichtigungen nicht auf die eingebetteten Links oder Buttons.
  • Geben Sie Ihre Microsoft-Zugangsdaten und auch andere Zugangsdaten niemals auf Seiten ein, auf die Sie über einen Link in einer E-Mail gelangt sind.
  • Wenn Sie in Ihrem Unternehmen Microsoft-Dienste (wie Teams) nutzen, prüfen Sie eingegangene Sprachnachrichten immer direkt in der offiziellen Applikation und nicht über den Umweg einer E-Mail-Benachrichtigung.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 23.06.2026

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/26w25-de