30.06.2026 - Das Bundesamt für Cybersicherheit (BACS) verzeichnet in den letzten Wochen Meldungen zu einer Betrugsmasche, bei der Cyberkriminelle das Vertrauen in Videokonferenz-Plattformen ausnutzen. Über Einladungen zu einem gefälschten Zoom Meeting werden die Opfer dazu gebracht, ein vermeintlich notwendiges «Update» herunterzuladen, das in Wirklichkeit Schadsoftware oder ein Fernwartungs-Tool enthält. International werden Varianten nach demselben Muster auch bei Microsoft Teams und Google Meet beobachtet.
Die Hürden, um Schadsoftware auf ein System zu bringen, sind in den vergangenen Jahren deutlich gestiegen. Moderne Betriebssysteme und Sicherheitsmechanismen informieren über den Installationsvorgang und fordern teils mehrere Bestätigungen ein. Die meisten Personen brechen einen solchen Vorgang ab. In der Regel ist eine Installation ohne Mitwirkung der Benutzerinnen und Benutzer kaum mehr möglich. Angreifer sehen sich daher zunehmend gezwungen, ihre Opfer gezielt zu überrumpeln und zu Handlungen zu verleiten, die sie unter normalen Umständen nicht ausführen würden. Dabei ist entscheidend, die jeweilige Situation möglichst glaubwürdig und zeitkritisch darzustellen. Eine typische Methode, die genau auf diesen Mechanismus abzielt, wird dem BACS aktuell gemeldet.
Die vermeintliche Wohnungsanfrage
Ausgangspunkt des ersten dem BACS gemeldeten Falls war ein Immobilienportal. Ein angeblicher Interessent meldete sich beim Melder und schlug vor, offene Fragen direkt in einem Zoom-Meeting zu besprechen. Daraufhin verschickte der Melder einen Link zu einem eigenen Zoom-Meeting. Der angebliche Interessent teilte mit, dass der Link nicht funktioniere, und schickte dem Melder einen vermeintlich alternativen Zoom-Link zurück. Dieser führte auf eine täuschend echt nachgebaute Zoom-Webseite, auf der ein Pop-up-Fenster ein dringendes Update verlangte. Das Pop-up-Fenster war Teil der Webseite und als sogenanntes «Browser-in-the-Browser»-Element so gestaltet, dass es einem eigenständigen Browser-Fenster täuschend ähnlich sah. Auch die Adresszeile des Browsers wurde in diesem Fall imitiert und suggerierte, man befinde sich auf der korrekten Seite von Zoom. Anschliessend wurde die meldende Person automatisch auf eine weitere Seite weitergeleitet, die den offiziellen Microsoft Store imitierte und die vermeintlichen Update-Datei legitim erscheinen zu lassen. Die meldende Person installierte das vermeintliche Update und damit die Schadsoftware.
Das gefälschte Geschäftsmeeting
Im zweiten Fall erhielt das Opfer eine Einladung zu einer Besprechung über seine berufliche E-Mail-Adresse. Beim Klick auf den Einladungslink öffnete sich im Browser ein Fenster mit dem Hinweis, dass für die Teilnahme an der Besprechung zunächst ein Update installiert werden müsse. Auch hier wurde das Pop-up-Fenster so gestaltet, dass das Opfer sich auf der vermeintlich richtigen Seite wähnte. Das Opfer lud die Datei herunter und führte sie aus. Auffällig ist, dass die ausgeführte Datei mit einer gültigen digitalen Signatur versehen war, wodurch klassische signaturbasierte Schutzmechanismen umgangen wurden.
Hinter den vermeintlichen Updates verbirgt sich oft Software, die Angreifern einen Fernzugriff ermöglicht. Dies kann zu Datenabfluss, dem Nachladen weiterer Schadsoftware oder der unternehmensweiten Verteilung von Ransomware führen.
Warum es funktioniert
Viele kennen die Situation: Ein Online-Meeting steht unmittelbar an, man ist unter Zeitdruck und beim Öffnen des Einladungs-Links funktioniert die benötigte Software nicht oder verlangt plötzlich nach einem Update. Das Perfide an dieser Vorgehensweise ist, dass die Angreifer alltägliches und an sich sinnvolles Verhalten gegen die Opfer einsetzen. Eine Software vor der Nutzung zu aktualisieren, gehört zu den Grundregeln. Wer dieser Aufforderung nachkommt, hat das Gefühl, besonders verantwortungsvoll zu handeln. Dieser Effekt wird durch die Situationsdynamik beim Beitritt zum Meeting verstärkt: Die Gegenseite wartet, der Termin ist häufig geschäftlich wichtig und ein technisches Hindernis soll möglichst rasch aus dem Weg geräumt werden. In diesem Szenario greifen zudem klassische Schutzempfehlungen ins Leere. So versagt das Prüfen der URL bei der «Browser-in-the-Browser»-Variante, weil die scheinbare Adresszeile gar nicht zum Browser gehört, sondern als Grafik auf der Phishing-Webseite nachgebildet ist.
Empfehlungen
- Klicken Sie Meeting-Einladungen nur an, wenn Sie diese erwarten und der Absender eindeutig bekannt ist.
- Treten Sie virtuellen Meetings, wenn immer möglich direkt über das installierte Programm bei und nicht über einen zugeschickten Link.
- Laden Sie Software-Updates für Zoom, Microsoft Teams oder Google Meet ausschliesslich über die bereits installierten Programme oder die offizielle Herstellerseite herunter.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 30.06.2026



