Calendly als Phishing-Falle: Neue Cyberangriffe umgehen Zwei-Faktor-Schutz

Cyberkriminelle setzen auf raffinierte neue Methoden: Statt massenhafter Spam-Mails nutzen sie nun gefälschte Einladungen über vertrauenswürdige Tools wie Calendly. Dabei hebeln sie selbst moderne Zwei-Faktor-Authentifizierung aus – ein Wendepunkt in der IT-Sicherheit.

Eine besorgniserregende Entwicklung erschüttert die Cybersecurity-Branche: Zwischen dem 3. und 5. Dezember dokumentierten Sicherheitsforscher eine hochprofessionelle Angriffswelle, die gezielt Google Workspace- und Facebook-Business-Konten ins Visier nimmt. Die Masche: Betrüger geben sich als Recruiter namhafter Konzerne wie LVMH, Uber oder Disney aus und versenden personalisierte Terminanfragen über den beliebten Planungsdienst Calendly.

Was diese Attacken so gefährlich macht? Sie kombinieren klassisches Social Engineering mit technisch ausgefeilten Adversary-in-the-Middle-Techniken (AiTM), die herkömmliche Sicherheitsmaßnahmen ins Leere laufen lassen. Selbst die vielgepriesene Multi-Faktor-Authentifizierung bietet keinen Schutz mehr.

Die Zeiten unpersönlicher Phishing-Mails sind vorbei. Wie der National CIO Review am 4. Dezember berichtete, nutzen Angreifer künstliche Intelligenz, um aus LinkedIn-Profilen detaillierte Informationen über ihre Opfer zu extrahieren. Das Ergebnis: maßgeschneiderte Köder, die konkrete Projekte oder Karriereschritte des Ziels aufgreifen.

AiTM- und Browser‑in‑the‑Browser‑Angriffe fangen in Echtzeit Ihre Zugangsdaten und MFA‑Codes ab — klassische Schutzmaßnahmen reichen deshalb oft nicht mehr. Das kostenlose Anti‑Phishing‑Paket erklärt in einer praktischen 4‑Schritte‑Anleitung, wie Sie gefälschte Calendly‑Einladungen, CEO‑Fraud und Session‑Cookie‑Diebstahl erkennen und abwehren. Enthalten sind erkennbare Indikatoren, sofort anwendbare Mitarbeiter‑Checks und Vorlagen für interne Sicherheitsrichtlinien. Anti-Phishing-Paket jetzt herunterladen

Klickt das Opfer auf den gefälschten Calendly-Link, öffnet sich ein täuschend echtes Google-Login-Fenster – technisch eine sogenannte Browser-in-the-Browser-Fälschung. Anders als bei einfachen Fake-Seiten handelt es sich hierbei um eine dynamische Weiterleitung: Die Angreifer sitzen buchstäblich “in der Mitte” und fangen Zugangsdaten sowie Zwei-Faktor-Codes in Echtzeit ab. Noch während der Nutzer seine Anmeldung für legitim hält, kopieren die Kriminellen bereits die Session-Cookies – der direkte Schlüssel zur kompletten Kontoübernahme.

Angriff auf allen Kanälen: Social Media als neue Frontlinie

E-Mails verlieren als Einfallstor an Bedeutung. Stattdessen verlagert sich das Geschehen massiv auf soziale Netzwerke und Messenger-Dienste. Am 3. Dezember warnte das Infosecurity Magazine vor der russischen Hackergruppe “Star Blizzard” (früher bekannt als SEABORGIUM), die gezielt Nichtregierungsorganisationen wie Reporter ohne Grenzen attackiert.

Die Taktik folgt einem gefährlichen Muster: Zunächst kontaktieren die Angreifer ihre Opfer über scheinbar harmlose Nachrichten auf LinkedIn oder WhatsApp. Erst im zweiten Schritt folgt der eigentliche Angriff – oft über speziell entwickelte Phishing-Kits, die auch verschlüsselte ProtonMail-Konten kompromittieren können.

Parallel dazu sorgt die Gruppe “Storm-0900” für Schlagzeilen. Obwohl Microsoft die Aktivitäten Ende November blockierte, dominieren ihre Methoden weiterhin die Sicherheitswarnungen: gefälschte Strafzettel-Benachrichtigungen oder vermeintliche Laborbefunde, zugestellt per SMS. Warum das funktioniert? Mobile Geräte genießen bei Nutzern oft ein höheres Vertrauen – eine fatale Fehleinschätzung.

Industrialisiertes Verbrechen: Wenn KI die Aufklärung übernimmt

Die rasante Weiterentwicklung der Angriffsmethoden hat einen Namen: künstliche Intelligenz. Laut GBHackers vom 3. Dezember nutzen Kriminelle generative KI nicht nur zum Verfassen fehlerfreier, kontextbezogener Nachrichten, die Spam-Filter mühelos passieren. Sie automatisieren damit auch die Recherche-Phase.

Was früher Wochen dauerte – das Zusammentragen persönlicher Details über hochrangige Führungskräfte – erledigt KI heute in Minuten für hunderte Zielpersonen gleichzeitig. “Industrialisiertes Social Engineering” nennen Experten dieses Phänomen: Selbst einfache Mitarbeiter werden nun mit der gleichen Präzision attackiert wie früher nur Vorstandsmitglieder.

Das Ende einer Illusion: Warum Standard-MFA versagt

Die Ereignisse dieser Woche zerstören einen Irrglauben, an den sich die Branche lange geklammert hat: Die Multi-Faktor-Authentifizierung als ultimative Sicherheitslösung.

“Wir haben MFA jahrelang als Wunderwaffe behandelt, doch diese Ära ist definitiv vorbei”, erklärte ein leitender Sicherheitsanalyst am Donnerstag in einem Briefing. “Wenn Angreifer Zwei-Faktor-Codes in Echtzeit weiterleiten oder Session-Cookies abfangen können, wird der zweite Faktor bedeutungslos. Die Branche muss jetzt zwingend auf phishing-resistente Authentifizierung umsteigen – etwa FIDO2-Sicherheitsschlüssel oder Passkeys.”

Die Konsequenzen für Unternehmen sind dramatisch: Ein kompromittiertes Facebook-Business- oder Google-Workspace-Konto bedeutet nicht nur Datenverlust. Angreifer können die gesamte Unternehmensinfrastruktur missbrauchen – für betrügerische Werbekampagnen oder Phishing-Angriffe aus vertrauenswürdigen Absenderdomänen heraus.

Ausblick 2026: Die Bedrohung wird mobil

Die Entwicklung der kommenden Monate zeichnet sich bereits deutlich ab. Sicherheitsexperten rechnen für 2026 mit:

“Quishing” auf dem Vormarsch: QR-Code-Phishing wird voraussichtlich mit AiTM-Techniken verschmelzen. Das verlagert Angriffe vollständig auf mobile Endgeräte, wo Nutzer URLs kaum überprüfen können.

Deepfake-Anrufe als neue Waffe: Die Integration von Echtzeit-Stimmklonen in Phishing-Kampagnen steht bevor. Angreifer werden sich als IT-Support ausgeben und Opfer telefonisch zur Freigabe von MFA-Anfragen drängen.

Plattformübergreifende Attacken: Phishing wird nahtlos zwischen LinkedIn, Slack, Microsoft Teams und privaten E-Mail-Konten wechseln. Die Grenze zwischen geschäftlicher und privater Sicherheit verschwimmt endgültig.

Unternehmen sollten unverzüglich ihre Authentifizierungs-Richtlinien überprüfen, Hardware-basierte Sicherheitsschlüssel für kritische Accounts einführen und Mitarbeiter gezielt für AiTM-Bedrohungen und Social-Media-Angriffe sensibilisieren. Die Frage ist nicht mehr, ob solche Attacken kommen – sondern wann sie das eigene Unternehmen treffen.

PS: Mobile Quishing und Deepfake‑Anrufe sind keine Zukunftsmusik mehr. Das Anti‑Phishing‑Paket ergänzt die 4‑Schritte‑Anleitung um branchenspezifische Szenarien, QR‑Phishing‑Checks und Trainingsvorlagen, mit denen Sie mobile Angriffsvektoren absichern und Mitarbeitende gezielt schulen können. Ideal für IT‑Verantwortliche und Führungskräfte, die schnell konkrete Maßnahmen brauchen. Anti-Phishing‑Leitfaden jetzt anfordern