Gefälschte PDF-Dokumente provozieren gefährliche Anrufe : Wie Cyberkriminelle mit PDF-Anhängen, QR-Codes und Rückrufnummern ahnungslose Opfer in raffinierte Phishing-Fallen locken

Im Zentrum der aktuellen Angriffswelle steht eine besonders ausgeklügelte Social-Engineering-Methode: Telephone-Oriented Attack Delivery, kurz TOAD. Dabei erhalten Empfänger scheinbar harmlose E-Mails mit angehängten PDF-Dateien, die auf den ersten Blick wie Rechnungen, Kontoübersichten oder Sicherheitswarnungen von bekannten Marken wie Microsoft, DocuSign, NortonLifeLock oder PayPal wirken.

Doch statt auf Links zu klicken, sollen die Betroffenen eine angegebene Telefonnummer anrufen. Am anderen Ende wartet kein Kundendienst, sondern ein professionell auftretender Angreifer, der sich als Supportmitarbeiter ausgibt. Ziel ist es, sensible Daten wie Zugangsdaten, Kreditkartennummern oder gar den Fernzugriff auf das System des Opfers zu erlangen.

Markenmissbrauch mit System

Zwischen dem fünften Mai und dem fünften Juni 2025 zählten Microsoft und DocuSign zu den am häufigsten gefälschten Marken in diesen TOAD-Angriffen mit PDF-Anhängen. Die Täter setzen gezielt auf das Vertrauen, das viele Nutzer in bekannte Anbieter haben. Die Angriffe nutzen dabei realistisch gestaltete PDF-Dokumente, die Logos, Designs und sogar QR-Codes enthalten, die auf gefälschte Webseiten führen.

Besonders trickreich: Die QR-Codes sind oft in Notizen, Kommentaren oder Formularfeldern des PDFs versteckt – eine Methode, die sich mit herkömmlichen Sicherheitsscannern nur schwer erkennen lässt. Die verlinkten Seiten imitieren Dienste wie Microsoft 365, Dropbox oder Adobe Cloud und führen zu Login-Fallen oder gefälschten Zahlungsportalen.

Stimme statt Klick – gezielte Manipulation per Telefon

Was TOAD besonders gefährlich macht, ist der mediale Bruch: Statt auf Links zu setzen, leiten die Angriffe in ein Telefongespräch über. Dabei zeigen die Täter psychologisches Feingefühl, um Vertrauen zu schaffen und Druck aufzubauen – mit geskripteten Dialogen, Hintergrundgeräuschen wie Warteschleifenmusik und sogar gefälschten Anruferkennungen.

Die Illusion eines realen Kundendienstes wird perfekt inszeniert. Während des Gesprächs drängen die Angreifer auf schnelle Entscheidungen – etwa das Installieren von Fernwartungssoftware wie AnyDesk oder TeamViewer, angeblich zur Problemlösung. In Wirklichkeit öffnen sie damit eine Hintertür zum Zielsystem.

Neue Methoden, bekannte Ziele

Auch andere Angriffstechniken fließen in die Kampagnen ein. So nutzen Angreifer verstärkt legitime Funktionen aus Microsoft 365 – insbesondere die sogenannte Direct Send-Funktion. Diese erlaubt es, E-Mails direkt über Microsofts Mail-Infrastruktur zu verschicken, ohne ein kompromittiertes Konto zu benötigen. Diese gefälschten E-Mails sehen so aus, als kämen sie direkt aus der betroffenen Organisation. Die Angreifer machen sich dabei zunutze, dass die Adressen von sogenannten Smart Hosts einem leicht erkennbaren Muster folgen („<tenant_name>.mail.protection.outlook.com“). Dadurch können sie ihre Phishing-Nachrichten versenden, ohne sich vorher authentifizieren zu müssen.

Seit Mai 2025 wurden über diese Methode gezielt mehr als siebzig Unternehmen attackiert. Oft täuschten die E-Mails interne Voicemail-Benachrichtigungen vor und enthielten erneut PDF-Anhänge mit QR-Codes zu Phishing-Seiten. Die Kombination aus scheinbarer Legitimität, direkter Kommunikation und technischem Missbrauch stellt eine neue Eskalationsstufe dar.

Professionalisierung der Täuschung

Laut Cisco Talos nutzen viele Angreifer VoIP-Telefonnummern, um anonym zu bleiben. Diese Nummern werden teilweise über mehrere Tage hinweg wiederverwendet, um mehrstufige Social-Engineering-Kampagnen durchzuführen. Ziel ist es, durch wiederholten Kontakt und geschickte Gesprächsführung das Vertrauen des Opfers zu gewinnen – eine Strategie, die auch aus Tech-Support-Betrügereien oder Business E-Mail Compromise bekannt ist.

Die Sicherheitsanalysten warnen ausdrücklich: Die Angreifer verstehen es, Menschen emotional zu manipulieren – insbesondere durch den direkten Kontakt via Telefon, der oft als besonders vertrauenswürdig wahrgenommen wird. Die Wirkung ist verheerend: Neben gestohlenen Zugangsdaten werden auch Schadprogramme installiert oder Zahlungen auf gefälschte Konten umgeleitet.

Schutz durch Erkennung und Aufklärung

Die Bekämpfung dieser Angriffe erfordert mehr als klassische E-Mail-Filter. Entscheidend sind Erkennungssysteme, die Markenmissbrauch und ungewöhnliche PDF-Strukturen identifizieren können. Cisco Talos empfiehlt den Einsatz spezialisierter Engines zur Markenimitationserkennung – kombiniert mit organisatorischer Wachsamkeit.

Denn auch der beste Filter ersetzt keine aufgeklärten Mitarbeitenden. Unternehmen sollten ihre Belegschaft gezielt für neue Angriffstechniken wie TOAD sensibilisieren, insbesondere für ungewöhnliche Support-Anfragen, QR-Codes in PDF-Dateien oder unerwartete Rückrufaufforderungen.

Gleiches Ziel – andere Masche: Gefährliche Empfehlungen von KI-Chatbots

Eine neue Untersuchung zeigt: Wer einem Chatbot eine scheinbar harmlose Frage stellt – etwa Wo kann ich mich bei Microsoft anmelden? –, bekommt oft die richtige Antwort. Doch in jedem dritten Fall nennt das Sprachmodell eine falsche oder gefährliche Internetadresse. Genau das machen sich Cyberkriminelle gezielt zunutze.

So hat das Sicherheitsunternehmen Netcraft jetzt getestet, wie große Sprachmodelle (Large Language Models, kurz LLMs) auf Fragen nach den Anmeldeseiten von fünfzig bekannten Marken reagieren – darunter Microsoft, DocuSign, PayPal oder Norton.

Das Ergebnis:

• In zwei Dritteln der Fälle stimmte die Antwort.
• In rund dreißig Prozent nannte das Modell Internetadressen, die gar nicht registriert oder inaktiv waren – und somit leicht von Kriminellen übernommen werden können.
• In weiteren fünf Prozent verwies es auf völlig fremde Firmen.

Die Folge: Wer sich auf die KI-Antwort verlässt, kann auf gefälschte Webseiten gelockt werden – perfekt vorbereitet für Phishing, Datendiebstahl oder Schadsoftware.

Kriminelle nutzen Sprachmodelle als Einfallstor

Angreifer gehen inzwischen gezielt einen Schritt weiter. Sie versuchen, ihre eigenen Webseiten oder Programmcodes so zu verbreiten, dass sie von Sprachmodellen „gelernt“ werden – und später als vermeintlich vertrauenswürdige Antwort in Chatbots auftauchen.

Ein Beispiel: Für eine auf Entwickler spezialisierte KI namens Cursor veröffentlichten Betrüger gefälschte Programmierschnittstellen (APIs) auf GitHub. Diese leiteten Blockchain-Transaktionen unbemerkt an ein Wallet der Angreifer um. Um glaubwürdig zu wirken, legten sie Dutzende GitHub-Konten mit echten Profilbildern, Biografien und Programmieraktivitäten an. Sie erstellten Blogbeiträge, Forenbeiträge und Tutorials – alles, um ihre gefälschte Software in die Sichtbarkeit und später in die Trainingsdaten von KIs zu bringen.

Manipulierte Webseiten in seriösem Gewand

Ein weiteres Problem betrifft Suchmaschinen: Kriminelle nutzen den illegalen Dienst Hacklink, um Zugang zu gehackten Webseiten zu kaufen – darunter auch offizielle .gov- oder .edu-Domains. In diese Seiten schleusen sie Code ein, der die Sichtbarkeit in Suchmaschinen manipuliert.

So erscheinen plötzlich Links zu Phishing-Seiten in den Suchergebnissen – unter dem Namen einer eigentlich seriösen Webseite. Besonders tückisch: Die Texte, die in der Trefferliste erscheinen, lassen sich manipulieren, ohne dass die Angreifer die Seite vollständig übernehmen müssen. Dadurch werden falsche Angebote auf den ersten Blick glaubwürdig.

Warum das alles so gefährlich ist

Die größte Gefahr besteht darin, dass Nutzer Chatbots und Suchergebnissen vertrauen – vor allem dann, wenn sie im Stress oder auf der Suche nach schnellen Lösungen sind. Kriminelle nutzen genau dieses Vertrauen aus. Sie schleusen ihre Inhalte in offene Plattformen ein, registrieren inaktive Domains oder bauen falsche Login-Seiten – und warten darauf, dass jemand sie anklickt.

Wer sich dabei auf eine KI verlässt, kann ohne es zu merken in eine Phishing-Falle geraten.

Was Unternehmen jetzt tun müssen

Die Entwicklung zeigt: Auch künstliche Intelligenz kann fehlerhaft oder manipulierbar sein. Für Unternehmen bedeutet das:

• Login-Adressen und Support-Kanäle sollten klar und offiziell kommuniziert werden – zum Beispiel über Signaturen, Portale oder Sicherheitshinweise.
• Sicherheitslösungen müssen lernen, auch ungewöhnliche URLs und PDF-Inhalte zu erkennen, die von LLMs empfohlen werden könnten.
• Schulungen sollten gezielt darauf eingehen, dass auch KI-Tools falsche Empfehlungen geben können – besonders bei sensiblen Themen wie Anmeldungen oder Zahlungen.

Fazit: Altbekannte Tricks in neuem Gewand

Die aktuelle TOAD-Kampagne zeigt, wie geschickt Cyberkriminelle klassische Methoden wie Phishing, Spoofing und Social Engineering kombinieren – mit neuen technischen Mitteln und psychologischer Raffinesse. Die Angriffe wirken harmlos, sind aber hochgradig professionell und auf Eskalation ausgelegt.

Was als PDF-Rechnung beginnt, kann schnell zur Kompromittierung des gesamten Unternehmensnetzwerks führen. Wer vertraut, verliert – zumindest dann, wenn das Vertrauen missbraucht wird.

Die wichtigste Lektion aus den Manipulationen von KI-Tools: KI ist kein Sicherheitsfilter. Sprachmodelle sind leistungsstark – aber nicht unfehlbar. Sie können manipuliert werden, zeigen falsche Informationen an oder nennen gefährliche Webseiten. Cyberkriminelle nutzen diese Schwäche, um ihre Inhalte gezielt zu platzieren – und so neue Wege zu finden, an Passwörter, Zahlungen oder Zugangsdaten zu gelangen.