This was a simulated deepfake video call. Das war ein simulierter Deepfake-Videoanruf.

You just took action on a Teams or Zoom call from someone who looked and sounded like a Zevvy executive — but wasn't. Nothing was lost this time. In a real deepfake attack, that same call has already cost companies tens of millions. Sie haben gerade auf einen Teams- oder Zoom-Anruf reagiert, in dem jemand aussah und klang wie eine Zevvy-Führungskraft — es aber nicht war. Diesmal ist nichts passiert. Bei einem echten Deepfake-Angriff haben solche Anrufe Unternehmen bereits zweistellige Millionenbeträge gekostet.

What would have happened in a real attack Was bei einem echten Angriff passiert wäre

Real-time video deepfakes crossed the "good enough" line in 2024. In one widely reported case, a finance employee in Hong Kong joined a video call with what looked like the CFO and several colleagues — all of them deepfaked from public footage — and authorised 25 million dollars in transfers. By 2026, the tooling to do this has dropped from a research-lab effort to a commodity service sold to fraudsters for a few hundred dollars.

A typical attack works like this. The attacker collects a few minutes of public video and audio of a Zevvy executive (LinkedIn videos, conference talks, podcast appearances, a press interview). They then either join a real Teams call with a live deepfake overlay, or set up a fake "investor" or "auditor" meeting where the impersonated person appears to be present. The request is always urgent, always financial, and always wrapped in confidentiality.

If you'd already received a phishing email or text setting up the call, the attacker may also have access to the impersonated person's calendar and email — making the meeting invite, agenda, and follow-ups look exactly right.

Echtzeit-Video-Deepfakes haben 2024 die „gut genug“-Grenze überschritten. In einem bekannten Fall nahm eine Person aus der Finanzabteilung in Hongkong an einem Videoanruf teil, in dem scheinbar der CFO und mehrere Kolleginnen und Kollegen anwesend waren — alle deepgefälscht aus öffentlichem Material — und gab 25 Millionen Dollar an Überweisungen frei. 2026 ist die Technik vom Forschungsthema zur kommerziellen Dienstleistung geworden, die Betrüger für wenige Hundert Dollar mieten.

Typischer Ablauf: Der Angreifer sammelt einige Minuten öffentliches Video- und Audiomaterial einer Zevvy-Führungskraft (LinkedIn-Videos, Konferenzvorträge, Podcasts, Pressetermine). Dann nimmt er entweder mit Live-Deepfake-Überblendung an einem echten Teams-Anruf teil oder organisiert ein gefälschtes „Investoren-“ oder „Audit“-Meeting, in dem die imitierte Person präsent erscheint. Die Bitte ist immer dringend, immer finanziell und immer mit Vertraulichkeit umhüllt.

Wenn zuvor eine Phishing-E-Mail oder SMS den Anruf vorbereitet hat, hat der Angreifer eventuell auch Zugriff auf Kalender und E-Mails der imitierten Person — Termin, Agenda und Nachverfolgung sehen dann exakt richtig aus.

Red flags you could have spotted Warnsignale, die Sie hätten erkennen können

Subtle visual artefacts. Hair edges that warp slightly, glasses or earrings that flicker, lips not quite syncing, no natural eye-blink rhythm, perfectly still neck and ears. Subtile visuelle Artefakte. Leicht verzerrte Haarkonturen, flackernde Brillen oder Ohrringe, leicht asynchrone Lippen, fehlender natürlicher Blinzelrhythmus, völlig regungsloser Hals und Ohren.
Flat, neutral background. Real video has subtle lighting changes when someone shifts; deepfakes often use a fixed virtual background or have lighting that doesn't match the person. Flacher, neutraler Hintergrund. Echtes Video hat subtile Lichtänderungen bei Bewegung; Deepfakes nutzen oft einen fixen virtuellen Hintergrund oder eine Beleuchtung, die nicht zur Person passt.
The "executive" won't turn their head fully sideways. Profile views are still hard for live deepfakes — attackers stay in a near-frontal pose. Die „Führungskraft“ dreht sich nicht voll seitlich. Profilansichten sind für Live-Deepfakes noch schwierig — Angreifer bleiben fast frontal.
Refuses any unscripted task. "Hold up three fingers", "wave your hand in front of your face", "look down" — a real person does this without thinking. A deepfake breaks. Verweigert ungeplante Aufgaben. „Halten Sie drei Finger hoch“, „wedeln Sie kurz mit der Hand vor dem Gesicht“, „schauen Sie nach unten“ — eine echte Person tut das ohne Nachdenken. Ein Deepfake bricht.
Urgent financial request bypassing normal approvals. Same red flag as classic CEO fraud — only this time, you can see and hear the "CEO". Dringliche Zahlung am normalen Freigabeprozess vorbei. Gleiches Warnsignal wie beim klassischen CEO-Betrug — nur dass Sie den „CEO“ jetzt sehen und hören.
Other "attendees" stay strangely silent. In the Hong Kong case, every other "colleague" on the call was also a deepfake. They were on mute "for bandwidth". Andere „Teilnehmer“ bleiben auffällig stumm. Im Hongkong-Fall waren alle weiteren „Kolleginnen und Kollegen“ ebenfalls Deepfakes. Sie waren „wegen Bandbreite“ stumm.

Next time, do this instead So machen Sie es beim nächsten Mal

Verify out-of-band before acting. "I'll confirm this on Teams chat with you after the call." Then send a message to the person's known account — not a reply to the meeting invite. Vor jeder Aktion über einen anderen Kanal verifizieren. „Ich bestätige das nach dem Call mit Ihnen im Teams-Chat.“ Dann eine Nachricht an das bekannte Konto senden — nicht über die Termineinladung antworten.
Use a verification gesture or codeword. Agree in advance with your team that any high-value request requires the person to perform a casual unscripted action (e.g. read today's date off a sticky note held to camera). Verifizierungsgeste oder Codewort. Vereinbaren Sie mit Ihrem Team: Bei hochwertigen Anfragen muss die Person eine ungeplante Handlung zeigen (z. B. das Datum auf einem Post-it in die Kamera halten).
Refuse "video off" excuses on sensitive meetings. A genuine person can turn the camera on. If they "can't because of bandwidth" for a request to wire millions, that itself is the answer. Bei sensiblen Meetings keine „Kamera-aus“-Ausreden akzeptieren. Eine echte Person kann die Kamera einschalten. „Bandbreite“ als Ausrede für eine Überweisung in Millionenhöhe ist bereits die Antwort.
Stick to the approval process. No matter how convincing the meeting, the approval workflow is what protects everyone — including the executive whose face was used. Halten Sie am Freigabeprozess fest. Egal wie überzeugend das Meeting wirkt — der Freigabeprozess schützt alle, auch die Führungskraft, deren Gesicht missbraucht wird.
If something feels off — say so on the call. "I'd like to confirm this through the usual channel before I move funds." A real executive will support that. A deepfake operator will pressure you. Wenn etwas seltsam wirkt — sprechen Sie es im Call an. „Ich möchte das vor jeder Überweisung über den üblichen Kanal bestätigen.“ Eine echte Führungskraft unterstützt das. Ein Deepfake-Betreiber setzt Sie unter Druck.

Report suspicious calls and meetings Verdächtige Calls und Meetings melden

Take a screenshot of the call window (including participant list) before leaving.
Email security@zevvy.org with the meeting organiser's address, time, and what was requested.
If you authorised anything — call Finance and IT immediately: it@zevvy.org. Wire transfers can sometimes be reversed within hours.

Vor dem Verlassen einen Screenshot des Call-Fensters (inkl. Teilnehmerliste) machen.
An security@zevvy.org schreiben mit Organisator-Adresse, Zeit und Anliegen.
Etwas freigegeben? Sofort Finanzen und IT anrufen: it@zevvy.org. Überweisungen lassen sich oft innerhalb weniger Stunden zurückrufen.