This was a simulated phishing attack. Das war ein simulierter Phishing-Angriff.

You just acted on a phone call from someone pretending to be from IT, a vendor, or a colleague. Nothing was lost this time — but in a real "vishing" or AI-deepfake call, that same trust can be turned into a wire transfer or a remote-access takeover in minutes. Sie haben gerade auf einen Anruf reagiert, bei dem sich jemand als IT, Lieferant oder Kollege ausgab. Diesmal ist nichts passiert — bei einem echten „Vishing“- oder KI-Deepfake-Anruf kann dieses Vertrauen innerhalb von Minuten in eine Überweisung oder eine Fernzugriff-Übernahme verwandelt werden.

What would have happened in a real attack Was bei einem echten Angriff passiert wäre

Voice phishing — "vishing" — uses the phone to do what email phishing tries to do with links. The attacker calls you, sounds calm and authoritative, and asks you to do something you wouldn't do over email: open a remote-support tool, read out a one-time code, change a vendor's bank details, or install "an urgent security update".

Since 2024, attackers also use AI to clone voices. A few seconds of audio scraped from a LinkedIn video or a podcast is enough to produce a near-perfect imitation of a CEO, a CFO, or a family member. In 2024, a single deepfake video call cost one company over 25 million dollars. By 2026, this is normal, not exotic.

Vishing also commonly chains with other attacks: a phishing email triggers a "callback" to a fake IT helpdesk number, where a friendly voice walks the victim through installing remote-access software — bypassing every email scanner along the way.

Voice-Phishing — „Vishing“ — nutzt das Telefon für das, was E-Mail-Phishing mit Links versucht. Der Angreifer ruft Sie an, klingt ruhig und autoritär und bittet Sie um etwas, das Sie per E-Mail nicht tun würden: ein Fernwartungs-Tool öffnen, einen Einmalcode vorlesen, die Bankverbindung eines Lieferanten ändern oder „ein dringendes Sicherheitsupdate“ installieren.

Seit 2024 verwenden Angreifer auch KI, um Stimmen zu klonen. Wenige Sekunden Audio aus einem LinkedIn-Video oder Podcast reichen für eine fast perfekte Imitation einer CEO, eines CFO oder eines Familienmitglieds. 2024 kostete ein einziger Deepfake-Videoanruf ein Unternehmen über 25 Millionen Dollar. 2026 ist das normal, nicht exotisch.

Vishing wird häufig mit anderen Angriffen kombiniert: Eine Phishing-E-Mail provoziert einen „Rückruf“ an eine gefälschte IT-Helpdesk-Nummer, wo eine freundliche Stimme das Opfer durch die Installation einer Fernwartungs-Software führt — vorbei an jedem E-Mail-Scanner.

Red flags you could have spotted Warnsignale, die Sie hätten erkennen können

Unsolicited call from "IT" or a "vendor". Real internal IT rarely calls you out of the blue and asks you to install something. Unaufgeforderter Anruf von „IT“ oder einem „Lieferanten“. Die echte interne IT ruft Sie selten ohne Anlass an und fordert eine Installation.
Request to read out a code. No legitimate IT staff, bank, or vendor will ever ask you to read your one-time MFA code out loud. Aufforderung, einen Code vorzulesen. Seriöse IT, Banken oder Lieferanten verlangen niemals, dass Sie einen MFA-Einmalcode laut vorlesen.
Request to install remote-access software. AnyDesk, TeamViewer, QuickAssist — opening one of those is handing over your computer. Aufforderung, Fernzugriffs-Software zu installieren. AnyDesk, TeamViewer, QuickAssist — eine dieser Apps zu öffnen, bedeutet Ihren Computer zu übergeben.
Urgency and stress. "Your account is being attacked right now", "this needs to be done before the next call", "stay on the line so I can guide you". Dringlichkeit und Stress. „Ihr Konto wird gerade angegriffen“, „das muss vor dem nächsten Anruf erledigt sein“, „bleiben Sie dran, damit ich Sie leite“.
Caller refuses to be called back. A real colleague or IT person is happy to hang up and let you call back through the company directory. Anrufer lehnt einen Rückruf ab. Echte Kollegen oder IT-Mitarbeitende haben kein Problem damit, dass Sie auflegen und über das Firmenverzeichnis zurückrufen.
Voice sounds slightly off. AI voice clones can still have flat intonation, odd breathing, or missing background noise. Trust the discomfort. Stimme klingt leicht „daneben“. KI-Stimmklone wirken oft flach betont, mit ungewöhnlicher Atmung oder fehlendem Hintergrundgeräusch. Vertrauen Sie dem Unbehagen.

Next time, do this instead So machen Sie es beim nächsten Mal

Hang up and call back through a known channel. Use the number from the Zevvy directory, the official vendor website, or the back of your bank card — never the number the caller gives you. Auflegen und über einen bekannten Kanal zurückrufen. Nutzen Sie die Nummer aus dem Zevvy-Verzeichnis, der offiziellen Hersteller-Website oder der Rückseite Ihrer Bankkarte — nie die vom Anrufer angegebene Nummer.
Agree on a verification word. For executive payment requests or family emergencies, set a private codeword in advance. A deepfake can't guess it. Vereinbaren Sie ein Verifizierungs-Codewort. Für Zahlungsanforderungen von Führungskräften oder Familiennotfälle: vorher ein privates Codewort vereinbaren. Ein Deepfake kann es nicht erraten.
Never read out an MFA code over the phone. No exceptions. No real situation requires this. Niemals einen MFA-Code am Telefon vorlesen. Keine Ausnahmen. Keine echte Situation verlangt das.
Don't install remote-access software because a caller asks you to. If real IT needs to help, they will reach you through Teams or an internal ticket — not a cold call. Installieren Sie keine Fernzugriffs-Software, weil ein Anrufer es verlangt. Wenn die echte IT helfen muss, erreicht sie Sie über Teams oder ein internes Ticket — nicht über einen Kaltanruf.
Take a moment. "Let me call you back in five minutes" is a complete and acceptable answer to anyone, including an executive. Nehmen Sie sich Zeit. „Ich rufe Sie in fünf Minuten zurück“ ist eine vollständige und akzeptable Antwort an jede Person, auch an eine Führungskraft.

Report suspicious calls Verdächtige Anrufe melden

A suspicious call is just as much a security incident as a suspicious email — often more dangerous, since there's no scanner between you and the attacker.

Note the caller's number, the time, and what they asked for.
Email security@zevvy.org with the details.
If you installed remote-access software or read out a code, disconnect the device from the network and contact IT immediately: it@zevvy.org.

Ein verdächtiger Anruf ist genauso ein Sicherheitsvorfall wie eine verdächtige E-Mail — oft gefährlicher, weil kein Scanner zwischen Ihnen und dem Angreifer steht.

Notieren Sie Nummer, Uhrzeit und das Anliegen des Anrufers.
Schreiben Sie mit den Details an security@zevvy.org.
Falls Sie Fernzugriffs-Software installiert oder einen Code vorgelesen haben: Gerät vom Netz trennen und sofort die IT kontaktieren: it@zevvy.org.