Gmail-Trick und Signal-Spione: Neue Welle von Phishing-Angriffen erschüttert Europa

Eine Welle hochentwickelter Phishing-Kampagnen hat Finanzplattformen, Regierungsbehörden und sichere Kommunikationsdienste getroffen. Internationale Cybersicherheitsbehörden schlagen Alarm – und die Angriffe werden immer raffinierter.

Der Gmail-Punkt-Trick: Wie Hacker Robinhood-Nutzer täuschten

Sicherheitsforscher entdeckten Ende April eine spezielle Phishing-Attacke gegen Nutzer der Handelsplattform Robinhood. Die Angreifer nutzten eine Kombination aus dem sogenannten „Gmail-Punkt-Trick" und einer Schwachstelle im Anmeldeprozess der Plattform. Konkret manipulierten sie das Feld für den Gerätenamen bei der Registrierung – und konnten so gefälschte E-Mails versenden, die scheinbar von einer legitimen Firmenadresse stammten.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Robinhood betonte zwar, dass die internen Systeme nicht kompromittiert wurden und keine Kundengelder abflossen. Doch der Vorfall zeigt, wie automatisierte Plattformfunktionen zur Waffe werden können. Die betrügerischen Mails führten die Empfänger auf eine Phishing-Seite, die Login-Daten und Zwei-Faktor-Authentifizierungscodes abgriff.

Die wirtschaftlichen Schäden sind enorm: Allein im ersten Quartal 2026 verursachte Phishing Schäden in Höhe von rund 306 Millionen Euro.

Kritische Windows-Lücke: Fancy Bear schlägt zu

Parallel dazu bestätigte Microsoft am 28. April eine aktiv ausgenutzte Sicherheitslücke in der Windows-Shell (CVE-2026-32202). Sicherheitsfirmen wie Akamai beobachten, wie die Hackergruppe APT28 (auch bekannt als Fancy Bear) diese Schwachstelle nutzt, um NTLM-Hashes zu stehlen. Zudem schloss Microsoft eine kritische Lücke in Entra ID (CVE-2026-35431) mit der maximalen Schwerebewertung 10,0. Diese Server-Side-Request-Forgery-Lücke hätte Spoofing-Angriffe von externen Netzwerken ermöglicht – wurde aber nach Microsofts Angaben noch nicht aktiv ausgenutzt.

Staatsspionage: 11.000 gefälschte Regierungsportale entdeckt

Besonders besorgniserregend sind die sogenannten GovTrap-Kampagnen. Forscher von CTM360 deckten eine massive Operation mit über 11.000 gefälschten Regierungsportalen auf, die Bürger und Beamte täuschen sollten. Deutsche und niederländische Behörden hatten bereits zuvor vor einer staatlich gesteuerten Phishing-Welle gewarnt, die sich gegen Diplomaten, Journalisten und Militärangehörige richtet.

Die Kampagne gegen Signal-Nutzer in Deutschland, den Niederlanden und Großbritannien ist besonders perfide: Die Angreifer geben sich als „Signal-Support" aus und versuchen, hochrangige Amtsträger zur Preisgabe ihrer Registrierungscodes oder PINs zu bewegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) warnten bereits im Februar 2026 vor dieser Aktivität.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket jetzt gratis herunterladen

Der Deutsche Bundestag prüft als Reaktion den Umstieg auf alternative europäische Kommunikationsdienste wie Wire, um die digitale Souveränität zu wahren. Signal selbst kündigte für die kommenden Wochen technische Gegenmaßnahmen an.

Die Social Security Administration warnt vor neuen Betrugsmaschen

Auch die US-amerikanische Sozialversicherungsbehörde (SSA) schlug am 27. April Alarm: Kriminelle nutzen nun die Namen echter SSA-Mitarbeiter und präsentieren digitale Versionen gefälschter Dienstausweise. Die Betrüger fordern per Telefon, E-Mail oder über soziale Medien Zahlungen in Kryptowährungen, Gold oder Geschenkkarten. Das SSA Office of the Inspector General rät dringend, unaufgeforderte Mitteilungen zu ignorieren, die sofortige Zahlungen oder das Herunterladen „aktualisierter Kontoauszüge" von nicht-staatlichen Domains verlangen.

Vishing und Datenlecks: ADT und Medtronic getroffen

Vishing – also Phishing per Telefon – spielt eine immer größere Rolle bei großangelegten Datendiebstählen. Der Sicherheitsdienstleister ADT bestätigte Ende April einen Datenvorfall, von dem rund 5,5 Millionen Kunden betroffen sind. Die Angreifer verschafften sich über einen Phishing-Angriff auf die Okta Single-Sign-On-Zugangsdaten eines Drittanbieters Zugang zu ADT-Systemen. Namen, Adressen und Telefonnummern wurden gestohlmen, Zahlungsinformationen blieben sicher.

Die Hackergruppe ShinyHunters bekannte sich zu dem Angriff – und zu weiteren Vorfällen. Am 28. April bestätigte Medtronic einen Einbruch, nachdem die Gruppe gedroht hatte, 9 Millionen Datensätze zu veröffentlichen. Medtronic betonte, dass weder die Patientensicherheit noch die Produktion beeinträchtigt seien. Zuvor hatte die Gruppe bereits Ameriprise Financial (rund 48.000 betroffene Kunden) und Vimeo ins Visier genommen.

Supply-Chain-Angriffe: TeamPCP infiltriert Entwickler-Tools

Ein besorgniserregender Trend sind Angriffe auf die Lieferkette. Die Gruppe TeamPCP kompromittierte am 27. April ein GitHub-Repository des Sicherheitsunternehmens Checkmarx – nach einem früheren Angriff auf den Schwachstellen-Scanner Trivy. Solche Operationen erlauben es Angreifern, Schadcode in Werkzeuge einzuschleusen, die von tausenden Organisationen genutzt werden. Ein einziger Einstiegspunkt reicht, um eine enorme Reichweite zu erzielen.

KI als Brandbeschleuniger: Die neue Dimension der Bedrohung

Die Bedrohungslage verschärft sich rasant. Laut einem aktuellen Bericht von Kaspersky betrug die mittlere Verweildauer von Angreifern in kompromittierten Systemen im Jahr 2025 108 Tage – bei etwa einem Drittel aller Vorfälle. Die häufigsten Einstiegspunkte: Schwachstellen in öffentlich zugänglichen Anwendungen und missbrauchte gültige Zugangsdaten.

Google Threat Intelligence warnt eindringlich vor der Integration Künstlicher Intelligenz in Angriffswerkzeuge. Zwar seien vollständig KI-gesteuerte Attacken noch nicht weit verbreitet, doch nutzten Angreifer zunehmend KI zur Automatisierung und Skalierung von Phishing-Operationen. Konkret setzen sie auf Frameworks wie HexStrike MCP, um ihre Aktivitäten zu optimieren.

Doch auch die Verteidigung rüstet auf: Googles KI-gestützte Analyse des Darknets arbeitet inzwischen mit 98 Prozent Genauigkeit bei der Identifizierung potenzieller Bedrohungen.

Ransomware: Weniger Zahlungen trotz mehr Angriffen

Die finanziellen Dynamiken verschieben sich. Laut Analysen von Chainalysis stieg die Zahl der Ransomware-Angriffe im letzten Jahr um 50 Prozent – doch der Gesamtwert der Kryptowährungszahlungen an diese Gruppen sank um 8 Prozent auf rund 820 Millionen Euro im Jahr 2025. Ein Zeichen, dass immer mehr Organisationen sich weigern, Lösegeld zu zahlen oder erfolgreich Daten aus Backups wiederherstellen.

Ausblick: Stop and Verify als neue Devise

Die Cybersicherheitsbehörden setzen auf eine einfache, aber wirksame Strategie: „Stop and verify" – anhalten und überprüfen. SSA und BSI empfehlen, niemals auf Links in unaufgeforderten E-Mails zu klicken, selbst wenn der Absender vertrauenswürdig erscheint. Für Unternehmen raten Experten zu phishing-resistenten Hardware-Sicherheitsschlüsseln anstelle von SMS-basierten 2FA-Verfahren.

Internationale Zusammenarbeit zeigt erste Erfolge: Am 28. April 2026 lieferte Italien den 34-jährigen mutmaßlichen chinesischen Staatshacker Xu Zewei an die USA aus. Er soll während der COVID-19-Pandemie Cyber-Spionage gegen US-Universitäten und Forschungseinrichtungen betrieben haben, um Impfstoffdaten zu stehlen. Solche Festnahmen – zusammen mit der Verhaftung von Hackern in der Ukraine, die tausende Gaming-Konten gestohlen hatten – signalisieren eine verstärkte globale Strafverfolgung.

In den kommenden Monaten wird der Fokus auf der Härtung von Kommunikationsplattformen und cloudbasierten Identitätsanbietern liegen. Mit Signals angekündigten Sicherheitsupdates und den laufenden Diskussionen im Bundestag zur digitalen Souveränität bewegt sich die Branche in Richtung eines Modells, bei dem Secure-by-Design-Prinzipien Vorrang vor reaktivem Flicken haben. Doch wie die Kaspersky-Daten zeigen: Die lange Verweildauer vieler Angreifer bedeutet, dass die Folgen der aktuellen Phishing-Welle erst in Monaten vollständig sichtbar sein werden.

de | boerse | 69253861 |