LinkedIn und Microsoft 365 im Visier neuer Phishing-Wellen

Eine Welle hochsophistizierter Angriffe auf Konten erschüttert die Cybersicherheitslandschaft. Seit Anfang April zielen Kriminelle gezielt auf Plattformen wie LinkedIn und Microsoft 365 ab, um traditionelle Zwei-Faktor-Authentifizierung (MFA) zu umgehen. Die Angriffe signalisieren eine gefährliche strategische Wende.

Am 4. April 2026 warnten Sicherheitsforscher vor einer massiven Phishing-Kampagne, die auf die über eine Milliarde Nutzer von LinkedIn abzielt. Fast zeitgleich wurde am 2. April das Phishing-as-a-Service-Toolkit „EvilTokens“ bekannt, das Microsoft-365-Umgebungen attackiert. Diese Vorfälle, kombiniert mit Notfall-Patches von Google und Citrix am 3. April, zeigen: Angreifer haben neue Wege gefunden, sich Zugang zu Unternehmens- und Privatkonten zu verschaffen.

Rekord-Schäden durch Phishing zeigen, wie verwundbar Firmen heute sind. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich gegen psychologische Manipulation und technische Angriffe wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

LinkedIn: Phishing mit dem Mantel des Vertrauens

Die aktuelle Bedrohung für LinkedIn-Nutzer ist besonders tückisch. Angreifer versenden täuschend echte Nachrichten-Benachrichtigungen, die im Design der Plattform gehalten sind. Diese leiten Opfer auf gefälschte Login-Seiten weiter. „Die Kampagne ist so gefährlich, weil sie das inhärente Vertrauen ausnutzt, das Berufstätige in LinkedIn-Kommunikation setzen“, erklärt Sicherheitsanalyst Enrico Silverio.

Hat ein Nutzer seine Zugangsdaten eingegeben, übernehmen die Kriminellen sofort das Konto. Sie können dann das berufliche Netzwerk des Opfers für weitere Angriffe nutzen, auf sensible Firmendaten in privaten Nachrichten zugreifen oder sich zu anderen Geschäftssystemen vorarbeiten. Der Wert von LinkedIn-Daten für Unternehmensspionage oder die Imitation von Führungskräften macht die Plattform zum Top-Ziel. Experten raten, Links in Benachrichtigungen nicht anzuklicken, sondern sich stets direkt auf der offiziellen Website oder in der App einzuloggen.

EvilTokens: Der Ausweis für den Dieb

Das Toolkit EvilTokens setzt auf eine raffinierte Methode: Es missbraucht den legitimen Device-Code-Authentifizierungsfluss von Microsoft. Dieses Feature ist eigentlich für Geräte wie Smart-TVs gedacht. Die Opfer werden durch gefälschte SharePoint-Benachrichtigungen auf eine echte Microsoft-Login-Seite gelockt. Dort geben sie einen vom Angreifer generierten Gerätecode ein.

Da die Interaktion mit der echten Microsoft-Infrastruktur stattfindet, schlagen traditionelle Sicherheitsfilter oft nicht an. Der daraufhin erlangte Authentifizierungs-Token gewährt dem Angreifer vollen Zugriff auf Postfach und Cloud-Dateien – selbst wenn MFA aktiviert ist. Die Plattform analysiert automatisch das Postfach, um innerhalb von Minuten hochwertige Ziele wie Finanzgespräche zu identifizieren. Die Schwachstelle liegt in der Session-Persistenz: Der gestohlene Token bleibt bis zu 60 Minuten gültig.

Angriffe auf die Infrastruktur: Chrome und Citrix unter Beschuss

Die Bedrohung erreichte diese Woche auch die Software-Infrastruktur. Google veröffentlichte am 3. April einen Notfall-Patch für eine Zero-Day-Schwachstelle (CVE-2026-5281) im Chrome-Browser. Das Risiko geht über einen einfachen Absturz hinaus: Da moderne Geschäftsprozesse im Browser laufen, kann die Lücke zum Diebstahl aktiver Session-Cookies genutzt werden. Angreifer übernehmen so Cloud-Arbeitslasten, ohne Passwort oder MFA-Code zu benötigen.

Gleichzeitig warnte die US-Cybersicherheitsbehörde CISA vor einer aktiv ausgenutzten Schwachstelle (CVE-2026-3055) in Citrix NetScaler ADC- und Gateway-Geräten. Diese dienen vielen globalen Konzernen als kritische Identitäts-Gateways. Ein Kompromittieren dieses „Identitäts-Engpasses“ kann zur Massenübernahme tausender Unternehmenskonten führen.

KI als Brandbeschleuniger: Betrug wird zur Massenware

Die Flut von Konten-Übernahmen wird durch die Kommerzialisierung generativer KI-Tools angeheizt. Ein gemeinsamer Forschungsbericht vom 1. April 2026 zeigt: Große Sprachmodelle haben die Kosten für automatisierte Phishing-Kampagnen um über 95 % gesenkt, bei gleichbleibend hoher Erfolgsquote.

Der Bericht identifiziert zehn Kategorien KI-gestützter Identitätsangriffe, darunter KI-Agenten für Echtzeit-Übernahmen und synthetische Identitäten zur Umgehung von „Know-Your-Customer“-Protokollen. „Kleine und mittlere Unternehmen trifft es besonders hart“, sagt Daniel Stanbridge, Chief Risk Officer bei Kurv. Während Großunternehmen den finanziellen Schaden oft absorbieren können, gefährden bei kleineren Händlern schon wenige betrügerische Transaktionen die Marge. Die Verluste durch KI-gestützten Betrug könnten bis 2027 auf über 36 Milliarden Euro steigen.

Angesichts der steigenden Gefahr durch KI-gestützte Angriffe müssen Unternehmen ihre IT-Sicherheit ohne teure Investitionen stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und aktuelle Bedrohungen proaktiv abwenden. Kostenloses Cyber Security E-Book sichern

Die Zukunft: Verhalten und Biometrie statt Passwörter

Da Passwörter und sogar Standard-MFA zunehmend anfällig sind, sucht die Branche nach resilienteren Abwehrmodellen. Der Fokus verschiebt sich von der punktuellen Authentifizierung hin zur kontinuierlichen Session-Überprüfung.

Empfohlen werden nun phishing-resistente MFA wie physische Sicherheitsschlüssel sowie Richtlinien, die Gerätestatus und geografische Konsistenz in Echtzeit prüfen. Im Finanzsektor setzt man zunehmend auf gesichtsbasierte Biometrie mit Lebenszeichen-Erkennung. Verhaltensanalysen – die tracken, wie ein Nutzer mit seinem Gerät interagiert – können eine Konten-Übernahme erkennen, selbst wenn der Angreifer gültige Zugangsdaten verwendet. Im „Jahr der autonomen Bedrohungen“ wird die Fähigkeit, Angriffe früher im Lebenszyklus zu erkennen, entscheidend sein.

boerse | 69076481 |