Cyberkriminelle starten Doppelangriff mit Steuer-Phishing und Phishing-as-a-Service

Steuerbetrug erreicht Rekordniveau, während Phishing-Plattformen trotz Polizeiaktionen zurückkehren. Die globale Cybersicherheitslage wird von zwei Fronten bedroht: Steuer-Phishing erreicht neue Dimensionen, und professionelle Phishing-Dienste erweisen sich als erstaunlich widerstandsfähig. Bundesbehörden reagieren mit neuen Maßnahmen gegen internationale Betrügerzentren.

Steuer-Phishing: 10.000 Unternehmen im Visier

In den letzten Wochen der Steuererklärungssaison 2026 hat eine massive Phishing-Kampagne zugeschlagen. Sie gibt sich als US-Steuerbehörde IRS aus und hat laut Microsoft-Angaben vom 24. März über 29.000 Personen in 10.000 verschiedenen Organisationen ins Visier genommen. Die Angriffe zielen auf US-Firmen und nutzen den Vorwand fehlerhafter Steuererklärungen, um Dringlichkeit zu erzeugen.

Angesichts der massiven Zunahme von Phishing-Kampagnen auf Unternehmen bietet dieses kostenlose Paket eine praktische 4-Schritte-Anleitung zur erfolgreichen Hacker-Abwehr. Schützen Sie Ihre Organisation effektiv vor aktuellen Betrugsmaschen wie CEO-Fraud. Anti-Phishing-Paket kostenlos herunterladen

Die Angreifer gehen dabei über einfaches Abgreifen von Passwörtern hinaus. Die E-Mails führen zur Installation manipulierter ConnectWise ScreenConnect-Software. Dieses legitime Fernwartungstool verschafft den Kriminellen dauerhaften Zugang zu Unternehmensnetzwerken für Datendiebstahl. Parallel läuft eine zweite Kampagne mit QR-Codes und fingierten Lohnsteuerformularen (W2), die fast 100 Unternehmen aus Fertigung und Gesundheitswesen auf gefälschte Microsoft-365-Login-Seiten lockt.

Die französische Sicherheitsfirma Sekoia identifiziert die Gruppe „Silver Fox“ als Hauptakteur. Sie hat ihre Taktik verfeinert: Statt direkter PDF-Anhänge nutzt sie nun SEO-Poisoning und schädliche Werbung, um Opfer auf Phishing-Seiten zu führen, die Malware wie „ValleyRAT“ verteilen.

Tycoon2FA: Das Comeback einer Phishing-Plattform

Ein deutliches Zeichen für die Widerstandsfähigkeit der Cyberkriminellen ist das schnelle Comeback der Phishing-as-a-Service-Plattform Tycoon2FA. Europol und Partner hatten sie am 4. März 2026 durch die Beschlagnahmung von 330 Domains erfolgreich gestört. Auf ihrem Höhepunkt Mitte 2025 war sie für etwa 62% aller von Microsoft blockierten Phishing-Versuche verantwortlich.

Doch die Störung war nur vorübergehend. Bereits am 25. März berichteten Analysten, dass neue Versionen des Phishing-Kits im Umlauf sind. Die Kernstrategie bleibt: Die Umgehung der Zwei-Faktor-Authentifizierung (2FA). Das Kit lockt Opfer auf gefälschte CAPTCHA-Seiten, extrahiert dann die E-Mail-Adresse und präsentiert eine KI-generierte Login-Seite für Microsoft 365 oder Google.

Der Clou: Die Plattform leitet die Login-Daten in Echtzeit an die legitimen Dienste weiter und stiehlt die Sitzungs-Cookies. Damit werden Einmal-Codes oder Push-Benachrichtigungen wirkungslos. Die schnelle Wiederkehr zeigt die Schwierigkeit, dezentrale Phishing-Dienste dauerhaft auszuschalten.

Neue Angriffswege: Vishing und Teams-Exploits

Der neueste Mandiant-Report zeigt einen grundlegenden Wandel bei Betrugsangriffen. Während E-Mail-Phishing wichtig bleibt, verliert es an Dominanz. Stattdessen boomt Voice-Phishing (Vishing). Es war im späten 2025 und frühen 2026 in 11% aller untersuchten Vorfälle der erste Infektionsweg.

Da Kriminelle immer häufiger psychologische Schwachstellen ausnutzen, um technische Hürden zu umgehen, wird proaktive Aufklärung für Unternehmen zur Pflicht. Dieser Experten-Report enthüllt aktuelle Strategien gegen Cyberkriminelle und zeigt, wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken. Kostenlosen Cyber-Security-Report sichern

Ein aktuelles Beispiel: Eine am 25. März von Microsoft aufgedeckte Kampagne nutzt Microsoft Teams. Angreifer geben sich als IT-Support aus und überreden per Telefon Mitarbeiter dazu, Fernzugriff via Windows Quick Assist zu gewähren. Dann führen sie den Nutzer in Echtzeit zu schädlichen Websites, um Zugangsdaten abzugreifen.

Regionale Hotspots entstehen ebenfalls. Bitdefender meldete am 25. März einen Anstieg von Phishing-Angriffen auf Golfstaaten um 130%, zeitgleich mit geopolitischen Spannungen im Nahen Osten. Die Angriffe nutzen geschäftliche Köder wie Rechnungen und setzen auf schwer erkennbare Java-Trojaner.

US-Gegenmaßnahmen: Exekutivanordnung und Opfer-Entschädigung

Als Reaktion auf die eskalierenden finanziellen Schäden hat die US-Regierung ihre Gegenmaßnahmen verschärft. Am 6. März 2026 erließ Präsident Trump die Exekutivanordnung 14390. Sie zielt auf transnationale kriminelle Organisationen ab, die große „Betrügerzentren“ betreiben.

Ein Kernpunkt der Order: Das Justizministerium muss binnen 90 Tagen ein „Victim Restoration Program“ entwickeln. Dieses Programm soll einen structured Prozess schaffen, um beschlagnahmte Gelder von Kriminellen an die Betroffenen von Cyberbetrug zurückzuerstatten. Bisherige Gesetze erlaubten zwar Restitution, doch das neue Programm soll die systematische Natur moderner Betrugsmaschen adressieren.

Die US-Wettbewerbsbehörde FTC hat zudem strengere Regeln gegen das Vortäuschen von Behörden und Unternehmen erlassen. Sie kann nun direkt rechtlich gegen Täter vorgehen, um gestohlene Gelder zurückzuholen. FBI-Direktor Kash Patel betont: Die Meldung von Vorfällen an das Internet Crime Complaint Center (IC3) bleibt der wichtigste Schritt, um Trends früh zu erkennen.

Analyse: Der Fokus verschiebt sich

Der aktuelle Anstieg spiegelt eine breitere Entwicklung wider: Cyberkriminelle verlagern ihren Fokus von „perfekter Prävention“ hin zur Begrenzung des Schadens bei erfolgreichen Angriffen. Die Wirksamkeit von Plattformen wie Tycoon2FA zeigt, dass traditionelle Sicherheitsbarrieren gegen Proxy-Angriffe nicht mehr ausreichen.

Der Aufstieg von Vishing und die Ausnutzung von Kollaborationstools wie Teams zeigen: Angreifer setzen auf hochwertiges Social Engineering statt auf Massen-E-Mails. Diese interaktiven Methoden mit Live-Mensch-Kontakt sind für automatisierte technische Kontrollen schwerer zu stoppen. Die Integration generativer KI in Phishing-Kits ermöglicht zudem lokal angepasste, täuschend echte Login-Seiten in Echtzeit – schneller, als Sicherheitsteams bekannte Indikatoren blockieren können.

Für die Zukunft erwarten Experten einen stärkeren Fokus auf „Prozessintegrität“. Das bedeutet: Bevor kritische Aktionen wie Bankverbindungs- oder Gehaltsänderungen durchgeführt werden, müssen verpflichtende Legitimitätsprüfungen erfolgen. Unternehmen sollten auf phishing-resistente Authentifizierung wie FIDO2-Sicherheitsschlüssel setzen und Verhaltensanalysen nutzen, um den Missbrauch legitimer Fernwartungssoftware zu erkennen.

boerse | 68984679 |