KI-Phishing, Klickrate

KI-Phishing: Klickrate springt auf 54 Prozent – vier mal höher

Veröffentlicht: 14.07.2026 um 20:14 Uhr, Redaktion boerse-global.de

Die PhaaS-Plattform Forg365 zielt auf Geschäftskonten und umgeht MFA. KI-gestützte Angriffe nehmen rasant zu.

Forg365: Neue Phishing-Plattform bedroht Microsoft-365-Konten
Eine schattenhafte Gestalt in einem dunklen Kapuzenpullover tippt auf einem Laptop, umgeben von leuchtenden digitalen Linien und Datenströmen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Mit Forg365 ist eine neue Phishing-as-a-Service-Plattform (PhaaS) aufgetaucht, die speziell auf Microsoft-365-Geschäftskonten abzielt. Der Dienst ist ab 400 US-Dollar monatlich buchbar.

Abo-Modell für Hacker

Für 400 US-Dollar im Monat oder 3.800 US-Dollar im Jahr erhalten Angreifer schlüsselfertige Infrastrukturen. Die Plattform nutzt hochentwickelte Methoden wie Adversary-in-the-Middle-Techniken (AitM) und Gerätecode-Phishing. Damit umgeht sie selbst die Multifaktor-Authentifizierung (MFA).

Eine spezielle Browser-Erweiterung namens ForgCookie sorgt dafür, dass gestohlene Session-Cookies dauerhaft nutzbar bleiben. Vertrieb und Support laufen über verschlüsselte Messenger wie Telegram.

Der Zeitpunkt ist kein Zufall: Erst Mitte Juni 2026 zerschlugen internationale Behörden die Plattform „Outsider“. Sie war seit 2023 für über 8.000 Phishing-Domains verantwortlich und verursachte einen Schaden von rund 1,9 Milliarden US-Dollar in 55 Ländern.

KI als Turbo für Angreifer

Künstliche Intelligenz treibt die Entwicklung zusätzlich an. Laut einer aktuellen Umfrage von MetaCompliance stieg die Zahl KI-generierter Cyberangriffe im zweiten Quartal 2026 um 75 Prozent. Besonders erschreckend: KI-gestützte Phishing-Mails erzielen Klickraten von bis zu 54 Prozent. Klassische Methoden kommen gerade mal auf 12 Prozent.

Anzeige

Rekord-Schäden durch Phishing zeigen, wie wichtig professionelle Abwehrstrategien für Firmen heute sind. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen moderne Angriffe schützen kann. Anti-Phishing-Paket jetzt gratis herunterladen

Noch einen Schritt weiter geht die Gruppe JadePuffer. Sicherheitsforscher identifizierten im Mai und Juli 2026 Angriffe, die als erste autonome Ransomware-Attacken gelten. Dabei nutzten Large Language Models (LLM) die Kontrolle über den gesamten Angriffsprozess.

Ein Jahr lang unentdeckt

Ein fehlkonfigurierter Server in Budapest gab Sicherheitsforschern Einblick in drei aktive Phishing-Kampagnen gegen Microsoft 365. Die Angreifer nutzten das Tool Evilginx, um Authentifizierungs-Token abzugreifen. Eine Kampagne lief über ein Jahr lang unentdeckt – und richtete sich fast ausschließlich gegen Geschäftskonten.

Die Methode ist raffiniert: Beim OAuth-Device-Code-Flow verleiten Angreifer Nutzer dazu, einen Code auf einer legitimen Microsoft-Seite einzugeben. Das Konto ist gekapert, ohne dass die Täter das Passwort kennen müssen. Sicherheitsforscher beobachten einen 37-fachen Anstieg bei der Nutzung solcher Kits.

Unternehmen sind schlecht vorbereitet

Die Bedrohungslage verschärft sich, doch viele Organisationen hinken hinterher. Zwar berichten 88 Prozent der Unternehmen von einem gestiegenen Bewusstsein für KI-Bedrohungen. Doch nur 40 Prozent der Mitarbeiter gelten als ausreichend geschult. Immerhin 53 Prozent der Firmen unterweisen ihre Angestellten im Umgang mit KI, aber lediglich 48 Prozent haben verbindliche KI-Richtlinien.

Anzeige

Angesichts immer raffinierterer Täuschungsversuche reicht ein einfaches Passwort als Schutz längst nicht mehr aus. Ein kostenloser Report zeigt, wie Sie die neue Passkey-Technologie bei Microsoft und Co. einrichten, um Hackern keine Chance mehr zu lassen. Gratis-Report: Passwortlose Anmeldung jetzt entdecken

Experten raten zu Phishing-resistenten MFA-Verfahren wie FIDO2. Die Authentifizierung über Gerätecodes sollte standardmäßig blockiert werden – es sei denn, sie wird zwingend benötigt.

Ab August 2026 bringt der EU AI Act neue Transparenzpflichten. Die neue EU-Zahlungsdiensteverordnung (PSR) sieht zudem verschuldensunabhängige Erstattungspflichten für Banken bei Betrugsfällen vor. Das soll den finanziellen Schaden für Opfer begrenzen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69768471 |