Cyberkriminalität im Frühjahr 2026: Device Code Phishing explodiert

IT-Sicherheitsanalysten melden einen rasanten Aufstieg hochspezialisierter Angriffe – allen voran Device Code Phishing. Laut Berichten von Okta und Push Security verzeichnete diese Methode auf Microsoft-365-Umgebungen eine Verfünfzehnfachung der Fälle seit Jahresbeginn.

Kriminelle nutzen dabei technische Protokolle aus, die ursprünglich für Geräte ohne Tastatur entwickelt wurden. Ihr Ziel: Sicherheitsbarrieren wie die Mehr-Faktor-Authentifizierung (MFA) umgehen. Der Trend markiert einen strategischen Wendepunkt – weg von herkömmlichen „Adversary-in-the-Middle“-Angriffen, hin zur Industrialisierung des Identitätsdiebstahls.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

EvilTokens: Phishing als Dienstleistung

Die technische Basis bildet der OAuth 2.0 Device Code Grant (RFC8628). Ursprünglich für den Login auf Smart-TVs oder IoT-Geräte konzipiert, missbrauchen Angreifer diesen Mechanismus nun für großangelegte Kampagnen. Sicherheitsexperten beobachten eine zunehmende Professionalisierung durch „Phishing-as-a-Service“-Plattformen (PhaaS). Die Plattform EvilTokens ermöglicht selbst technisch weniger versierten Kriminellen komplexe Angriffe auf Unternehmensumgebungen.

Die Vorgehensweise ist perfide: Nutzer werden verleitet, einen scheinbar legitimen Code auf einer offiziellen Microsoft-Seite einzugeben. Da der Prozess über die echten Infrastrukturen der Dienstanbieter läuft, schlagen herkömmliche Sicherheitsfilter oft nicht an. Sobald der Anwender den Code bestätigt, erhalten die Angreifer ein langlebiges Zugriffs-Token.

Microsoft Threat Intelligence registrierte allein bei einer Kampagne Mitte April 2026 rund 35.000 angegriffene Nutzer in 26 Ländern. Besonders betroffen: Organisationen aus dem Gesundheitswesen und dem Finanzsektor (fast 40 Prozent der Ziele). Parallel stiegen die Fälle von QR-Code-Phishing („Quishing“) im ersten Quartal 2026 um 146 Prozent auf weltweit über 18,7 Millionen Vorfälle.

KI-Malware und Banking-Trojaner via WhatsApp

Flankiert wird die Entwicklung durch eine neue Malware-Generation mit Künstlicher Intelligenz. ESET identifizierte mit „PromptSpy“ die erste Android-Malware, die Googles KI-Modell Gemini nutzt. Sie zeichnet Bildschirminhalte auf und extrahiert Daten vom Sperrbildschirm.

Der Banking-Trojaner „TCLBANKER“ verbreitet sich über WhatsApp und Outlook. Er nutzt die Android-Eingabehilfen für Overlay-Angriffe auf 59 verschiedene Finanzplattformen. Dabei stiehlt er Anmeldedaten und Einmalpasswörter direkt durch Screen-Scraping.

In Deutschland und den Niederlanden warnte Kaspersky vor der Malware „Keenadu“, die in der Firmware neuer Geräte entdeckt wurde. Bis Februar 2026 infizierte sie mehr als 13.000 Systeme. Das Netzwerk „CallPhantom“ platzierte über 28 betrügerische Apps im offiziellen Google Play Store. Trotz Versprechen, Anrufe oder SMS auszuspionieren, lieferten die Apps nur Zufallsdaten – lockten Nutzer aber in teure Abomodelle mit Kosten bis zu 80 US-Dollar pro Jahr. Kumuliert verzeichneten die Apps over 7,3 Millionen Downloads, Schwerpunkte lagen in Indien und im asiatisch-pazifischen Raum.

Gerichte verschärfen Haftung für Banken

Die zunehmende Komplexität der Angriffe führt zu wegweisenden Gerichtsurteilen in der EU. Das Landgericht Berlin II verurteilte die Apobank zur Zahlung von 200.000 Euro Schadensersatz an ein Phishing-Opfer. Die Bank konnte nicht ausreichend nachweisen, dass der Kunde grob fahrlässig handelte. Das Oberlandesgericht Koblenz entschied zudem: Das bloße Anklicken eines Links in einer SMS ist noch keine grobe Fahrlässigkeit.

Millionen Android-Nutzer sind täglich Hackern schutzlos ausgeliefert – ohne es zu wissen. Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle. Dieser kostenlose Report zeigt, wie Sie sich schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Diese Urteile erhöhen die Haftungsrisiken für Finanzinstitute deutlich. Die Beweislast für ein Fehlverhalten des Kunden wird strenger ausgelegt.

In Österreich sorgt die Neuregelung der Handysicherstellung für Diskussionen. Staatsanwältin Mag. Anna-Maria Wukovits kritisierte, dass die seit Januar 2025 geltenden Regeln zur exakten Angabe von Datenkategorien vor einer Beschlagnahme die Ermittlungen erschweren. Der Betrug um die Zertifikatserneuerung der „ID Austria“ verschärft die Lage: Kriminelle nutzten Smishing-Nachrichten, um rund 300.000 Nutzer ins Visier zu nehmen. In einem dokumentierten Fall entstand ein Schaden von 30.000 Euro.

Die Global Anti-Scam Alliance (GASA) beziffert die globalen Schäden durch Cyberkriminalität auf rund 442 Milliarden US-Dollar. Über die Hälfte der Erwachsenen weltweit gibt an, bereits Betrugsversuche erlebt zu haben.

Tech-Konzerne reagieren unterschiedlich

Meta hat zum 10. Mai 2026 die optionale Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten eingestellt. Das Unternehmen verweist Nutzer stattdessen auf WhatsApp, das weiterhin als primäres Datenschutzprodukt positioniert wird. Kritiker von Organisationen wie der EFF bemängeln die Unklarheit über den Status bereits verschlüsselter Chats.

Apple plant mit iOS 26.5 am 11. Mai 2026 die Einführung von Ende-zu-Ende-Verschlüsselung für den RCS-Standard. Damit schließt der Konzern eine kritische Sicherheitslücke (CVE-2026-28950).

Ein positiver Trend zeigt sich bei der Abkehr von Passwörtern. Amazon vermeldete zum World Passkey Day am 10. Mai 2026: Bereits 456 Millionen Kunden nutzen Passkeys – ein Anstieg von 75 Prozent gegenüber dem Vorjahr. Laut Chief Information Security Officer Stephen Schmidt ermöglichen Passkeys einen sechsmal schnelleren Login und bieten robusten Phishing-Schutz.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Umstellung auf Post-Quanten-Kryptografie bis 2031. Grund: das Risiko des „Harvest now, decrypt later“ – heute verschlüsselte Daten werden für spätere Entschlüsselung durch Quantencomputer gesammelt.

Android 17 und neue Schutzmechanismen

Für Sommer 2026 sind signifikante Updates der mobilen Betriebssysteme angekündigt. Google plant für Juni die Veröffentlichung von Android 17 mit Funktionen wie „Binary Transparency“. Damit soll sichergestellt werden, dass die installierte Software exakt dem vom Entwickler veröffentlichten Code entspricht. Das würde die Erkennung manipulierter Firmware wie im Fall „Keenadu“ erleichtern.

Zudem führt Google mit „Advanced Flow“ neue Hürden für das Sideloading von Apps ein. Erste Tests laufen in Brasilien und Singapur, ein globaler Rollout ist für 2027 vorgesehen.

WhatsApp wird voraussichtlich ab dem 8. September 2026 den Support für ältere Geräte einstellen – konkret für Betriebssysteme unter Android 5.0 oder iOS 13. Das Unternehmen begründet dies mit den steigenden Anforderungen an das Signal-Protokoll.

In der Zwischenzeit müssen sich Nutzer auf eine weitere Zunahme KI-gestützter Betrugsmaschen einstellen. Die US-Handelsbehörde FTC berichtet von über einer Million Fällen, in denen KI-Stimmenklone eingesetzt wurden. Oft reichen nur drei Sekunden Audiomaterial für eine täuschend echte Imitation. Die Kombination aus technischer Aufrüstung durch Betriebssystem-Anbieter und erhöhter Sensibilisierung der Nutzer bleibt die einzige wirksame Verteidigung gegen die industrialisierte Cyberkriminalität.

de | wissenschaft | 69304969 |