Cyberkriminalität Mai 2026: KI knackt Zwei-Faktor-Authentifizierung

Hacker setzen zunehmend auf künstliche Intelligenz, um Sicherheitssysteme zu überwinden.

Die digitale Bedrohungslage hat sich im Mai 2026 dramatisch verschärft. Google Threat Intelligence identifizierte am 25. Mai den ersten bekannten KI-gesteuerten Angriff auf Zwei-Faktor-Authentifizierungssysteme (2FA). Gleichzeitig warnen Sicherheitsexperten vor fünf besonders tückischen Betrugsmethoden, die Unternehmen derzeit kaum in Echtzeit erkennen können: KI-Phishing, Deepfake-Finanzbetrug, Kontodiebstähle, Insider-Bedrohungen und malwarebasierte Zahlungsmanipulation.

Angesichts der rasanten Zunahme von KI-gesteuerten Phishing-Angriffen und Manipulationstaktiken ist ein fundiertes Schutzkonzept für Unternehmen unverzichtbar. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie psychologische Schwachstellen in Ihrer Belegschaft schließen. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

Das Tückische an diesen Angriffen: Sie imitieren legitimes Nutzerverhalten so präzise, dass automatische Alarmsysteme sie übersehen.

MFA-Knacker im Abo-Modell

Die einst als robust geltende Mehrfaktor-Authentifizierung (MFA) gerät zunehmend unter Druck. Seit April 2026 verfolgt das FBI eine Plattform namens Kali365, die speziell Microsoft-365-Umgebungen angreift. Der Dienst kostet ab 250 Euro für 30 Tage und nutzt den OAuth-Gerätecode-Fluss, um MFA zu umgehen.

Hunderte Organisationen in Nordamerika und Europa wurden bereits kompromittiert. Die Ermittler empfehlen Unternehmen, den Gerätecode-Fluss komplett zu blockieren, wenn er nicht zwingend benötigt wird.

Am 25. Mai dokumentierte Google Threat Intelligence einen konkreten Fall: Ein KI-gesteuertes Python-Skript nutzte eine Schwachstelle in einem Serververwaltungstool aus, um 2FA-Protokolle zu knacken. Die Angreifer integrieren KI inzwischen in jede Phase eines Cyberangriffs – von der Aufklärung bis zur Ausführung.

Wenn offizielle Microsoft-Adressen zur Waffe werden

Ein besonders perfides Problem beschäftigt die Sicherheitsbranche seit Monaten: Kriminelle missbrauchen eine legitime Microsoft-Benachrichtigungsadresse. Seit Mai 2026 bestätigten Analysten von Spamhaus und anderen Organisationen, dass die Adresse msonlineservicesteam@microsoftonline.com für Phishing-Kampagnen genutzt wird.

Die Täter erstellen Konten im Microsoft-Ökosystem und passen offizielle Benachrichtigungen an. Für Filter-Systeme sind diese Mails kaum von echten Administrationshinweisen zu unterscheiden. Microsoft wurde informiert, eine offizielle Reaktion steht noch aus.

Weltmeisterschaft als Einfallstor

Die bevorstehende Fußball-Weltmeisterschaft 2026 lockt nicht nur Fans an – auch Cyberkriminelle wittern ihre Chance. Daten der Sicherheitsfirma Flare vom 24. Mai zeigen: Die Zahl der eindeutigen IP-Adressen, die mit WM-bezogenen Betrugsmaschen in Verbindung stehen, hat sich fast verdreifacht.

Die Forscher identifizierten 222 schadhafte Domains auf 203 IP-Adressen. Die Kampagne nutzt Cloudflare als Reverse-Proxy, um ihre Herkunft zu verschleiern, und wird von mindestens vier Betreibergruppen gesteuert. Allein im April 2026 wurden 52 neue Domains registriert, die Zahlungsinformationen und Zugangsdaten von Fans stehlen sollen.

Schwachstellen: Die Entdeckung überholt die Reparatur

Ein alarmierender Trend: Die Geschwindigkeit, mit der Sicherheitslücken entdeckt werden, übersteigt die Fähigkeit der Softwareindustrie, Patches bereitzustellen. Am 23. Mai veröffentlichte Anthropic die Ergebnisse des „Project Glasswing“ – einer KI-Initiative mit AWS, Apple, Cisco, Google und Microsoft.

Innerhalb eines einzigen Monats identifizierte das Claude-Mythos-Preview-Modell über 10.000 Schwachstellen in mehr als 1.000 Open-Source-Projekten. Darunter befanden sich 1.094 bestätigte kritische Fehler, etwa eine hochriskante Lücke in WolfSSL (CVE-2026-5194) mit einem CVSS-Score von 9,1. Zwar wurden bereits 97 Patches integriert, doch die KI findet Fehler schneller, als menschliche Entwickler sie beheben können.

Lieferketten-Angriffe auf Entwickler

Am 23. Mai entdeckten Forscher eine bösartige Injektion im Packagist-Repository, die acht PHP-Pakete betraf. Die Malware versteckte sich in der Datei „package.json“ und lud ein Linux-Binary herunter, das als Systemprozess getarnt war – gezielt entwickelt, um CI/CD-Pipelines zu kompromittieren.

Nur zwei Tage später meldete Socket Security die „TrapDoor“-Kampagne: Über 34 schädliche Pakete wurden auf npm, PyPI und Crates hochgeladen. Die Angreifer zielten auf Entwickler in den Bereichen Kryptowährung, DeFi und KI ab und versuchten, Wallet-Daten, SSH-Schlüssel und Cloud-Zugangsdaten zu stehlen.

Millionenschäden: Von Krypto bis zum Seniorenheim

Die finanziellen Folgen sind beträchtlich. Am 22. Mai verlor die dezentrale Wettplattform Polymarket rund 600.000 Euro durch einen kompromittierten privaten Schlüssel. Der Angreifer hob alle 20 bis 30 Sekunden 5.000 POL ab. Kundengelder blieben zwar unberührt, doch der Vorfall zeigt die Risiken interner Wallet-Sicherheit.

In Indien warnte das Cybercrime Coordination Centre (I4C) am 24. Mai vor einer Phishing-Welle gegen iPhone-Nutzer. Kriminelle geben sich als Apple-Support aus und verschicken SMS mit Links zu gefälschten Login-Seiten, um Apple-IDs und Einmalpasswörter zu stehlen.

Besonders dreist: der „Digital Arrest“-Betrug in Bengaluru. Eine ältere Frau verlor zwischen Januar und Mai 2026 rund 2,9 Millionen Euro. Die Täter gaben sich als Bundesermittler aus und hielten das Opfer per Videoanruf rund um die Uhr unter Beobachtung. Fünf Verdächtige wurden festgenommen, doch der Großteil des Geldes wurde über Dutzende Konten gewaschen.

Immer mehr Unternehmen und Privatpersonen werden Opfer hochprofessioneller Cyberangriffe, wie die aktuellen Schadensmeldungen verdeutlichen. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen ohne teure Investitionen langfristig absichern. Gratis Cyber-Security-Checkliste jetzt abrufen

Strategische Analyse: Warum die Abwehr versagt

Der rote Faden dieser Vorfälle: Echtzeit-Erkennung funktioniert nicht mehr. Unternehmens-Sicherheitsmodelle basieren oft auf historischen Mustern von „schlechtem“ Verhalten – doch die aktuelle Betrugsgeneration imitiert „gutes“ Verhalten mit hoher Präzision.

Die Nutzung legitimer Microsoft-Adressen oder die Ausnutzung von OAuth-Flows erlaubt Angreifern, in der Vertrauenszone der meisten Unternehmensnetzwerke zu operieren. Hinzu kommt die „Reparaturlücke“: KI-Modelle entdecken Schwachstellen schneller, als Sicherheitsteams sie priorisieren und beheben können.

Die Professionalisierung der Cyberkriminalität – sichtbar am Kali365-Abo-Modell – senkt zudem die Einstiegshürde für komplexe Angriffe erheblich.

Ausblick: Was Unternehmen jetzt tun müssen

Für die zweite Jahreshälfte 2026 zeichnet sich ein klarer Kurswechsel ab. Sicherheitsexperten empfehlen:

• Phishing-resistente Hardware-Schlüssel statt einfacher MFA
• Strenge Conditional-Access-Richtlinien
• Automatisiertes Patchen – KI-gesteuerte Abwehr wird vom Luxus zur Notwendigkeit
• Zero-Trust für Entwicklungsumgebungen: Jedes externe Paket, selbst aus vertrauenswürdigen Repositories, muss als potenziell gefährlich behandelt werden
• Strikte Überwachung von CI/CD-Pipelines

Für Verbraucher bleiben Aufklärungskampagnen die wichtigste Verteidigung – auch wenn sie gegen immer überzeugendere Social-Engineering-Taktiken zunehmend an ihre Grenzen stoßen.

de | wissenschaft | 69419441 |