Cyberkriminalität: Phishing-Angriffe steigen um 36 Prozent
29.06.2026 - 16:27:35 | boerse-global.de
Sie dienen als Dreh- und Angelpunkt für Passwort-Resets, Identitätsbestätigungen und sensible Daten. Angreifer konzentrieren sich daher zunehmend darauf, Sicherheitsmechanismen wie die Multi-Faktor-Authentisierung (MFA) zu umgehen.
FBI warnt vor spezialisierten Phishing-Plattformen
Das FBI und die CISA warnen aktuell vor der Plattform „Kali365“. Dieser seit April aktive Phishing-as-a-Service-Dienst zielt speziell auf Microsoft 365-Konten ab. Die Angreifer nutzen den Device-Code-Login-Fluss, um OAuth-Tokens zu entwenden. So gelangen Unbefugte an Dienste wie Outlook, Teams und OneDrive – ohne Passwort und ohne durch MFA gestoppt zu werden.
Parallel dazu identifizierte Microsoft Ende Juni eine neue Methode namens „Authentication Laundering“. Kriminelle missbrauchen die Infrastruktur legitimer Drittanbieter wie E-Mail-Marketing-Dienste, um Phishing-Nachrichten zu versenden. Da diese von vertrauenswürdigen Servern stammen, umgehen sie Sicherheitsfilter wie SPF, DKIM oder DMARC. Besonders Hotels in Europa und Asien standen zuletzt im Fokus.
Gezielte Spionage gegen verschlüsselte Kommunikation
Neben großflächigen Angriffen gibt es hochgradig zielgerichtete Kampagnen. Das FBI veröffentlichte Ende Juni eine Warnung vor Aktivitäten russischer Nachrichtendienste. Diese richteten sich gezielt gegen Signal-Nutzer – vor allem in Regierungen, Militär und Journalismus mit Ukraine-Bezug.
Statt nur PINs abzugreifen, versuchen die Akteure an die Backup-Wiederherstellungsschlüssel der Konten zu gelangen. Dahinter vermuten Behörden Hackergruppen, die dem russischen Inlandsgeheimdienst FSB und dem Militär nahestehen.
Die 36-Prozent-Welle an Phishing-Angriffen trifft auch KMU – und MFA allein schützt nicht mehr. Der Report zeigt, wie Sie Device-Code-Fluss und Authentication Laundering abwehren. Sicherheits-Report jetzt anfordern
Massive finanzielle Schäden durch Identitätsdiebstahl
Die wirtschaftlichen Folgen sind enorm. Laut ESET-Telemetrie stieg das Aufkommen schädlicher E-Mails in der zweiten Jahreshälfte 2025 um 36 Prozent. Phishing hat sich damit zur häufigsten Cyberangriffsform entwickelt.
Besonders folgenreich sind Business Email Compromise (BEC)-Angriffe. Große Technologiekonzerne wie Facebook und Google verloren in der Vergangenheit über 120 Millionen US-Dollar durch solche Betrugsmaschen. Auch die Crelan Bank verzeichnete Verluste im zweistelligen Millionenbereich. Die Täter nutzen zeitlichen Druck oder täuschen dringende Notfälle vor, um Mitarbeiter zu Überweisungen oder zur Preisgabe von Zugangsdaten zu bewegen.
Schutzmaßnahmen für Unternehmen und Privatnutzer
Business Email Compromise verursacht Millionenschäden – auch bei mittelständischen Unternehmen. Erfahren Sie, wie Sie BEC-Angriffe erkennen und Ihre Finanzflüsse schützen. BEC-Schutz-Guide jetzt sichern
Experten raten zu erhöhter Wachsamkeit bei Authentifizierungsprozessen. Unternehmen sollten den Device-Code-Fluss auf das Minimum einschränken und Kontenaktivitäten regelmäßig prüfen.
Sicherheitsverantwortliche betonen: Niemals unerwartet angeforderte Geräte-Codes eingeben. Trotz neuer Umgehungstaktiken bleiben MFA und starke, individuelle Passwörter grundlegende Schutzmaßnahmen. Bei bereits entstandenem Schaden gilt: sofort die Bank kontaktieren, Zahlungskarten sperren und polizeiliche Anzeige erstatten.
