Device-Code-Phishing, Angriffe

Device-Code-Phishing: Angriffe um das 37-fache gestiegen

05.07.2026 - 00:42:25 | boerse-global.de

Automatisierte Phishing-Plattformen und KI-generierte Mails treiben die Bedrohungslage. Firmen verlieren Millionen durch WhatsApp-Betrug.

KI-gestützter Betrug: BEC-Angriffe und WhatsApp-Maschen nehmen zu
Device-Code-Phishing - Schattenhafte Figur mit Smartphone, gefälschte Nachricht, vor leuchtender holografischer E-Mail- und Chat-Oberfläche. 05.07.2026 - Bild: über boerse-global.de

Internationale Sicherheitsbehörden schlagen Alarm: Geschäftliche E-Mail-Kompromittierung (BEC) und Chef-Identitätsbetrug werden zunehmend automatisiert und nutzen künstliche Intelligenz. Besonders besorgniserregend: Die Täter verlagern ihre Angriffe verstärkt auf Messaging-Dienste wie WhatsApp.

Phishing-as-a-Service: Kriminelle Infrastruktur für jedermann

Die Entdeckung der PhaaS-Plattform ARToken zeigt, wie professionell Cyberkriminelle inzwischen agieren. Das System ist mit dem EvilTokens-Toolkit verbunden und nutzt über 80 API-Schnittstellen, um Microsoft-365-Zugangsdaten zu stehlen. Die Automatisierung ermöglicht den unbefugten Zugriff auf Outlook, SharePoint und OneDrive – gesteuert über Cloudflare Worker.

Die Einstiegshürden sinken dramatisch: Das EvilTokens-Setup kostet 1.500 Euro Anschaffung plus 500 Euro monatliche Gebühr. Sicherheitsforscher von Sekoia belegen zudem, dass Angreifer KI einsetzen, um täuschend echte Betrugs-E-Mails zu verfassen. Besonders perfide: Die sogenannte Device-Code-Phishing-Methode, die selbst Zwei-Faktor-Authentifizierung umgeht, hat sich laut Push Security um das 37-fache gesteigert.

WhatsApp wird zur Einfallstor für Millionenbetrug

Während Unternehmen ihre E-Mail-Sicherheit verbessern, weichen Betrüger auf Messenger aus. In Hyderabad verlor eine Immobilienfirma umgerechnet rund 4,5 Millionen Euro – die Täter gaben sich über WhatsApp als Geschäftsführer aus. Ein ähnlicher Fall erschütterte Ende Juni eine Metallhandelsfirma in Mumbai: Schaden: 2,2 Millionen Euro. Die Polizei konnte zwar einen Verdächtigen festnehmen und etwa 1,1 Millionen Euro einfrieren, doch die Beute bleibt immens.

Bemerkenswert: Der betroffene Mitarbeiter hatte eine verpflichtende Cybersicherheitsschulung versäumt. In Kerala warnen die Behörden vor einer neuen Variante: Gekaperte Konten verschicken manipulierte VBScript-Dateien, getarnt als Kontoauszüge oder Rechnungen. Diese installieren Fernwartungstools, mit denen Angreifer WhatsApp-Konten übernehmen und Passwörter stehlen. Kaspersky-Forscher haben ähnliche Kampagnen in Malaysia, Singapur, Brasilien, Vietnam und mehreren europäischen Ländern identifiziert.

Anzeige

Device-Code-Phishing umgeht selbst 2FA – und die Angriffszahlen sind um das 37-fache gestiegen. Gleichzeitig verlieren Firmen Millionen durch WhatsApp-Betrug. Dieser kostenlose Leitfaden zeigt Ihnen die 4 wichtigsten Schutzmaßnahmen und wie Sie das Zwei-Kanal-Prinzip in Ihrem Unternehmen verankern. Jetzt Sicherheits-Leitfaden anfordern

IT-Fachleute schweigen über Sicherheitsvorfälle

Eine aktuelle Bitdefender-Umfrage unter 1.200 IT-Experten offenbart alarmierende Zustände: 55,2 Prozent wurden angewiesen, Sicherheitsverstöße zu vertuschen – in den USA sogar 68,6 Prozent. Fast die Hälfte der Befragten (47,4 Prozent) hat keinen vollständigen Überblick über den KI-Einsatz im eigenen Unternehmen.

60 Prozent der IT-Profis berichten von KI-gestützten Social-Engineering-Angriffen. Selbstlernende Malware und Deepfakes gelten als größte Bedrohungen für das kommende Jahr. Cloud-basierte Angriffe (41,8 Prozent) und BEC (35,9 Prozent) bleiben die häufigsten Sicherheitsvorfälle.

Schutzmaßnahmen: So wehren sich Unternehmen

Sicherheitsexperten empfehlen einen mehrstufigen Ansatz:

Anzeige

55 % der IT-Experten wurden angewiesen, Sicherheitsverstöße zu vertuschen – ein Alarmzeichen. Dabei lassen sich BEC-Angriffe mit einfachen Mitteln abwehren. Erhalten Sie einen konkreten Mitarbeiter-Schulungsplan und die Schritt-für-Schritt-Anleitung für das Zwei-Kanal-Prinzip. Schulungsplan jetzt sichern

  • Zwei-Kanal-Prinzip: Jede ungewöhnliche Zahlungsanfrage muss über einen zweiten, vorher vereinbarten Kommunikationsweg bestätigt werden
  • Vier-Augen-Prinzip: Mehrstufige Genehmigungsprozesse für Überweisungen verhindern Einzeltäter-Risiken
  • Regelmäßige Schulungen: Mitarbeiter müssen Warnsignale erkennen – künstliche Dringlichkeit, Geheimhaltungsaufforderungen, verdächtige Dateianhänge
  • Doppelte Absicherung: Zwei-Faktor-Authentifizierung für alle Messaging- und E-Mail-Plattformen

Die Ermittlungsbehörden warnen zudem vor groß angelegten „Digital Arrest"- und Aktienbetrugsmaschen, die ähnliche Social-Engineering-Taktiken nutzen. Aktuelle Fälle in Patna und Gwalior verursachten Schäden von umgerechnet 900.000 Euro beziehungsweise 1,7 Millionen Euro – ein Teil der Gelder wurde über Kryptowährungen ins Ausland transferiert.

de | wissenschaft | 69691651 |