EvilTokens, Hacker

EvilTokens: Hacker umgehen 2FA mit Microsoft-Trick bei 340 Firmen

22.06.2026 - 21:57:01 | boerse-global.de

Hacker nutzen KI und raffinierte Plattformen, um Sicherheitsvorkehrungen zu umgehen. Neue Kampagnen gefährden Unternehmen weltweit.

Cyber-Bedrohung 2026: KI-Angriffe und neue Hacker-Methoden
EvilTokens - Close-up of hands typing on a keyboard, with abstract digital code and a phishing icon on a screen in the background. 22.06.2026 - Bild: über boerse-global.de

Hacker setzen zunehmend auf Künstliche Intelligenz und maßgeschneiderte Betrugsplattformen, um selbst mehrstufige Sicherheitsvorkehrungen zu umgehen. Das zeigt eine Reihe aktueller Berichte von Sicherheitsfirmen, die am heutigen Montag veröffentlicht wurden.

Wenn der zweite Faktor nicht mehr schützt

Anzeige: Wer die Bedrohung durch EvilTokens für sein Unternehmen einschätzen will, findet in diesem kostenlosen Report die wichtigsten Abwehr-Hebel – von OAuth-Absicherung bis Mitarbeiter-Sensibilisierung. Jetzt kostenlosen Sicherheits-Report anfordern

Besonders perfide: Eine Kampagne namens EvilTokens zielt direkt auf die Umgehung der Zwei-Faktor-Authentifizierung (2FA) ab. Die Sicherheitsfirma Zimperium deckte auf, dass Angreifer den OAuth-Geräte-Autorisierungsfluss von Microsoft ausnutzen. Statt Passwörter zu stehlen, werden Opfer auf eine legitime Microsoft-Seite gelockt, wo sie ein hacker-kontrolliertes Gerät autorisieren.

Seit März 2026 wurden so über 340 Organisationen in mehreren Ländern ins Visier genommen. Die Vorbereitungsphase für einen Angriff beträgt typischerweise zehn bis fünfzehn Tage. Die Infrastruktur läuft über Cloudflare Workers und nutzt AES-GCM-Verschlüsselung. Mobile Sicherheitssysteme blockieren inzwischen die dazugehörigen URLs.

Gefälschte Jobportale als Einfallstor

Eine weitere aktuelle Kampagne zeigt, wie kreativ Cyberkriminelle geworden sind. CUJO AI identifizierte 21 betrügerische Jobportale, die die Karriereseiten der FIFA imitierten – darunter Adressen wie „fifa-careerhub[.]com". Die zwischen April und Mai registrierten Seiten zielen auf Google-Workspace-Zugangsdaten ab.

Die Masche ist raffiniert: Private E-Mail-Adressen werden abgewiesen, Opfer müssen sich mit ihrem Firmen-Login anmelden. Anschließend werden sie auf eine gefälschte Google-Kalender-Seite weitergeleitet. Ähnliche Methoden wurden bereits mit den Marken Heineken, Netflix und Spotify beobachtet.

WhatsApp als Trojaner-Schleuder

Kaspersky-Forscher berichten von kompromittierten WhatsApp-Konten, die zur Verbreitung von VBScript-Schadsoftware genutzt werden. Die als Geschäftsdokumente getarnten Dateien installieren Fernwartungstools auf Windows-Systemen. Betroffen sind Nutzer in elf Ländern, wobei 80 Prozent der Infektionen auf Malaysia entfallen.

Im Finanzsektor warnt Ripple-CTO David Schwartz vor Phishing-Mails, die die legitime Kontenerstellungs-Infrastruktur von Robinhood missbrauchen. Zwar bestätigte Robinhood, dass die eigenen Systeme nicht kompromittiert wurden – die betrügerischen Nachrichten enthielten jedoch realistische Details über angebliche unbefugte Zugriffe von bestimmten Mobilgeräten.

Die Zahlen sind alarmierend: Allein im Februar 2026 stiegen die Verluste durch Phishing um 207 Prozent auf umgerechnet rund 5,7 Millionen Euro.

KI-gesteuerte Angriffe und neue Abwehrstrategien

Die Google Threat Intelligence Group warnt vor sogenannten Destillationsangriffen, bei denen KI-Modelle gestohlen werden. Zudem nutzen staatlich unterstützte Akteure große Sprachmodelle für Aufklärungszwecke. Forscher registrierten über 100.000 Versuche, Reasoning-Traces aus dem Gemini-Modell zu extrahieren.

Zscaler ThreatLabz entdeckte eine KI-generierte ClickFix-Kampagne, die brasilianische Banking-CAPTCHA-Seiten nachahmt. Die Masche bringt Nutzer dazu, PowerShell-Befehle auszuführen, die den Trojaner SmartRAT installieren – eine Schadsoftware mit Keylogging- und Fernzugriffsfunktionen.

Barracuda reagierte mit einer autonomen Lösung namens Integrated Email Protection. Das System analysiert täglich rund 1,5 Milliarden URLs. Die firmeneigene Forschung zeigt: Einer von sieben kompromittierten Accounts wird später für weitere Angriffe genutzt.

Erfolge und neue Schwachstellen

Die Zusammenarbeit von Strafverfolgern und Industrie zeigt Wirkung. Coinbase, Microsoft und Europol gelang die Zerschlagung der PhaaS-Plattform Tycoon 2FA. Mitte 2025 war diese Infrastruktur für 62 Prozent aller von Microsoft abgefangenen Phishing-Versuche verantwortlich – rund 30 Millionen betrügerische E-Mails pro Monat. Die Operation führte zur Sperrung von 330 Domain-Namen.

Anzeige: Hacker nutzen gefälschte Jobportale, um Firmen-Logins zu stehlen – 21 FIFA-Imitate wurden bereits identifiziert. Unser Report zeigt, wie Sie solche Angriffe erkennen und Ihre Google-Workspace-Zugänge schützen. Phishing-Abwehr-Guide jetzt sichern

Doch neue Lücken tun sich auf. Check Point meldet einen Datenleck bei Texas Parks & Wildlife mit über drei Millionen betroffenen Kunden. Zudem wurden mehrere kritische Sicherheitslücken identifiziert, darunter:

  • CVE-2026-39813 (Fortinet FortiSandbox)
  • CVE-2026-50656 (Microsoft Defender Zero-Day)
  • CVE-2026-20262 (Cisco Catalyst SD-WAN)
  • CVE-2026-20253 (Splunk Enterprise)

Eine weitere Analyse von Microsoft Defender enthüllte die Crypto-Clipper-Kampagne, die seit Februar 2026 aktiv ist. Der Schädling verbreitet sich über USB-Sticks und nutzt einen eingebetteten Tor-Client. Alle 500 Millisekunden überwacht er die Zwischenablage und ersetzt Kryptowährungs-Adressen bei Transaktionen – das Geld fließt direkt auf die Konten der Angreifer.

de | wissenschaft | 69606061 |