Facebook-Phishing-Welle „AccountDumpling“ trifft 30.000 Nutzer

Unter dem Codenamen „AccountDumpling“ wurden weltweit mehr als 30.000 Konten gekapert.

Die Angreifer locken mit einem kostenlosen „blauen Haken“ – dem begehrten Verifizierungssymbol. Dabei nutzen sie das psychologische Bedürfnis nach digitaler Reputation schamlos aus. Das Besondere: Die Betrüger missbrauchen legitime Cloud-Infrastrukturen, um herkömmliche Spam-Filter zu umgehen.

So funktioniert der Angriff

Die Sicherheitsanalysten von Guardio Labs haben den genauen Ablauf dokumentiert. Im Zentrum steht Googles AppSheet-Plattform, eigentlich für Geschäftsanwendungen gedacht. Die Täter nutzen sie als „Phishing-Relay“ und versenden E-Mails über die offizielle Adresse noreply@appsheet.com.

Angesichts immer raffinierterer Methoden wie dem Missbrauch von Cloud-Diensten wird der Schutz Ihrer mobilen Daten zur Pflicht. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihr Android-Gerät mit fünf einfachen Schritten gegen Hacker und Datenmissbrauch absichern. Jetzt 5 Schutzmaßnahmen für Ihr Android-Smartphone gratis entdecken

Da diese Domain als vertrauenswürdig gilt, landen die betrügerischen Nachrichten direkt im Posteingang. Die Mails tarnen sich als dringende Mitteilung des Meta-Supports. Mal geht es um eine angebliche Kontosperrung, mal um die kostenlose Verifizierung.

Wer dem Link folgt, landet auf täuschend echten Facebook-Hilfeseiten. Diese liegen auf Plattformen wie Netlify oder Vercel. Hinter der Operation steckt ein vietnamesischer Akteur namens Pham Tai Tan. Die gefälschten Seiten sind so professionell gestaltet, dass selbst erfahrene Nutzer den Betrug kaum erkennen.

Mehr als nur Passwort-Klau

Geben Opfer ihre Daten ein, beschränkt sich der Diebstahl nicht auf E-Mails und Passwort. Die Angreifer übernehmen die komplette digitale Identität. Sie greifen Zwei-Faktor-Codes ab, stehlen Sitzungs-Cookies und laden sogar Scans von Ausweisdokumenten hoch.

Die gekaperten Konten landen auf Untergrundmärkten. Die Preise variieren je nach Reichweite und Alter des Profils.

Smartphones im Visier

Die aktuelle Welle ist Teil eines größeren Trends. Angreifer zielen zunehmend auf mobile Endgeräte. Smartphones dienen als zentrale Schnittstelle für private und berufliche Kommunikation – der Schaden bei einer Kompromittierung ist immens.

Parallel warnte das FBI vor Risiken durch Apps aus Hochrisiko-Ländern. Diese könnten Kontakte, Standortdaten und Fotos sammeln und an fremde Regierungen weitergeben.

Ob Banking, WhatsApp oder private Fotos – wenn Kriminelle über bösartige Apps Zugriff auf Ihr Smartphone erhalten, ist der Schaden immens. Dieser Gratis-PDF-Ratgeber zeigt Ihnen, wie Sie Spionage-Apps entlarven und Ihre sensiblen Anwendungen effektiv vor Zugriffen schützen. Kostenlosen Sicherheits-Leitfaden für Android jetzt sichern

Auch Schadsoftware für Android entwickelt sich weiter. Der G700 Remote Access Trojaner (RAT) in Version 6.4 zielt speziell auf Banking- und Kryptowährungs-Apps ab. Er umgeht Sicherheitsfunktionen von Android 16 und liest Inhalte aus Wallets wie Trust Wallet oder MetaMask aus.

Besonders perfide: Die Malware tarnt sich als vermeintliche Apps von Apple, Disney oder NVIDIA. Nutzer werden durch Fake-Guthaben oder dringende Systemmeldungen zur Installation verleitet.

Die Bedrohungslage im Mai 2026

Die IT-Sicherheitslandschaft ist derzeit hochdynamisch. Neben sozialer Manipulation nutzen Angreifer kritische technische Schwachstellen aus. Die Zero-Day-Lücke CVE-2026-41940 in cPanel & WHM ermöglichte seit Februar unauthentifizierten Root-Zugriff auf Webserver – und befeuerte eine großflächige Ransomware-Kampagne.

Betroffene Unternehmen müssen bis heute Sicherheitsupdates installieren, um den Vorgaben der CISA zu entsprechen.

Neue Schutzmechanismen

Apple bereitet iOS 26.5 für Mitte Mai vor. Das Update bringt Ende-zu-Ende-Verschlüsselung für RCS-Kommunikation zwischen iPhone und Android. Zuvor hatte iOS 26.4.2 eine Schwachstelle behoben, durch die gelöschte Benachrichtigungen wiederhergestellt werden konnten.

Google verschärft mit Android 17 die Regeln für Hintergrundaktivitäten. Neue „Background Activity Launch“-Regeln sollen Phishing und Tapjacking erschweren. „Encrypted Client Hello“ (ECH) verbessert zudem die Privatsphäre beim Surfen. Die finale Version erscheint voraussichtlich im Juni.

Prävention: Passkeys statt Passwörter

Die „AccountDumpling“-Kampagne zeigt eine Verschiebung in der Strategie der Cyberkriminellen. Statt technischer Exploits wird die Vertrauenswürdigkeit etablierter Cloud-Dienste instrumentalisiert. Die Nutzung von Google AppSheet zur Umgehung von Spam-Filtern stellt IT-Verantwortliche vor neue Herausforderungen.

Sicherheitsexperten wie Dave Lewis von 1Password raten, sich von klassischen Passwörtern zu lösen. Passkeys gelten als weitgehend resistent gegen Phishing. Sie basieren auf einem kryptografischen Schlüsselpaar, das fest an ein Gerät und eine Website gebunden ist. Microsoft, Google und Meta unterstützen die Technologie bereits.

Ausblick

Für die zweite Jahreshälfte zeichnen sich weitere Änderungen ab. Apple plant auf der WWDC im Juni eine tiefgreifende KI-Integration in Siri – möglicherweise unter Einbeziehung externer Modelle wie Gemini. Die neue Architektur soll auch Sicherheitsbarrieren gegen KI-generierte Angriffe errichten.

Google hat die Belohnungen im Android-Bug-Bounty-Programm massiv erhöht. Für kritische Zero-Click-Exploits werden seit Mai bis zu 1,5 Millionen US-Dollar gezahlt.

Für Endnutzer bleibt Wachsamkeit das wichtigste Instrument. Verifizierungsprozesse niemals über Links in E-Mails starten, sondern stets die offiziellen Einstellungen der App oder Website aufrufen. Zwei-Faktor-Authentifizierung ist ein Basisschutz – idealerweise ergänzt durch Passkeys oder Hardware-Sicherheitsschlüssel.

de | wissenschaft | 69274767 |