Hacker-Alarm: Chinesische Gruppen knacken MFA in Echtzeit

Sicherheitsforscher schlagen Alarm: Die globale Bedrohungslage durch Cyberkriminalität hat im Frühjahr 2026 eine neue Qualitätsstufe erreicht. Besonders chinesische Akteure setzen auf hochspezialisierte Phishing-as-a-Service-Modelle (PhaaS). Sie kombinieren KI-gesteuerte Köder mit legitimen Systemfunktionen – und zielen nicht nur auf Unternehmen, sondern zunehmend auch auf Endverbraucher über RCS und iMessage.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken und Hacker-Angriffe schützen kann. In 4 Schritten zum sicheren Unternehmen

Echtzeit-Abfangen von Zugangsdaten

Die Google Threat Intelligence Group (GTIG) warnt Ende Mai vor chinesischen PhaaS-Gruppen. Deren Strategie hat sich grundlegend geändert: Statt statische Anmeldedaten zu stehlen, fangen sie Einmalpasswörter (OTP) in Echtzeit ab. Live-Admin-Panels erlauben den Angreifern, den Authentifizierungsprozess des Opfers live zu verfolgen und codes sofort abzugreifen.

Schwerpunktmäßig sind Nutzer in Japan, den USA, Australien, Hongkong und den Vereinigten Arabischen Emiraten betroffen. Die betrügerischen Links kommen über Rich Communication Services (RCS) und Apples iMessage – und umgehen damit herkömmliche E-Mail-Sicherheitsfilter. KI-generierte Phishing-Seiten unter Codenamen wie Darcula oder vom Akteur UNC5814 sind optisch kaum noch von legitimen Portalen zu unterscheiden.

Die Professionalisierung zeigt sich in der Arbeitsteilung: PhaaS-Anbieter stellen Infrastruktur und Admin-Panels bereit, Angreifer mieten diese Dienste gegen Gebühr. Das senkt die Eintrittshürde für weniger technisch versierte Kriminelle massiv.

Kali365: Angriff auf Microsoft-365-Konten

Parallel warnten FBI und Sicherheitsdienstleister Arctic Wolf vor der Plattform Kali365. Diese PhaaS-Lösung wurde bereits im April entdeckt und über Telegram vertrieben. Sie nutzt Device-Code-Phishing – eine perfide Methode, die den legitimen OAuth-Prozess von Microsoft missbraucht.

Opfer geben einen angezeigten Code auf einer echten Microsoft-Autorisierungsseite ein. Da die Interaktion auf einer vertrauenswürdigen Domain stattfindet, schöpfen viele keinen Verdacht. Sobald der Code eingegeben ist, erhalten Angreifer ein gültiges Zugriffstoken – und umgehen MFA-Hürden komplett, ohne jemals das Passwort des Nutzers gekannt zu haben.

Sicherheitsforscher identifizierten spezifische Betreffzeilen für diese Kampagnen: gefälschte Benachrichtigungen von SharePoint, OneDrive, Teams und DocuSign. Das FBI empfiehlt Unternehmen, Device-Code-Anmeldungen auf Organisationsebene zu blockieren, sofern nicht zwingend erforderlich.

Banking-Trojaner legen um 196 Prozent zu

Die Zahlen für das erste Quartal 2026 sind alarmierend. Die Fälle von Banking-Trojanern stiegen um 196 Prozent auf rund 1,24 Millionen. Besonders die Trapdoor-Kampagne fällt auf: 455 Android-Apps waren als harmlose Werkzeuge wie PDF-Reader getarnt und wurden rund 24 Millionen Mal heruntergeladen.

86 Prozent aller Phishing-Angriffe sind inzwischen KI-gestützt. Die Google Threat Intelligence Group meldete sogar den ersten vollständig automatisiert durch eine KI erzeugten Zero-Day-Exploit. Eine KI identifizierte eine Logiklücke in einem Server-Admin-Tool und entwickelte selbstständig einen Weg, die 2FA-Sicherung zu umgehen.

Auch NFC-Relay-Angriffe nahmen zwischen Januar und April um 188 Prozent zu. Bei dieser Methode werden Signale kontaktloser Bezahlsysteme oder digitaler Schlüssel abgefangen und weitergeleitet. QR-Code-Phishing (Quishing) stieg von 7,6 Millionen Fällen im Januar auf über 18,7 Millionen im März – ein Zuwachs von 146 Prozent.

Regulatorische Reaktionen

Apple reagierte Mitte Mai mit iOS 26.5 und aktivierte bereits mit Version 26.4.1 den Stolen Device Protection-Modus automatisch. Die Funktion erzwingt an unbekannten Orten Face ID oder Touch ID und führt eine einstündige Sicherheitsverzögerung für kritische Kontoeinstellungen ein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 7. April die neuen Kriterien für den Cloud-Standard C5:2026. Sie enthalten 168 Anforderungen in 17 Bereichen, mit neuen Schwerpunkten auf Container-Management und Post-Quanten-Kryptografie. Die Einhaltung wird für Cloud-Anbieter ab dem 1. Juni 2027 verbindlich.

Die wirtschaftliche Belastung bleibt hoch. Die Summe der DSGVO-Bußgelder belief sich bis März auf rund 6,11 Milliarden Euro. Laut einer Bitkom-Umfrage vom 22. Mai stufen 97 Prozent der befragten Unternehmen den Aufwand zur Erfüllung der DSGVO-Vorgaben als hoch ein.

Angesichts massiver Hacker-Angriffe und strenger DSGVO-Vorgaben ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Gratis Muster-Vorlage jetzt herunterladen

Die Ökonomie der Schattenwirtschaft

Der Erfolg von Phishing-as-a-Service-Modellen erklärt sich durch zunehmende Fragmentierung und Spezialisierung der Cyberkriminalität. Früher deckten einzelne Hacker-Gruppen den gesamten Prozess ab – heute existiert eine hocheffiziente Schattenwirtschaft. Anbieter wie Kali365 oder die Betreiber der Tycoon2FA-Infrastruktur konzentrieren sich rein auf die Bereitstellung technischer Mittel.

Interessant ist die Reaktion auf polizeiliche Maßnahmen. Nachdem Microsoft im März die Tycoon2FA-Infrastruktur störte, sank deren Aktivität zunächst um 15 Prozent. Kurz darauf stellten Angreifer auf russische Domains (.RU) um – ein Beleg für die Resilienz dieser Netzwerke.

Wettrüsten zwischen KI und Verteidigung

Die kommenden Monate stehen im Zeichen eines technologischen Wettrüstens. Mit der für Juni erwarteten WWDC und iOS 27 wird Apple voraussichtlich weitere KI-basierte Sicherheitsfunktionen einführen. Microsoft drängt verstärkt auf Passkeys als phishingsichere Alternative zu klassischen Passwörtern.

Das Risiko für Endverbraucher bleibt hoch. Ende Mai wurden Berichte über einen massiven Datendiebstahl bei einer Content-Plattform bekannt – angeblich 340 Millionen Datensätze. Solche Datenbestände dienen als Grundlage für künftige, noch präzisere Phishing-Kampagnen. Experten raten zu erhöhter Wachsamkeit, besonders bei unerwarteten Nachrichten über RCS oder Signal.

de | wissenschaft | 69421856 |