Hacker kapern Google-Dienste für Massen-Phishing auf Facebook

Betroffen sind rund 30.000 Facebook-Geschäftskonten. Die Angreifer nutzen die vertrauenswürdige Google-Infrastruktur, um Sicherheitsprüfungen zu umgehen.

Die Kampagne trägt den Namen „AccountDumpling“. Sicherheitsforscher bringen sie mit Akteuren aus Vietnam in Verbindung. Die Opfer erhalten Nachrichten über angebliche Richtlinienverstöße – und geben daraufhin ihre Zugangsdaten samt Zwei-Faktor-Codes preis.

CEO-Fraud und gefälschte System-Mails zeigen, wie raffiniert Hacker heute psychologische Tricks einsetzen, um an Firmendaten zu gelangen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und wie man sie effektiv entlarvt. Anti-Phishing-Paket jetzt gratis herunterladen

Warum die Mails durch alle Filter rutschen

Der entscheidende Trick: Die Nachrichten werden über offizielle Google-Systeme generiert. Damit bestehen sie alle gängigen Authentifizierungsprüfungen wie SPF, DKIM und DMARC. Für Unternehmen wird das zum Problem – herkömmliche E-Mail-Sicherheit erkennt die Gefahr nicht.

Die gestohlenen Daten landen in automatisierten Bots auf Telegram. Parallel dazu beobachten Experten ähnliche Angriffe über Amazon SES. Auch hier nutzen Kriminelle gestohlene Zugriffsschlüssel, um gefälschte DocuSign-Benachrichtigungen zu versenden.

KI macht jeden zum Hacker

Das Phishing-Ökosystem ist inzwischen industrialisiert. „Phishing-as-a-Service“-Plattformen senken die Einstiegshürde drastisch. Das neu entdeckte Werkzeug „Bluekit“ bietet Kriminellen einen integrierten KI-Assistenten auf Basis von GPT-4.1, Claude oder Gemini.

Damit lassen sich Phishing-Vorlagen für über 40 Marken erstellen – von Apple ID bis zu Kryptobörsen. Die Funktionen reichen von Geolocation-Spoofing bis Voice Cloning. Die jährlichen Verluste durch mobilen Betrug liegen weltweit bei rund 80 Milliarden US-Dollar.

Die Automatisierung zeigt sich in Zahlen: KI-gesteuerte Bot-Angriffe stiegen im vergangenen Jahr um das 12,5-Fache. Bots machen inzwischen über 53 Prozent des gesamten Web-Traffics aus – etwa 40 Prozent davon sind bösartig. Besonders der Finanzsektor ist betroffen.

SMS-Blaster aus dem fahrenden Auto

Doch nicht alles spielt sich digital ab. In Kanada nahmen Behörden drei Männer fest, die „SMS-Blaster“ aus Fahrzeugen heraus betrieben. Die Geräte imitieren legitime Mobilfunkmasten und zwingen Handys in der Umgebung zur Verbindung.

Insgesamt wurden so rund 13 Millionen Verbindungen hergestellt. Die Phishing-SMS umgingen damit komplett die regulären Telefonnetze. Experten raten dringend, 2G auf Endgeräten zu deaktivieren – dieser Standard kennt keine gegenseitige Authentifizierung zwischen Gerät und Funkmast.

Auch andere drahtlose Schnittstellen werden zum Problem. Polizeigewerkschaften warnen vor Sicherheitslücken bei Körperkameras und Tasern. Über Bluetooth-Signale lässt sich der Standort von Einsatzkräften mit einfachen Apps verfolgen.

Deepfakes kosten Milliarden

Die finanziellen Schäden sind enorm. Allein für 2025 beziffert ein aktueller Bericht die weltweiten Verluste durch Deepfake-Betrug auf 1,65 Milliarden US-Dollar. Mehr als die Hälfte entfällt auf Investment-Betrug mit KI-generierten Promi-Videos.

Besonders perfide: Kriminelle imitieren mit KI die Stimmen von Familienmitgliedern, um in vorgetäuschten Notlagen Geld zu erschleichen. Im E-Commerce könnten die Betrugsverluste bis 2030 auf 131 Milliarden Euro steigen.

Das Ende der SMS als Sicherheitsstandard

Zwischen 20 und 60 Prozent der Nutzer verwenden dieselben Passwörter für private und geschäftliche Konten. Ein kompromittiertes Google- oder Facebook-Konto reicht dann für den Zugriff auf sensible Unternehmensdaten.

Angesichts von Millionen gehackter Konten pro Quartal raten Experten dringend dazu, unsichere Passwörter durch moderne Alternativen zu ersetzen. Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, WhatsApp & Co. einrichten und Hacker chancenlos machen. Kostenlosen Passkey-Ratgeber jetzt anfordern

Sicherheitsexperten sehen die SMS-basierte Zwei-Faktor-Authentifizierung kritisch. Angesichts von SMS-Blastern und PhaaS-Plattformen mit Session-Tracking gilt sie nicht mehr als ausreichend. Die Empfehlung lautet: hardwarebasierte Sicherheitsschlüssel und strengere Überwachung von Zugangsdaten.

Der Trend zur KI-gestützten Angriffsplanung wird sich weiter verschärfen. Während Hersteller wie Samsung oder Google ihre Geräte regelmäßig patchen, bleibt der Faktor Mensch das Hauptziel. Die Integration von KI in Phishing-Kits zeigt: Kriminelle passen ihre Werkzeuge schneller an, als Sicherheitsarchitekturen in Unternehmen mitwachsen.

de | wissenschaft | 69278156 |