Handy-Phishing überholt E-Mail: Neue Gefahr für Unternehmen

Mobile Phishing-Angriffe erzielen erstmals höhere Klickraten als klassische E-Mail-Betrugsversuche – und werden zur ernsten Bedrohung für deutsche Firmen.

Die Zeiten, in denen eine verdächtige E-Mail im Spam-Ordner landete, sind vorbei. Cyberkriminelle setzen zunehmend auf das Smartphone als Angriffsziel. Der aktuelle Verizon Data Breach Investigations Report zeigt: Die durchschnittliche Klickrate bei SMS- und Telefon-Phishing liegt bei zwei Prozent – deutlich über den 1,4 Prozent bei E-Mail-Attacken.

Warum das Handy zum Einfallstor wird

Der Grund für den Erfolg der mobilen Angriffe liegt im Vertrauen der Nutzer. Nachrichten auf dem Smartphone wirken persönlicher, die Hemmschwelle, auf einen Link zu klicken, ist geringer. Sicherheitsanalysten von Keepnet, die Daten für den Verizon-Bericht lieferten, bestätigen: Erstmals wurden umfassende Kennzahlen zu Sprach- und SMS-Phishing in die Studie aufgenommen.

Da Kriminelle zunehmend auf das Vertrauen von Smartphone-Nutzern setzen, wird ein professioneller Schutz vor Viren und Datenmissbrauch unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker-Angriffe absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die finanziellen Schäden sind enorm. Laut FBI-Beschwerdestelle IC3 beliefen sich die Verluste durch SMS- und Telefon-Phishing im vergangenen Jahr auf umgerechnet rund 740 Millionen Euro. Hinzu kommen Verluste durch KI-gestützte Betrugsmethoden in Höhe von etwa 830 Millionen Euro.

Die Geschwindigkeit, mit der Angreifer neue Sicherheitslücken ausnutzen, nimmt rasant zu. Branchenexperten von Gartner prognostizieren, dass KI-gesteuerte Systeme bis 2027 die Zeit zwischen Entdeckung einer Schwachstelle und aktivem Angriff um 50 Prozent verkürzen werden.

Kali365: Phishing als Abo-Modell

Ein besonders perfides Beispiel für diese Entwicklung ist die Plattform Kali365. Dieses „Phishing-as-a-Service"-Kit wurde Ende Mai von US-Behörden öffentlich gemacht. Seit April 2024 ist es aktiv und funktioniert nach einem Abo-Modell: Zwischen 230 Euro im Monat und 1.850 Euro für eine Jahreslizenz zahlen Kriminelle für den Zugriff.

Die Besonderheit: Kali365 stiehlt keine Passwörter, sondern sogenannte OAuth-Zugriffstoken. Die Angriffskette beginnt mit einer Phishing-Nachricht, die eine gefälschte SharePoint-Dokumentenfreigabe vortäuscht. Das Opfer wird aufgefordert, einen Code auf einer legitimen Microsoft-Autorisierungsseite einzugeben. Sobald dies geschieht, erhalten die Angreifer dauerhaften Zugriff auf Microsoft-365-Dienste wie Outlook, Teams und OneDrive – und das unter Umgehung der Zwei-Faktor-Authentifizierung.

Sicherheitsfirmen wie Proofpoint und Arctic Wolf haben eine regelrechte Welle solcher Token-Diebstähle beobachtet. Allein im Mai identifizierten Forscher innerhalb von zehn Tagen sieben verschiedene Tools, die ähnliche OAuth-Methoden nutzen.

Weltweite Kampagnen und Schadsoftware

Die mobile Bedrohungslage ist global. In Indien warnte das Sicherheitsunternehmen TraceX Labs kürzlich vor einer Schadsoftware, die sich als App einer lokalen Partei tarnt. Der Remote Access Trojan wird über WhatsApp und Telegram verbreitet, stiehlt SMS-Nachrichten und manipuliert Banking-Apps.

Banking-Apps, WhatsApp und sensible Daten — auf keinem anderen Gerät sind wir so angreifbar wie auf dem Smartphone. Experten erklären in diesem kostenlosen Paket, wie Sie kriminelle Manipulationstaktiken rechtzeitig entlarven und Ihr Unternehmen proaktiv schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

In Südostasien und Teilen Europas waren zwischen März 2025 und Januar 2026 rund 250 gefälschte Apps aktiv, die beliebte Plattformen wie Facebook Messenger oder TikTok imitierten. Die Opfer in Malaysia, Thailand, Rumänien und Kroatien wurden ohne ihr Wissen kostenpflichtigen Abos zugestimmt – die Täter kassierten über die Mobilfunkrechnung.

Auch staatlich gesteuerte Angreifer setzen vermehrt auf mobile Lockspione. Die Gruppe Ghostwriter, die mutmaßlich aus Belarus operiert, attackiert seit dem Frühjahr ukrainische Regierungsstellen mit Phishing-E-Mails. Die Angreifer nutzen KI-Tools wie ChatGPT, um ihre Zielauswahl zu verfeinern.

Hardware-Lücken als zusätzliches Risiko

Doch nicht nur soziale Manipulation ist das Problem. Forscher von Kaspersky entdeckten eine kritische Sicherheitslücke im BootROM verschiedener Qualcomm-Chips. Die Schwachstelle CVE-2026-25262 ermöglicht Angreifern mit physischem USB-Zugriff eine vollständige Kompromittierung des Geräts – noch bevor das Betriebssystem überhaupt startet. Betroffen sind Komponenten in IoT-Geräten, günstigen Smartphones und Steuergeräten.

Qualcomm bestätigt, dass bestehende Chips nicht nachgerüstet werden können. Erst künftige Generationen werden den Fehler beheben.

Was Unternehmen jetzt tun müssen

Die Sicherheitsexperten sind sich einig: Mobile Sicherheit darf kein Randthema mehr sein. Das FBI empfiehlt Unternehmen, OAuth-Gerätecode-Flows über Conditional-Access-Richtlinien in Entra ID einzuschränken. Die Deaktivierung dieser Authentifizierungsmethode für nicht unbedingt notwendige Konten gilt als entscheidender Schritt.

Die Integration von Sprach- und SMS-Daten in Branchenstandards wie den Verizon DBIR zeigt: Die Bedrohung ist real und wächst. Angesichts steigender Schadenssummen und immer raffinierterer KI-generierter Angriffe werden mobile Geräte auch im weiteren Jahresverlauf 2026 das bevorzugte Ziel von Cyberkriminellen bleiben.

de | wissenschaft | 69406288 |