KI-Phishing: Von 16 Stunden auf 5 Minuten pro E-Mail
27.06.2026 - 15:18:59 | boerse-global.de
Die US-Verbraucherschutzbehörde FTC veröffentlichte am Freitag alarmierende Zahlen: Rund eine Million Meldungen und 3,5 Milliarden Dollar Schaden gingen allein 2025 auf das Konto von Tätern, die sich als vertrauenswürdige Personen oder Institutionen ausgeben. Besonders perfide: Geschäftsfälscher erbeuteten eine Milliarde Dollar, gefälschte Regierungsbeamte 920 Millionen Dollar.
Die Gesamtschäden durch Betrug stiegen im Vergleich zum Vorjahr um 27 Prozent auf 15,9 Milliarden Dollar. Ältere Menschen ab 60 Jahren sind zunehmend betroffen – mit Einzelschäden von über 100.000 Dollar. Das FBI meldet zudem Verluste von 3,04 Milliarden Dollar durch kompromittierte Geschäfts-E-Mails (BEC). Die Gesamtsumme der Cyberkriminalität beläuft sich auf 20,9 Milliarden Dollar.
KI macht Phishing zur Massenware
Die Effizienz von Phishing-Kampagnen hat sich drastisch verändert. Benötigte die Erstellung einer betrügerischen E-Mail früher 16 Stunden, sind es mit KI-Unterstützung heute nur noch fünf Minuten. Das eröffnet neue Dimensionen: Von gezielten Angriffen auf Führungskräfte bis hin zu Deepfake-Betrug per Sprachanruf.
Die Zahlen des Verizon-Sicherheitsberichts 2026 sprechen eine deutliche Sprache: 62 Prozent aller Sicherheitsverletzungen haben eine menschliche Komponente. Social Engineering bleibt die Einfallschleuse Nummer eins. Das FBI schätzt die KI-bezogenen Verluste für 2025 auf 900 Millionen Dollar.
Neue Tricks: Authentifizierungs-Wäsche und SaaS-Missbrauch
Sicherheitsforscher haben eine raffinierte Methode entdeckt, die Microsoft als „Authentication Laundering" bezeichnet. Seit April 2026 läuft eine Kampagne gegen Hotels in Europa und Asien. Die Angreifer nutzen den Kalenderdienst Calendly, um die E-Mail-Sicherheitsprotokolle SPF, DKIM und DMARC zu umgehen. Über komprimierte Dateien schleusen sie schädliche Node.js-Hintertüren ein. Ähnliche Missbräuche von GitHub und Jira wurden von Cisco Talos identifiziert.
Eine weitere Kampagne namens „Poisoned Tenant" zielt direkt auf Cybersicherheitsfirmen ab. Die Täter erstellen gefälschte OpenAI-Organisationen, laden Mitarbeiter über echte OpenAI-Benachrichtigungen ein und hoffen, so an sensible Chat-Daten zu gelangen.
Die Zahlen des Verizon-Sicherheitsberichts 2026 zeigen: 62 Prozent aller Sicherheitsverletzungen haben eine menschliche Komponente. Mit KI wird Phishing zur Massenware – in nur 5 Minuten statt 16 Stunden. Dieser Report liefert die entscheidenden Schutzmaßnahmen. Jetzt kostenlosen Sicherheits-Report anfordern
Die Phishing-as-a-Service-Plattform „Kali365" hat seit April Microsoft-365-Nutzer im Visier. Sie nutzt den Device-Code-Flow, um die Zwei-Faktor-Authentifizierung zu umgehen. Die Behörden empfehlen Unternehmen, diesen Authentifizierungsweg einzuschränken und Mitarbeiter für unerwartete Code-Eingabeaufforderungen zu sensibilisieren.
Geheimdienste im Visier – und die Forschung
CISA und FBI haben am Freitag eine aktualisierte Warnung zu russischen Geheimdienstaktivitäten herausgegeben. Die Täter zielen auf kommerzielle Messaging-Dienste ab. Die Behörden liefern konkrete Abwehrstrategien.
Im Forschungssektor nutzten chinesische Akteure REDCap-Server, um in US-Einrichtungen einzudringen. Mit der Hintertür INFINITERED und manipulierten Google-Workspace-Regeln entwendeten sie sensible E-Mails zu Militär- und Medizinforschung. Die Kampagne blieb über ein Jahr unentdeckt.
In Irland bereiten sich Unternehmen auf die EU-Ratspräsidentschaft ab Juli 2026 vor. PwC-Experten raten zu Null-Vertrauens-Architekturen und Krisenübungen – die Bedrohungslage sei außergewöhnlich hoch.
KI als Jäger und Gejagter
Neue Methoden wie Authentication Laundering umgehen etablierte Schutzmechanismen. Eine aktuelle Kampagne gegen Hotels in Europa und Asien zeigt, wie Angreifer Kalenderdienste missbrauchen. Unternehmen müssen jetzt ihre Authentifizierungsprozesse überprüfen. Sofortmaßnahmen-Guide jetzt sichern
Forscher haben ein neues System zur Erkennung bösartiger URLs entwickelt. Das Modell, eine Hybrid-Architektur aus VAE und CNN, erreichte im Test auf dem PhiUSIIL-Datensatz eine Trefferquote von 94,58 Prozent. Der Vorteil: Es kommt ohne aufwändig gekennzeichnete Trainingsdaten aus.
Bis solche Systeme flächendeckend zum Einsatz kommen, bleibt der beste Schutz die menschliche Vorsicht. Finanzinstitute wie die Chain Bridge Bank und EFCU Financial raten: Zahlungsänderungen immer über unabhängige Kanäle prüfen, niemals Passwörter oder MFA-Codes herausgeben. Kein seriöses Institut fordert solche Daten per Telefon oder E-Mail an.
