Microsoft schafft SMS-Codes ab: Passkeys ab sofort Standard

Hacker umgehen Zwei-Faktor-Authentifizierung – Google warnt vor neuer Bedrohung aus China.

Sicherheitsforscher beobachten einen fundamentalen Wandel in der Taktik chinesischsprachiger Cyberkrimineller. Statt Passwörter zu stehlen, fangen sie Anmeldedaten in Echtzeit ab. Das berichtet die Google Threat Intelligence Group (GTIG) in einem aktuellen Report vom 25. Mai 2026. Die sogenannten Phishing-as-a-Service-Anbieter (PhaaS) setzen dabei auf Live-Interception und Token-Manipulation. Das macht selbst die mehrstufige Authentifizierung (MFA) zunehmend wirkungslos – ein Alarmzeichen für Unternehmen und Privatnutzer gleichermaßen.

Angesichts der Tatsache, dass Cyberkriminelle zunehmend sogar die mehrstufige Authentifizierung umgehen, ist der Umstieg auf modernste Sicherheitsstandards wichtiger denn je. Wie Sie die neue, passwortlose Technologie bei Amazon, WhatsApp und Co. einrichten, erfahren Sie in diesem kostenlosen Report. Was hinter Passkeys steckt und wie Sie diese sofort nutzen

Die Darcula-Plattform: KI-gestützte Phishing-Fabrik

Die Entwicklung markiert einen Bruch mit alten Methoden. Statt statischer Phishing-Seiten setzen die Angreifer auf dynamische, KI-generierte Fallen. Im Zentrum steht die Plattform Darcula – von Forschern auch als UNC5814 bezeichnet. Sie erstellt automatisch einzigartige Phishing-Seiten, die von Sicherheitstools kaum noch erkannt werden.

Die Verteilung läuft nicht mehr über klassische SMS, sondern über RCS und iMessage. Die Täter nutzen das Vertrauen der Nutzer in diese vermeintlich sicheren Kanäle. Einmal geklickt, werden Einmalpasswörter (OTPs) und Sitzungstoken in Echtzeit abgefangen. Die Angreifer loggen sich zeitgleich in die Konten ihrer Opfer ein – als wäre MFA nie aktiviert gewesen.

Die Gruppen agieren global. Eine Plattform namens YY Lai Yu ist seit 2024 aktiv und unterstützt Phishing-Operationen in 119 Ländern. Allein für Japan bietet sie über 400 verschiedene Vorlagen an – oft getarnt als Seiten für Stromzuschüsse oder Treueprogramme.

Microsoft zieht Konsequenzen: SMS-Authentifizierung wird abgeschafft

Die Bedrohung ist real – und die Tech-Branche reagiert. Microsoft kündigte am 26. Mai 2026 an, die SMS-Codes für persönliche Konten schrittweise abzuschaffen. Der Konzern begründet den Schritt mit der zunehmenden Gefahr von SIM-Swapping, Routing-Angriffen und Abhörmanövern.

Stattdessen setzt Microsoft auf biometrische Verfahren und FIDO2-konforme Passkeys. Die interne Bilanz spricht für sich: Passwortlose Logins erreichen eine Erfolgsquote von 95 Prozent und sind rund 14-mal schneller als die Kombination aus Passwort und SMS-Code. Der Trend zur sogenannten „Zero-Footprint-Authentifizierung" gewinnt an Fahrt.

Parallel dazu verzeichnet Prosegur Cybersecurity einen explosionsartigen Anstieg von „Device-Code-Phishing". Die Methode verzeichnete zwischen 2024 und 2026 einen Anstieg um das 37-Fache. Dabei werden Nutzer dazu gebracht, legitime Codes auf betrügerischen Websites einzugeben – mit verheerenden Folgen: Angreifer erhalten Zugriff, der Wochen oder Monate anhalten kann.

Da herkömmliche SMS-Codes und Passwörter immer häufiger von Hackern abgefangen werden, stellen Experten auf sicherere Alternativen um. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie Ihre Konten mit der neuesten Methode schützen und gleichzeitig den lästigen Passwort-Stress beenden. Nie wieder Passwörter merken: Jetzt kostenlose Anleitung sichern

Staatliche Hacker: Die Lazarus-Gruppe und der 6-Milliarden-Dollar-Coup

Während chinesische PhaaS-Netzwerke auf Massenabgreifer zielen, setzen staatlich gelenkte Gruppen auf hochwertige Ziele. Die mit Nordkorea verbundene Lazarus-Gruppe nutzt einen speziellen Remote-Access-Trojaner namens RemotePE, der ausschließlich im Arbeitsspeicher läuft.

Die Masche: Über Telegram werden Opfer mit gefälschten Terminlinks von Diensten wie Calendly oder Picktime geködert. Ein Klick genügt – der Schadcode läuft im Speicher ab und hinterlässt kaum Spuren auf der Festplatte. Die finanzielle Dimension ist enorm: Allein 2026 sollen die Hacker rund 577 Millionen US-Dollar in Kryptowährungen erbeutet haben – das entspricht etwa 76 Prozent aller weltweiten Krypto-Diebstähle dieses Jahres. Seit 2017 summiert sich die Beute auf rund sechs Milliarden US-Dollar.

Auch die APT-Gruppe Cloud Atlas ist aktiv. Sie manipuliert Systemdateien, um mehrere parallele Remote-Desktop-Sitzungen zu ermöglichen. So bleiben Angreifer unentdeckt, während legitime Nutzer weiterarbeiten.

Sicherheitslücken in japanischer Bildungssoftware

Nicht nur Social Engineering, auch klassische Softwarelücken werden ausgenutzt. Die kritische Schwachstelle CVE-2026-5426 im japanischen Lernmanagementsystem KnowledgeDeliver wird aktiv angegriffen. Harte-codierte Schlüsselwerte erlauben unbefugte Codeausführung aus der Ferne.

Seit Ende 2025 installieren Angreifer damit Webshells wie BLUEBEAM (auch bekannt als Godzilla) und Cobalt-Strike-Backdoors. Die Angriffsmuster deuten auf chinesischsprachige APT-Gruppen wie APT41 oder finanziell motivierte kriminelle Organisationen hin. Besonders betroffen: japanische Bildungseinrichtungen und Unternehmen.

Die neue Normalität: Phishing als Dienstleistung

Die Bedrohungslandschaft hat sich industrialisiert. Cofense meldet für das erste Quartal 2024 einen Anstieg von Man-in-the-Middle-Phishing um 35 Prozent im Vergleich zum Vorjahr. 94 Prozent dieser Angriffe zielten auf Microsoft O365-Nutzer ab.

Phishing-as-a-Service senkt die Einstiegshürde drastisch. Selbst weniger versierte Kriminelle können heute hochkomplexe Werkzeuge mieten, die MFA umgehen. Die Kommodifizierung von Angriffsfähigkeiten bedeutet: Auch kleinere Organisationen müssen sich gegen Bedrohungen wappnen, die früher nur staatlichen Gruppen vorbehalten waren.

KI-generierte Phishing-Inhalte, wie sie die Darcula-Plattform produziert, machen traditionelle Blacklists zunehmend wirkungslos. Internationale Strafverfolgungsbehörden schlagen Alarm: Das nepalesische Zentralermittlungsbüro warnte im Mai vor einer Welle von Diebstählen über manipulierte mobile Apps. Der brasilianische Bankenverband Febraban kündigte für Anfang Juni Warnungen vor einer ausgeklügelten Spoofing-Masche an, bei der Kriminelle sich als Bankmanager ausgeben.

Ausblick: Der Wettlauf um die sichere Authentifizierung

Die Ära der SMS-basierten Authentifizierung neigt sich dem Ende zu. Die Branche setzt auf passkeys und FIDO2-Standards – hardwaregestützte Verfahren, die sich kaum abfangen oder phishen lassen.

Doch die Angreifer passen sich an. KI-gestützte Malware und SEO-Vergiftung, wie sie die Iran-gruppe Nimbus Manticore in ihrer jüngsten Operation „Epic Fury" einsetzte, zeigen: Der Kampf um die Zugangsdaten wird auf immer komplexeren Schlachtfeldern ausgetragen. Unternehmen müssen über einfache MFA hinausdenken und auf phishing-resistente Verfahren setzen – bei gleichzeitiger Überwachung speicherresidenter Bedrohungen und unbefugter Konfigurationsänderungen auf kritischen Servern.

de | wissenschaft | 69424315 |