Neue Cyberwelle: 35.000 MFA-Umgehungen in 26 Ländern

Im Zentrum: gefälschte Compliance-Mails, die die Multi-Faktor-Authentifizierung (MFA) aushebeln.

So funktionieren die AiTM-Angriffe

Mitte April entdeckten Microsoft-Forscher eine global koordinierte Kampagne. Die Angreifer verschickten täuschend echte E-Mails mit dem Betreff „Code of Conduct“. Die Empfänger sollten neue Compliance-Vorgaben bestätigen.

Rund 35.000 Nutzer in 26 Ländern waren betroffen. 92 Prozent der Opfer sitzen in den USA, besonders im Gesundheitswesen und Finanzsektor.

Die Methode: Adversary-in-the-Middle (AiTM). Die Kriminellen schalten einen Proxy zwischen Nutzer und Login-Dienst. Gibt der Anwender seine Zugangsdaten und den MFA-Code ein, fangen die Angreifer das Authentifizierungs-Token ab. Sie übernehmen die Identität, ohne Passwort oder zweiten Faktor dauerhaft zu kontrollieren.

Banking, PayPal und private Nachrichten – auf keinem Gerät sind unsere Daten so gefährdet wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen jetzt kostenlos entdecken

Die Hintermänner nutzten legitime Cloud-Dienste für den Mailversand. So umgingen sie herkömmliche Sicherheitsfilter.

Das Problem ist größer: Im ersten Quartal 2026 registrierte Microsoft 8,3 Milliarden Phishing-Bedrohungen via E-Mail. Besonders Business Email Compromise (BEC) legte zu – 10,7 Millionen Fälle. Auch Amazon Simple Email Service (SES) missbrauchen Angreifer zunehmend.

Quishing: 146 Prozent Wachstum in zwei Monaten

Mobile Geräte rücken über neue Wege in den Fokus. „Quishing“ – Phishing per QR-Code – explodiert regelrecht. Im Januar 2026 gab es 7,6 Millionen Vorfälle. Im März waren es 18,7 Millionen. Das entspricht einem Plus von 146 Prozent.

Die US-Verbraucherschutzbehörde FTC warnt vor einer Masche: Gefälschte SMS über angebliche Verkehrsverstöße enthalten QR-Codes. Die führen zu Phishing-Seiten, die Kreditkartendaten und persönliche Informationen abgreifen.

Die Professionalisierung zeigt sich in einer industriellen Lieferkette: Phishing-as-a-Service. Experten schätzen die jährlichen Verluste durch Mobilbetrug auf 80 Milliarden US-Dollar. Ein Branchenpanel wies Ende April darauf hin, dass SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ein Hauptziel bleibt.

Kritische Lücken in Android und WhatsApp

Anfang Mai veröffentlichte Google sein Sicherheitsbulletin für Android. Die kritische Schwachstelle CVE-2026-0073 in der Systemkomponente „adbd“ ermöglicht Remotecodeausführung ohne Nutzerinteraktion (Zero-Click). Betroffen: Android 14, 15 und 16. Google empfiehlt dringend den Patch-Level 2026-05-01.

Auch WhatsApp schloss zwei Lücken. CVE-2026-23866 betrifft manipulierte Nachrichten, die Medien von bösartigen URLs laden. CVE-2026-23863 ermöglicht Datei-Spoofing in der Windows-Version. Laut Meta gibt es bisher keine Hinweise auf aktive Ausnutzung.

Cisco Talos identifizierte zudem die Schadsoftware „CloudZ“. Der seit Januar 2026 aktive Trojaner kapert die Microsoft Phone Link App auf Windows-PCs. So greifen Angreifer SMS-Nachrichten und Einmal-Passwörter direkt aus der lokalen Datenbank ab. Die Verbreitung läuft oft über gefälschte Software-Updates.

Ein veraltetes System ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre persönlichen Daten abgesehen haben. Erfahren Sie in diesem Gratis-Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Gerät rund um die Uhr schützen. Kostenlosen Android-Update-Ratgeber herunterladen

Die nordkoreanische Hackergruppe ScarCruft (APT37) kompromittierte Gaming-Plattformen. Über manipulierte Spiele installieren sie Backdoors auf Windows- und Android-Geräten – mit Audioaufnahmen und Dokumentendiebstahl.

Die Industrie schlägt zurück

Google hat seine Belohnungen für Sicherheitsforscher drastisch erhöht. Bis zu 1,5 Millionen US-Dollar gibt es für Zero-Click-Exploits gegen den Titan M2-Sicherheitschip auf Pixel-Geräten.

Der Netzbetreiber EE erweiterte seinen „Scam Guard“-Dienst. In Kooperation mit Norton scannen KI-Systeme nun E-Mails, SMS und Webinhalte in Echtzeit auf Betrug. 169 Millionen Betrugsversuche wurden bereits blockiert.

Auf der Display Week 2026 präsentierte Samsung Display neue OLED-Panels mit integrierten Puls- und Blutdrucksensoren. Sie bieten auch Privacy-Funktionen, die seitliche Blicke unterbinden.

Das Harvard Applied Social Media Lab stellte „Keyring“ vor – ein Open-Source-Wallet, das biometrische Daten ausschließlich lokal speichert.

Die Grenzen zwischen Desktop und Mobile verschwimmen

Cyberkriminelle verschieben ihre Strategien weg von Massenware hin zu hochspezialisierten Angriffen. Compliance-Themen zeigen: Social Engineering bleibt zentral. Dass AiTM-Techniken zunehmen, belegt: Herkömmliche MFA-Apps gelten nicht mehr als unüberwindbar.

Die Zunahme von Quishing und die Ausnutzung von System-Schnittstellen wie Microsoft Phone Link zeigen: Desktop- und mobile Sicherheit verschmelzen. Angreifer nutzen die Synchronisation zwischen Geräten gezielt aus. Unternehmen müssen daher die gesamte Interaktion zwischen Plattformen absichern.

Was kommt: KI auf beiden Seiten

Für die kommenden Monate erwarten Experten mehr KI-Integration – auf Angreifer- und Verteidigerseite. Kriminelle nutzen KI für authentischere Phishing-Nachrichten und automatisierte Variationen. Anbieter wie Norton und Google setzen auf KI-basierte Echtzeit-Analysen.

Nächste Woche bringt Apple iOS 26.5. Das Update führt Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhones und Android-Geräten ein. Das könnte die mobile Kommunikation signifikant sicherer machen.

Doch die größte Schwachstelle bleibt der Mensch. Experten fordern neben technischen Updates kontinuierliche Sensibilisierung der Mitarbeiter – besonders für neue Maschen wie gefälschte Compliance-Vorgaben.

de | wissenschaft | 69283101 |