Phishing 2026: ClickFix und BitB knacken selbst MFA-Schutz
23.06.2026 - 07:25:19 | boerse-global.de
Cyberkriminelle setzen zunehmend auf raffinierte Methoden, um selbst mehrstufige Authentifizierungsverfahren (MFA) zu knacken. Aktuelle Sicherheitsberichte aus dem Juni 2026 zeigen eine alarmierende Entwicklung: Angreifer konzentrieren sich nicht mehr auf technische Schwachstellen, sondern auf die Identität der Nutzer selbst. Große Sportereignisse wie die bevorstehende Fußball-WM 2026 werden gezielt für Betrugskampagnen genutzt.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Anti-Phishing-Paket jetzt gratis anfordern
Neue Angriffsmethoden im Detail
Sicherheitsforscher von Huntress haben vier moderne Phishing-Verfahren identifiziert, die herkömmliche Schutzmechanismen aushebeln. Besonders perfide ist die sogenannte „ClickFix“-Methode: Opfer werden durch gefälschte CAPTCHA-Abfragen dazu gebracht, schädlichen Code direkt in der Systemkonsole auszuführen – und das mit simplen Tastenkombinationen.
Die „Browser-in-the-Browser“-Technik (BitB) geht noch einen Schritt weiter. Hier täuschen gefälschte Pop-up-Fenster täuschend echte Anmeldebildschirme vor – inklusive korrekter URL und Sicherheitssymbolen. Selbst geübte Nutzer erkennen den Betrug kaum.
Zwei weitere Verfahren setzen auf die Aushebelung von Autorisierungsprozessen: Bei „ConsentFix“ werden Nutzer manipuliert, bösartige OAuth-Anwendungen zu genehmigen. Beim Device-Code-Phishing kapern Angreifer legitime Microsoft-Autorisierungsseiten, um ihre eigenen Geräte mit fremden Konten zu verbinden.
Phishing als Dienstleistung
Die „EvilTokens“-Kampagne zeigt, wie professionell die Branche inzwischen organisiert ist. Als Phishing-as-a-Service-Angebot nutzt sie Marken wie Microsoft 365, Adobe und DocuSign als Köder. Das Ziel: sogenannte Refresh-Tokens stehlen, die selbst nach einem Passwortwechsel aktiv bleiben. Ein Albtraum für jeden Sicherheitsverantwortlichen.
Soziale Netzwerke im Visier
Die Anti-Phishing Working Group (APWG) meldet für das erste Quartal 2026 einen deutlichen Anstieg von Phishing-Angriffen über soziale Medien. 43,8 Prozent dieser Bedrohungen entfallen auf Identitätsdiebstahl durch gefälschte Profile, weitere 27,1 Prozent auf klassische Betrugsmaschen.
Die Angreifer werden dabei immer cleverer: Sie setzen Geo-Blocking und IP-Filter ein, sodass schädliche Inhalte nur für bestimmte Zielgruppen sichtbar werden – etwa für Nutzer, die über Google-Suche oder TikTok-Links kommen.
WhatsApp und WM-Betrug
Kaspersky-Forscher deckten im Juni eine großangelegte Malware-Kampagne gegen WhatsApp-Nutzer auf. Besonders betroffen: Malaysia, Brasilien und Singapur. Die Täter verschicken über kompromittierte Accounts getarnte VBScript-Dateien, die wie Rechnungen oder Kontoauszüge aussehen.
Parallel dazu wurden über 336 betrügerische Websites rund um die FIFA-WM 2026 identifiziert. Mit KI-generierten Inhalten locken die Betreiber zu gefälschten Streaming-Plattformen und Wettangeboten.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Zum kostenlosen Anti-Phishing-Report
Dramatische Lage im asiatisch-pazifischen Raum
Ein INTERPOL-Bericht für den Zeitraum 2025/2026 zeichnet ein düsteres Bild: In mehr als der Hälfte der Länder der Asien-Pazifik-Region macht Cyberkriminalität inzwischen 30 Prozent aller registrierten Straftaten aus. Die Phishing-Klickrate liegt dort bei 5,5 pro 1.000 Nutzer – fast doppelt so hoch wie der globale Durchschnitt von 2,9.
Die menschlichen Folgen zeigen sich in Südkorea: Am 20. Juni übernahm die Polizei von Seoul die Ermittlungen zum Tod einer Mutter und ihres Sohnes. Die Behörden gehen davon aus, dass die beiden Opfer eines Voice-Phishing-Betrugs wurden, bei dem 50 Millionen Won (etwa 35.000 Euro) erbeutet wurden. Nur fünf Tage zuvor verhinderte die Polizei in Goyang, dass ein älteres Ehepaar 1,5 Milliarden Won (rund 1,05 Millionen Euro) an falsche Staatsanwälte verlor.
Die Industrie schlägt zurück
Am 22. Juni brachte Barracuda einen KI-gestützten E-Mail-Schutzdienst auf den Markt, der täglich rund 1,5 Milliarden URLs analysiert. Die Dringlichkeit ist enorm: Laut den Beobachtungen des firmeneigenen Red Teams kann eine einzige Phishing-Mail innerhalb weniger Minuten zur vollständigen Kontokompromittierung führen – inklusive MFA-Umgehung.
Sicherheitsexperten betonen, dass jüngste Großangriffe, etwa durch die Gruppe ShinyHunters, vor allem Schwachstellen in SaaS-Integrationen und vertrauenswürdigen Zugriffspfaden ausnutzen. Nicht die Plattformen selbst sind verwundbar, sondern Fehlkonfigurationen und gestohlene OAuth-Tokens. Die Botschaft ist klar: Der Schutz der Identität muss zur obersten Priorität werden.
