Phishing-Alarm: 1.300 Prozent mehr Deepfake-Betrugsfälle
01.07.2026 - 08:47:01 | boerse-global.de
Ende Juni 2026 verzeichnen sie eine signifikante Zunahme hochprofessioneller Phishing-Angriffe. Dabei stehen die Umgehung von Multi-Faktor-Authentifizierungen, der Diebstahl von Messenger-Backups und kritische Sicherheitslücken in Unternehmenssoftware im Fokus.
Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entfallen mittlerweile mehr als 50 Prozent des gesamten E-Mail-Aufkommens auf Spam und Phishing-Versuche. Besonders besorgniserregend: Die Skalierung durch Künstliche Intelligenz. Berichte deuten auf einen Anstieg von Deepfake-Betrugsfällen um etwa 1.300 Prozent hin.
MFA-Bypass: Neue Plattform „Kali365“ im Visier des FBI
Ein zentrales Werkzeug der Angreifer ist die neue Phishing-Plattform „Kali365“. Sie wird als „Phishing-as-a-Service“ vertrieben und ermöglicht es, die Multi-Faktor-Authentifizierung (MFA) von Microsoft-365-Konten zu umgehen. Die Methode: Angreifer missbrauchen das Device-Code-Login-Verfahren, um OAuth-Tokens zu entwenden. FBI und CISA bringen diese Aktivitäten mit russischen Gruppierungen in Verbindung.
Parallel dazu hat die US-Regierung Ende Juni eine Belohnung von bis zu 10 Millionen US-Dollar für Hinweise auf die Gruppierungen UNC5792 und UNC4221 ausgelobt. Diese Akteure sollen dem russischen Geheimdienst FSB und dem Militär angehören. Ihr Ziel: Signal- und WhatsApp-Konten von Regierungsmitarbeitern, Journalisten und Diplomaten.
Die neue Angriffsmethode setzt auf Social Engineering. Täter bringen Nutzer dazu, ihre Backup-Wiederherstellungsschlüssel preiszugeben. Mit diesen Schlüsseln übernehmen Angreifer die vollständige Kontrolle über die Chat-Historie. Die Kompromittierung bleibt auch nach einer Neuinstallation des Kontos bestehen.
Rekord-Schäden durch Phishing zeigen, wie verwundbar die digitale Kommunikation in Unternehmen geworden ist. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen wirksam absichern und Mitarbeiter für die neuesten Angriffstaktiken sensibilisieren. Kostenlosen Phishing-Schutz-Ratgeber jetzt herunterladen
Oracle-Lücke: Angriffe auf Zahlungsdienstleister
Seit dem Wochenende des 27. und 28. Juni 2026 beobachten Sicherheitsexperten aktive Angriffe auf eine kritische Sicherheitslücke in der Oracle E-Business Suite (Oracle Payments). Die Schwachstelle mit der Kennung CVE-2026-46817 weist einen kritischen CVSS-Score von 9,8 auf. Sie ermöglicht unauthentifizierten Angreifern die vollständige Systemübernahme. Oracle stellte bereits im Mai 2026 Patches bereit, doch Honeypot-Beobachtungen zeigen eine anhaltende Ausnutzung der Lücke.
Im Privatkundensegment dominieren aktuell „Quishing“-Kampagnen – Phishing via QR-Code. Betrüger versenden gefälschte Briefe im Namen großer Institute wie der Deutschen Bank oder der Easybank. Der Vorwand: eine photoTAN-Reaktivierung. Kunden werden auf gefälschte Login-Seiten gelockt. Zudem kursieren betrügerische E-Mails, die Rabatte auf Monatsabrechnungen von Anbietern wie PayLife, Klarna oder SumUp versprechen.
Angesichts immer neuer Cyberrisiken und gesetzlicher Anforderungen müssen Unternehmen heute proaktiver denn je handeln. Das Gratis-E-Book „Cyber Security Awareness Trends“ enthüllt, wie Sie Sicherheitslücken ohne teure Investitionen schließen und Ihre IT langfristig schützen. Jetzt kostenloses Cyber-Security E-Book sichern
Neue Regeln gegen Spoofing – und was Bankkunden wissen müssen
Die wirtschaftlichen Schäden durch Business E-Mail Compromise (BEC) beliefen sich 2025 auf rund 2,8 Milliarden Euro. Behörden verschärfen daher die Gangart. In der Schweiz traten zum 1. Juli 2026 neue Regelungen gegen Spoofing in Kraft. Sie sollen die Fälschung von Absenderkennungen erschweren.
In Deutschland konkretisierte die Rechtsprechung zuletzt die Haftungsfragen bei Online-Banking-Betrug. Gemäß § 675u BGB sind Banken grundsätzlich zur unverzüglichen Erstattung nicht autorisierter Zahlungen verpflichtet – sofern dem Kunden keine grobe Fahrlässigkeit nachzuweisen ist. Ein Urteil des Bundesgerichtshofs aus dem Jahr 2025 verdeutlichte jedoch: Die mehrfache Freigabe von Transaktionen während ungewöhnlicher Telefonate mit vermeintlichen Bankmitarbeitern kann als grob fahrlässig eingestuft werden.
Experten raten Unternehmen zur konsequenten Umsetzung des Vier-Augen-Prinzips und zur Einschränkung der Device-Code-Authentifizierung. Privatpersonen sollten QR-Codes nur aus gesicherten Quellen scannen und Backup-Keys für Messenger-Dienste niemals an Dritte weitergeben. Bei Verdacht auf Kontomissbrauch: sofortige Sperrung über den Notruf 116 116 und polizeiliche Anzeige.
