Phishing-as-a-Service: FBI warnt vor Kali365-Plattform

Sie kombinierten den sogenannten „Gmail Dot Trick“ mit HTML-Injection – und erzeugten täuschend echte System-Mails.

Google ignoriert Punkte im Namensbestandteil einer Gmail-Adresse. Viele Webdienste behandeln solche Varianten aber als unterschiedliche Identitäten. Die Angreifer erstellten zahlreiche Konten, deren Adressen sich nur durch die Punkt-Platzierung unterschieden. In das Feld für den Gerätenamen injizierten sie HTML-Code.

Der aktuelle Vorfall zeigt, wie raffiniert Cyberkriminelle psychologische Tricks und technische Lücken kombinieren, um Unternehmen zu schaden. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten effektiv vor solchen Angriffen schützen. Kostenlosen Leitfaden für Unternehmen jetzt herunterladen

Die Folge: Robinhood versendete automatisierte Benachrichtigungen an die hinterlegten Adressen – mit dem injizierten Code. Weil die Mails von den offiziellen Servern stammten, passierten sie gängige Sicherheitsstandards wie SPF, DKIM und DMARC.

Kein Systemeinbruch, aber ein Trend

Robinhood bestätigte den Missbrauch des Kontoerstellungs-Prozesses. Ein Einbruch in interne Systeme habe nicht stattgefunden. Kundendaten oder finanzielle Mittel seien nicht betroffen gewesen.

Der Vorfall reiht sich in einen besorgniserregenden Trend ein. Im ersten Quartal 2026 verursachten Phishing-Angriffe bereits Schäden von rund 306 Millionen US-Dollar.

Neben technischen Schwachstellen nutzen Hacker immer häufiger psychologische Manipulationstaktiken wie CEO-Fraud, um Mitarbeiter zu täuschen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie diese frühzeitig entlarven. Gratis-Report über aktuelle Hacker-Methoden sichern

FBI warnt vor Phishing-as-a-Service

Am 2. Juni 2026 warnte das FBI vor der Plattform „Kali365“. Der seit April aktive Dienst zielt auf Microsoft-365-Konten ab. Er nutzt gestohlene OAuth-Tokens, um die Multi-Faktor-Authentifizierung zu umgehen. Betroffen sind Organisationen im Gesundheitswesen, Finanzsektor und Bildungsbereich. Die Schäden durch solche Aktivitäten belaufen sich seit Januar 2025 auf über 240 Millionen Euro.

Auch Messenger-Dienste werden zunehmend Ziel professioneller Betrugsversuche. Eine Kaspersky-Untersuchung zeigt: Der durchschnittliche Schaden bei Messenger-Betrug liegt in Deutschland bei 1.180 Euro – fast doppelt so hoch wie der globale Schnitt von 630 Euro. Ein signifikanter Anteil der Opfer reagiert innerhalb von nur 30 Minuten auf die betrügerischen Nachrichten.

KI treibt die Professionalisierung

CrowdStrike-Analysten beobachten einen massiven Anstieg KI-gestützter Angriffe – plus 89 Prozent im Jahresvergleich. Ein aktueller Cloud-Sicherheitsbericht zeigt: 78 Prozent der Unternehmen meldeten Sicherheitsvorfälle im Zusammenhang mit KI.

Anfang Juni wurde zudem eine Schwachstelle bei Meta bekannt. Ein KI-Chatbot für Supportanfragen ermöglichte Angreifern zeitweise die Kontroll-Übernahme von Instagram-Konten. Durch VPN-Manipulation von Standortdaten veranlassten sie den Chatbot, Passwort-Reset-Codes an neue E-Mail-Adressen zu senden. Meta hat die Lücke inzwischen geschlossen.

Sicherheitsforscher demonstrierten parallel die Leistungsfähigkeit moderner KI: Das Modell „Mythos“ identifizierte innerhalb kürzester Zeit über 1.700 Schwachstellen in Open-Source-Projekten. Der Handlungsdruck für Unternehmen beim Patch-Management wächst damit weiter.

de | wissenschaft | 69471324 |