Phishing-Welle Juni: Kalendereinladungen als neue Angriffsfalle

Sicherheitsforscher und Aufsichtsbehörden warnen vor einer neuen Generation von Phishing-Angriffen, die digitale Kalendereinladungen und Event-Plattformen als Einfallstor nutzen. Besonders betroffen sind Unternehmen aus Technologie, Telekommunikation und Finanzsektor.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket für Unternehmen gratis herunterladen

Kalender-Fallen: Wenn Einladungen zur Gefahr werden

Seit Ende Mai verzeichnen Sicherheitsexperten einen deutlichen Anstieg von Phishing-Versuchen, die auf gefälschte Microsoft- und Google-Kalendereinladungen setzen. Die Täter nutzen E-Mail-Spoofing, um dringende Besprechungsanfragen zu versenden, die auf den ersten Blick authentisch wirken. Analysten von SecuriTricks zufolge zielen diese Angriffe vor allem auf Fachkräfte in Technologie- und Telekommunikationsunternehmen ab. Technische Indikatoren wie die IP-Adressen und URLs a.insgly.net sowie abramge.com.br wurden mit diesen Kampagnen in Verbindung gebracht.

Parallel dazu warnte die US-Handelsbehörde FTC am 31. Mai und 1. Juni vor einer Welle von Phishing-Betrügereien, die sich als digitale Einladungen von Diensten wie Evite oder Paperless Post tarnen. Die betrügerischen Nachrichten, oft im Gewand von Abschlussfeiern oder saisonalen Veranstaltungen, fordern die Empfänger auf, Passwörter oder Verifizierungscodes einzugeben, um eine Einladung zu öffnen. Die FTC betont: Legitime Einladungsplattformen verlangen niemals Benutzerpasswörter für den Zugriff auf eine Karte.

MFA-Knacker: Spezialwerkzeuge im Umlauf

Die US-Bundespolizei FBI schlug Ende Mai Alarm wegen spezialisierter Werkzeuge, die die Mehrfaktor-Authentifizierung (MFA) umgehen können. Im Fokus steht die Phishing-Plattform Kali365, die seit April 2026 über Telegram verbreitet wird. Das Tool nutzt das Microsoft-Gerätecode-Login-System aus: Opfer werden getäuscht, einen Code auf einer legitimen Microsoft-Seite einzugeben. Dadurch erhalten Angreifer Zugriff auf Outlook, Teams und OneDrive – ganz ohne Passwort.

Diese Entwicklung folgt auf eine koordinierte Aktion von Microsoft und Europol im März 2026, bei der über 300 Domains des Phishing-Kits Tycoon 2FA abgeschaltet wurden. Dieses Kit, seit August 2023 aktiv, nutzte eine Man-in-the-Middle-Technik, um authentifizierte Sitzungstoken von Microsoft Entra ID und Google Workspace zu stehlen.

Signal unter Beschuss: Gezielte Angriffe auf Aktivisten

Besonders perfide: Am 27. Mai wurden gezielte Attacken auf Nutzer des verschlüsselten Messengers Signal bekannt. Journalisten, Aktivisten und Dissidenten standen im Visier. Die Angreifer gaben sich als Signal-Support aus und forderten einen 64-stelligen Wiederherstellungscode – angeblich wegen eines Synchronisationsproblems. Meredith Whittaker, Präsidentin von Signal, bestätigte, dass das Unternehmen an Gegenmaßnahmen arbeitet. Ihre klare Botschaft: „Signal fragt niemals nach Wiederherstellungscodes."

Quishing und Datenklau: Die neuen Methoden

Im Unternehmensumfeld setzen Angreifer zunehmend auf „Quishing" – Phishing über QR-Codes. Ende Mai wurden Kampagnen mit gefälschten HR-E-Mails zu Mitarbeitergesprächen bekannt. Die Nachrichten enthalten QR-Codes, die zu Datendiebstahl-Seiten führen. Sicherheitsexperten warnen vor generischen Anreden und künstlicher Dringlichkeit, die Mitarbeiter zum unbedachten Scannen drängen sollen.

Die Folgen erfolgreicher Social-Engineering-Angriffe zeigen sich in aktuellen Datenlecks. Am 29. Mai wurden Informationen aus einem früheren Einbruch bei Charter Spectrum veröffentlicht. Der Vorfall, ausgelöst durch einen Vishing-Anruf (Sprach-Phishing) bei einem Mitarbeiter am 1. April 2026, führte zum Abfluss von rund 42 Millionen Datensätzen – betroffen sind etwa 4,9 Millionen Kunden.

PureLogs: Schadsoftware tarnt sich als Bestellung

Am 1. Juni identifizierte FortiGuard Labs eine Malware-Kampagne, die den Datendieb „PureLogs" über gefälschte Bestell-E-Mails verbreitet. Die schädlichen Anhänge, getarnt als RAR-Archive, nutzen dateilose Ausführungstechniken, um der Erkennung zu entgehen. Im Visier: Browserdaten, Kryptowährungs-Wallets und VPN-Zugangsdaten.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal ist der Wechsel auf moderne Sicherheitsstandards für den Schutz privater Daten unerlässlich. Dieser kostenlose Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und Passwort-Stress beenden. Jetzt kostenlosen Passkey-Guide herunterladen

Sicherheitsexperten empfehlen Unternehmen, den Gerätecode-Authentifizierungsfluss einzuschränken und auf phishing-resistente MFA-Methoden wie FIDO2 oder Passkeys zu setzen. Denn eines zeigt der aktuelle Trend deutlich: Die Angreifer werden immer kreativer – und die Abwehr muss Schritt halten.

de | wissenschaft | 69463858 |