Smishing-Welle rollt über zwölf Länder: Cyberkriminelle industrialisieren ihre Angriffe

Sicherheitsforscher und Polizeibehörden weltweit schlagen Alarm.

Koordinierte Kampagnen mit automatisierten Plattformen und ausgefeiltem Social Engineering zielen auf Verbraucher und Unternehmen gleichermaßen. Die Industrialisierung der Cyberkriminalität beschleunigt sich rasant – mit Themen von angeblichen Mautschulden über gefälschte Regierungsbescheide bis hin zu kompromittierten Entwickler-Tools.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Operation Road Trap: 79.000 betrügerische SMS in zwölf Ländern

Sicherheitsanalysten von Bitdefender Labs haben eine massive Smishing-Kampagne namens Operation Road Trap aufgedeckt. Seit Ende 2025 aktiv, erreichte sie im April 2026 neue Höchststände. Die Täter verschickten über 79.000 einzigartige betrügerische Textnachrichten in zwölf Ländern – mit rund 40 verschiedenen Varianten.

Das Ziel: Empfänger auf gefälschte Zahlungsseiten locken oder Schadsoftware unterschieben. Der Vorwand: angeblich unbezahlte Mautgebühren oder Verkehrsverstöße.

In den USA geben sich die Betrüger als regionale Mautbetreiber wie E-ZPass oder SunPass aus. In Australien imitieren sie den Dienst Linkt in New South Wales, Victoria und Queensland. Europa ist ebenfalls betroffen: In Frankreich nutzen die Täter den Mautdienst ULYS als Maske, in Irland, Großbritannien und Neuseeland geben sie sich sogar als Polizei oder Justizministerium aus.

Die Polizei im US-Bundesstaat Iowa warnte am 29. April vor Nachrichten, die angeblich vom Verkehrsministerium stammen. Sie drohen mit der sofortigen Führerscheinsperre, wenn eine angebliche Strafe nicht über einen Link bezahlt wird. Parallel dazu warnte die Polizei in Connecticut vor ähnlichen SMS, die die Staatspolizei imitieren.

Die Behörden stellen klar: Keine Behörde fordert per SMS Zahlungen für Strafzettel an. Bürger sollen solche Nachrichten löschen – ohne auf Links zu klicken.

FOMO als Einfallstor: Gefälschte Party-Einladungen

Eine neue Welle von Phishing-Angriffen, die ebenfalls am 29. April identifiziert wurde, nutzt die Angst, etwas zu verpassen. Die Täter verschicken gefälschte Einladungen zu Partys und imitieren dabei Plattformen wie Evite, Punchbowl oder Paperless Post.

Zwei Varianten sind im Umlauf: Eine liefert Schadsoftware über kaputte oder bösartige Links aus. Die andere führt auf eine Seite, die Zugangsdaten für E-Mails- oder Social-Media-Konten stiehlt.

Paperless Post hat das Problem erkannt und bittet Nutzer, verdächtige Einladungen an das Sicherheitsteam zu melden. Besonders perfide: Werden die Zugangsdaten eines Nutzers gestohlen, verschicken die Angreifer von dessen echtem Konto aus weitere Einladungen an den gesamten Kontaktverteiler. Das erhöht die Glaubwürdigkeit der Masche enorm.

Auch Berufsverbände sind im Visier. Die American Land Title Association (ALTA) warnte am 29. April vor Phishing-Mails, die wie offizielle Mitgliederkommunikation aussehen. Sie enthalten Links zu angeblichen Prüfdokumenten – die in Wirklichkeit Schadsoftware installieren.

SAP-Ökosystem im Visier: Entwickler als Zielscheibe

Besonders besorgniserregend: Die Angreifer zielen zunehmend auf spezialisierte Berufsgruppen. Bereits Anfang April entdeckten Forscher bösartige npm-Pakete, die auf SQLite- und Postgres-Dienste abzielten. Diese Pakete waren darauf ausgelegt, Entwickler-Zugangsdaten zu stehlen – ein gezielter Angriff auf das SAP-Ökosystem und ähnliche Entwicklungsumgebungen.

Europol warnt: KI treibt die Industrialisierung der Kriminalität

Die aktuelle Welle fällt mit einer grundlegenden Verschiebung der globalen Cyberkriminalität zusammen. Der Europol IOCTA-Bericht 2026, veröffentlicht am 28. April, zeigt einen deutlichen Trend zur Industrialisierung.

Kriminelle Gruppen nutzen zunehmend Künstliche Intelligenz, um Betrug zu automatisieren und ihre Operationen zu skalieren. Die Folgen sind messbar: Die Zahl der weltweit geleakten Konten hat sich im ersten Quartal 2026 im Vergleich zum Vorjahreszeitraum verdreifacht.

Allein auf den Philippinen wurden im ersten Quartal 2026 über 624.400 geleakte Nutzerkonten registriert – ein Anstieg von 76,8 Prozent gegenüber dem Schlussquartal 2025. Analysten führen diese Explosion auf den Einsatz von KI-Tools zurück, die effizientere Account-Übernahmen und überzeugendere Phishing-Inhalte ermöglichen.

Angesichts der rasanten Zunahme von Datenleaks und Hackerangriffen ist der Schutz privater Accounts wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten effektiv gegen Cyberkriminelle absichern. Kostenlosen Sicherheits-Ratgeber herunterladen

Ransomware im Wandel: Vect 2.0 löscht Daten statt zu verschlüsseln

Der Europol-Bericht dokumentiert auch einen Wandel in der Ransomware-Landschaft. Während die klassische Dateiverschlüsselung weiterhin eine Bedrohung darstellt, verlagern sich viele Täter auf reine Datendiebstähle und Erpressung.

Ein Beispiel ist die neue Vect 2.0 Ransomware-as-a-Service (RaaS)-Plattform. Eine Analyse von Check Point Research zeigt: Vect 2.0 fungiert oft eher als Datenvernichter denn als Wiederherstellungswerkzeug. Ein kritischer Fehler in der Verschlüsselungsimplementierung verhindert die erfolgreiche Wiederherstellung von Dateien, die größer als 128 Kilobyte sind. Das bedeutet: Opfer, die Lösegeld zahlen, bekommen ihre Daten trotzdem nicht zurück.

Vect hat kürzlich Partnerschaften mit anderen Gruppen wie TeamPCP geschlossen, um Lieferkettenangriffe auf Sicherheits- und Entwicklungstools durchzuführen.

Supply-Chain-Angriffe: Sicherheitsfirmen selbst betroffen

Selbst hochkarätige Sicherheitsfirmen sind nicht immun. Checkmarx bestätigte am 27. April 2026 einen Datenbruch, der auf einen Supply-Chain-Angriff Ende März zurückgeht. Die Angreifer, ebenfalls mit TeamPCP in Verbindung gebracht, kompromittierten Open-Source-Sicherheitstools wie Trivy und KICS, um an GitHub-Repositories zu gelangen und Quellcode sowie API-Schlüssel zu stehlen. Auch die Kommandozeilenschnittstelle von Bitwarden war betroffen.

Historische Schatten: Malware-Framework Fast16 seit 2005 aktiv

Diese aktuellen Angriffe stehen vor dem Hintergrund langfristiger strategischer Cyberoperationen. Forscher haben ein Malware-Framework namens Fast16 ausgegraben, das bereits 2005 aktiv war. Die Entdeckung legt nahe, dass staatlich gesteuerte Industriesabotage, die hochpräzise technische Simulationen korrumpieren kann, fünf Jahre älter ist als bisher bekannte historische Exploits. Fast16 zielte speziell auf Software für technische Modellierungen ab – ein Hinweis auf das langjährige Interesse von Angreifern an industrieller und strategischer Infrastruktur.

Geopolitische Spannungen im digitalen Raum

Die aktuellen geopolitischen Spannungen setzen sich im digitalen Raum fort. Am 29. April 2026 behauptete die mit dem Iran in Verbindung gebrachte Gruppe Handala, die persönlichen Daten von 2.379 US-Marines in Bahrain veröffentlicht zu haben. Die Gruppe nutzte WhatsApp, um diensthabenden Soldaten Drohnachrichten zu schicken und behauptete, umfangreiche Überwachung durchgeführt zu haben. Bereits im März 2026 hatte die US-Regierung Handala offiziell mit dem iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS) in Verbindung gebracht.

Ausblick: Automatisierung und Vertrauensmissbrauch als Dauerbedrohung

Die Bedrohungslandschaft Mitte 2026 ist geprägt von einem hohen Automatisierungsgrad und der Ausnutzung vertrauenswürdiger Kommunikationskanäle. Angesichts der Flut von Smishing- und Supply-Chain-Angriffen betonen Sicherheitsexperten die Notwendigkeit von Multi-Faktor-Authentifizierung und der unabhängigen Überprüfung aller digitalen Kommunikation.

US-Bundesbehörden arbeiten derzeit unter Hochdruck an einer Frist bis zum 12. Mai 2026. Sie müssen eine kritische Windows-Shell-Sicherheitslücke (CVE-2026-32202) schließen, die Zero-Click-Diebstahl von Zugangsdaten ermöglicht. Die Schwachstelle wurde am 28. April in den CISA-Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen, nachdem Verbindungen zur Gruppe APT28 festgestellt wurden.

Ubuntu 26.10: KI-Features mit Sicherheitsvorkehrungen

Technologieanbieter suchen nach neuen Wegen, Sicherheit mit neuen Technologien zu verbinden. Canonical, der Entwickler von Ubuntu, hat Pläne für die Version 26.10 vorgestellt. Sie wird optionale KI-Funktionen und agentische Workflow-Fähigkeiten enthalten, die über abgeschottete Snap-Pakete bereitgestellt werden.

Doch der Trend zur industrialisierten Cyberkriminalität zeigt: Auch die Angreifer werden weiterhin nach Wegen suchen, KI zu nutzen – um ihre Phishing- und Smishing-Kampagnen noch effektiver und skalierbarer zu machen.

de | wissenschaft | 69262796 |