KI und Cloud-Dienste treiben neue Phishing-Welle voran

Die Bedrohung durch Phishing-Angriffe hat eine neue, gefährliche Stufe erreicht. Kriminelle nutzen zunehmend KI, legale No-Code-Plattformen und verschlüsselte Messenger, um traditionelle Sicherheitsbarrieren zu umgehen. Diese Entwicklung senkt die Einstiegshürde für Cyberkriminalität dramatisch, während der Aufwand für die Abwehr explodiert.

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen. Ein kostenloser Report zeigt, wie Kriminelle fertige Schadprogramme aus dem Netz laden und zuschlagen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

KI und legale Tools im Dienst der Kriminellen

Die aktuelle Welle hochsophistizierter Angriffe wird vor allem durch den Missbrauch legitimer Cloud- und Entwicklungswerkzeuge angetrieben. Ein Bericht vom 24. März 2026 enthüllte eine großangelegte Kampagne, die den KI-Cloud-Dienst Railway für sich nutzte. Über 344 Organisationen weltweit – darunter Behörden, Krankenhäuser, Finanzinstitute und Bauunternehmen – wurden so ins Visier genommen.

Die Täter konzentrierten sich dabei auf den Diebstahl von OAuth-Tokens. Diese Zugangsberechtigungen können bis zu drei Monate gültig bleiben und ermöglichen den Angreifern dauerhaften Zugriff, ohne erneute Anmeldedaten oder 2-Faktor-Authentifizierung zu benötigen. „Erstbeweger“ im kriminellen Milieu nutzen KI offenbar, um herkömmliche Abwehrmechanismen schlichtweg zu überholen.

Parallel dazu werden No-Code-Plattformen wie Bubble für bösartige Zwecke umfunktioniert. Kriminelle hosten täuschend echte Fake-Login-Portale auf den vertrauenswürdigen Domains dieser Dienste. Da diese gefälschten Apps von seriösen Anbietern gehostet werden, umgehen sie häufig Standard-Phishing-Filter. Diese Taktik, sich von „legalen Werkzeugen“ zu ernähren, macht es automatisierten Systemen immer schwerer, zwischen internem Tool und ausgeklügeltem Trick zu unterscheiden.

Verschlüsselte Messenger umgehen Mobilfunk-Firewalls

Ein weiterer kritischer Trend ist der Wechsel von SMS-Phishing zu verschlüsselten Nachrichtendiensten wie iMessage und RCS. Die Phishing-Plattform „Darcula“, die bereits rund 20.000 schädliche Domains generiert haben soll, treibt diese Entwicklung voran. Über iMessage und RCS versendete Betrugsnachrichten umgehen die SMS-Firewalls der Mobilfunkanbieter, die verdächtige Links normalerweise blockieren.

Die Angriffe imitieren vertrauenswürdige Marken wie Postdienste, Versorger oder Banken. Einige Vorlagen sind sogar darauf ausgelegt, Apples Sicherheitsfeatures zu umgehen, indem sie den Nutzer auffordern, erst auf die Nachricht zu antworten, bevor ein Link aktiv wird – eine Taktik, die Sicherheitsprotokolle austrickst.

Netcraft-Forscher berichten, dass die Darcula-Plattform seit Anfang 2024 durchschnittlich 120 neue Phishing-Domains pro Tag hinzufügt. Der Einsatz moderner Technologien wie React und Docker ermöglicht es, die Seiten in Echtzeit zu aktualisieren und neue Anti-Erkennungsmaßnahmen einzubauen. Diese technische Agilität war früher staatlichen Akteuren vorbehalten – heute ist sie für eine monatliche Gebühr zu haben.

Phishing-as-a-Service: Das Geschäftsmodell der Cyberkriminalität

Die Kommerzialisierung der Cyberkriminalität hat über das Phishing-as-a-Service (PhaaS)-Modell einen Höhepunkt an Effizienz erreicht. Ein bezeichnendes Beispiel für die Widerstandsfähigkeit dieser Strukturen ist die Plattform Tycoon2FA. Nach einer internationalen Polizeiaktion am 4. März, die den Dienst vorübergehend lahmlegte, war sie bereits am 23. März wieder voll funktionsfähig. Dies deutet auf eine zunehmend dezentrale und schwer zu zerschlagende Infrastruktur hin.

Die Plattformen operieren wie legale Softwareunternehmen mit Abo-Modellen. Für etwa 250 Euro monatlich erhalten angehende Kriminelle Zugang zu hunderten Marken-Vorlagen, automatisierten Admin-Panels und technischem Support. Diese „Demokratisierung“ bedeutet, dass selbst Personen mit minimalen IT-Kenntnissen globale Kampagnen starten können.

Da 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet sind, warnen IT-Experten vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen schützen. IT-Sicherheit jetzt ohne hohe Investitionen stärken

Der Markt spezialisiert sich weiter. So warnen aktuelle Meldungen vor Angreifern, die Microsoft Azure Monitor-Alarme für „Callback“-Phishing missbrauchen. Opfer erhalten eine vermeintlich echte Sicherheitswarnung von Microsoft zu unbefugten Gebühren und werden aufgefordert, eine betrügerische Support-Nummer anzurufen. Durch Social Engineering wird dann Fernzugriff auf den Computer erlangt.

Industrielle Identitätsfälschung und hybride Angriffe

Die neueste Phishing-Generation arbeitet mit „industriellem“ Identitätsdiebstahl. Angreifer kompromittieren und missbrauchen zunehmend legitime Unternehmensidentitäten, wie ein SentinelOne-Bericht vom 25. März warnt. So verteilt die als Storm-2561 bekannte Gruppe etwa schädliche Versionen von VPN-Clients bekannter Hersteller wie Cisco oder Fortinet, um Unternehmenszugänge zu stehlen.

Die Angriffe sind oft mehrstufig und kombinieren Social Engineering mit technischen Exploits. Zunächst wird über Messenger wie Signal oder WhatsApp Vertrauen aufgebaut – eine Taktik, die das FBI kürzlich mit russischen Geheimdienstgruppen in Verbindung brachte. Anschließend folgt ein Phishing-Link oder eine schädliche Datei, getarnt als Meeting-Einladung oder Software-Update. Selbst gut geschulte Mitarbeiter fallen auf diese hybride Vorgehensweise herein.

Die Folgen sind verheerend. Daten des FBI zeigen, dass Phishing die am häufigsten gemeldete Internetstraftat bleibt und zu Rekordverlusten führt. Im Gesundheitswesen etwa hat der Einsatz gestohlener Zugangsdaten zu einem signifikanten Anstieg von Ransomware-Angriffen geführt, da Phishing das primäre Einfallstor für schädliche Software ist.

Ausblick: Vom Erkennen zur inhärenten Widerstandsfähigkeit

Die Entwicklungen der letzten Märzwoche 2026 zeigen eine Konvergenz der Bedrohungen. Die Integration von KI in Phishing-Kits ermöglicht die Massenproduktion personalisierter Inhalte ohne die typischen Fehler wie schlechte Grammatik. In Kombination mit dem Missbrauch seriöser Cloud-Dienste sind diese Angriffe kaum noch von legitimen Geschäftsprozessen zu unterscheiden.

Die Branche erwartet einen weiteren Schritt hin zu „Agentic AI“ – KI-Systemen, die nicht nur passiv agieren, sondern eigenständig Aktionen in Netzwerken ausführen können. Dies würde das Angriffstempo weiter beschleunigen.

Experten raten Unternehmen dringend, über grundlegende 2-Faktor-Authentifizierung hinauszugehen. Phishing-resistente Methoden wie Hardware-Sicherheitsschlüssel oder Passkeys sind notwendig, um das Risiko von Token-Diebstahl zu mindern. Gleichzeitig dürften Regulierungsbehörden strengere Meldepflichten nach dem Vorbild Singapurs oder der USA einführen, etwa 72-Stunden-Fristen für die Meldung von Vorfällen.

Der Fokus verschiebt sich damit vom bloßen Erkennen von Phishing-Versuchen hin zum Aufbau „resilient-by-design“-Systeme. Diese müssen in der Lage sein, den unvermeidlichen Kompromittierung einzelner Benutzerkonten zu überstehen, ohne das gesamte Unternehmen zu gefährden.

boerse | 68999970 |