Device-Code-Phishing: Angriffe um das 37-fache gestiegen
05.07.2026 - 00:42:25 | boerse-global.de
Internationale Sicherheitsbehörden schlagen Alarm: Geschäftliche E-Mail-Kompromittierung (BEC) und Chef-Identitätsbetrug werden zunehmend automatisiert und nutzen künstliche Intelligenz. Besonders besorgniserregend: Die Täter verlagern ihre Angriffe verstärkt auf Messaging-Dienste wie WhatsApp.
Phishing-as-a-Service: Kriminelle Infrastruktur für jedermann
Die Entdeckung der PhaaS-Plattform ARToken zeigt, wie professionell Cyberkriminelle inzwischen agieren. Das System ist mit dem EvilTokens-Toolkit verbunden und nutzt über 80 API-Schnittstellen, um Microsoft-365-Zugangsdaten zu stehlen. Die Automatisierung ermöglicht den unbefugten Zugriff auf Outlook, SharePoint und OneDrive – gesteuert über Cloudflare Worker.
Die Einstiegshürden sinken dramatisch: Das EvilTokens-Setup kostet 1.500 Euro Anschaffung plus 500 Euro monatliche Gebühr. Sicherheitsforscher von Sekoia belegen zudem, dass Angreifer KI einsetzen, um täuschend echte Betrugs-E-Mails zu verfassen. Besonders perfide: Die sogenannte Device-Code-Phishing-Methode, die selbst Zwei-Faktor-Authentifizierung umgeht, hat sich laut Push Security um das 37-fache gesteigert.
WhatsApp wird zur Einfallstor für Millionenbetrug
Während Unternehmen ihre E-Mail-Sicherheit verbessern, weichen Betrüger auf Messenger aus. In Hyderabad verlor eine Immobilienfirma umgerechnet rund 4,5 Millionen Euro – die Täter gaben sich über WhatsApp als Geschäftsführer aus. Ein ähnlicher Fall erschütterte Ende Juni eine Metallhandelsfirma in Mumbai: Schaden: 2,2 Millionen Euro. Die Polizei konnte zwar einen Verdächtigen festnehmen und etwa 1,1 Millionen Euro einfrieren, doch die Beute bleibt immens.
Bemerkenswert: Der betroffene Mitarbeiter hatte eine verpflichtende Cybersicherheitsschulung versäumt. In Kerala warnen die Behörden vor einer neuen Variante: Gekaperte Konten verschicken manipulierte VBScript-Dateien, getarnt als Kontoauszüge oder Rechnungen. Diese installieren Fernwartungstools, mit denen Angreifer WhatsApp-Konten übernehmen und Passwörter stehlen. Kaspersky-Forscher haben ähnliche Kampagnen in Malaysia, Singapur, Brasilien, Vietnam und mehreren europäischen Ländern identifiziert.
Device-Code-Phishing umgeht selbst 2FA – und die Angriffszahlen sind um das 37-fache gestiegen. Gleichzeitig verlieren Firmen Millionen durch WhatsApp-Betrug. Dieser kostenlose Leitfaden zeigt Ihnen die 4 wichtigsten Schutzmaßnahmen und wie Sie das Zwei-Kanal-Prinzip in Ihrem Unternehmen verankern. Jetzt Sicherheits-Leitfaden anfordern
IT-Fachleute schweigen über Sicherheitsvorfälle
Eine aktuelle Bitdefender-Umfrage unter 1.200 IT-Experten offenbart alarmierende Zustände: 55,2 Prozent wurden angewiesen, Sicherheitsverstöße zu vertuschen – in den USA sogar 68,6 Prozent. Fast die Hälfte der Befragten (47,4 Prozent) hat keinen vollständigen Überblick über den KI-Einsatz im eigenen Unternehmen.
60 Prozent der IT-Profis berichten von KI-gestützten Social-Engineering-Angriffen. Selbstlernende Malware und Deepfakes gelten als größte Bedrohungen für das kommende Jahr. Cloud-basierte Angriffe (41,8 Prozent) und BEC (35,9 Prozent) bleiben die häufigsten Sicherheitsvorfälle.
Schutzmaßnahmen: So wehren sich Unternehmen
Sicherheitsexperten empfehlen einen mehrstufigen Ansatz:
55 % der IT-Experten wurden angewiesen, Sicherheitsverstöße zu vertuschen – ein Alarmzeichen. Dabei lassen sich BEC-Angriffe mit einfachen Mitteln abwehren. Erhalten Sie einen konkreten Mitarbeiter-Schulungsplan und die Schritt-für-Schritt-Anleitung für das Zwei-Kanal-Prinzip. Schulungsplan jetzt sichern
- Zwei-Kanal-Prinzip: Jede ungewöhnliche Zahlungsanfrage muss über einen zweiten, vorher vereinbarten Kommunikationsweg bestätigt werden
- Vier-Augen-Prinzip: Mehrstufige Genehmigungsprozesse für Überweisungen verhindern Einzeltäter-Risiken
- Regelmäßige Schulungen: Mitarbeiter müssen Warnsignale erkennen – künstliche Dringlichkeit, Geheimhaltungsaufforderungen, verdächtige Dateianhänge
- Doppelte Absicherung: Zwei-Faktor-Authentifizierung für alle Messaging- und E-Mail-Plattformen
Die Ermittlungsbehörden warnen zudem vor groß angelegten „Digital Arrest"- und Aktienbetrugsmaschen, die ähnliche Social-Engineering-Taktiken nutzen. Aktuelle Fälle in Patna und Gwalior verursachten Schäden von umgerechnet 900.000 Euro beziehungsweise 1,7 Millionen Euro – ein Teil der Gelder wurde über Kryptowährungen ins Ausland transferiert.
