Phishing 2026: ClickFix und BitB knacken selbst MFA-Schutz
23.06.2026 - 07:25:19 | boerse-global.de
Cyberkriminelle setzen zunehmend auf raffinierte Methoden, um selbst mehrstufige Authentifizierungsverfahren (MFA) zu knacken. Aktuelle Sicherheitsberichte aus dem Juni 2026 zeigen eine alarmierende Entwicklung: Angreifer konzentrieren sich nicht mehr auf technische Schwachstellen, sondern auf die IdentitĂ€t der Nutzer selbst. GroĂe Sportereignisse wie die bevorstehende FuĂball-WM 2026 werden gezielt fĂŒr Betrugskampagnen genutzt.
Rekord-SchĂ€den durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklĂ€ren im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schĂŒtzen kann. Anti-Phishing-Paket jetzt gratis anfordern
Neue Angriffsmethoden im Detail
Sicherheitsforscher von Huntress haben vier moderne Phishing-Verfahren identifiziert, die herkömmliche Schutzmechanismen aushebeln. Besonders perfide ist die sogenannte âClickFixâ-Methode: Opfer werden durch gefĂ€lschte CAPTCHA-Abfragen dazu gebracht, schĂ€dlichen Code direkt in der Systemkonsole auszufĂŒhren â und das mit simplen Tastenkombinationen.
Die âBrowser-in-the-Browserâ-Technik (BitB) geht noch einen Schritt weiter. Hier tĂ€uschen gefĂ€lschte Pop-up-Fenster tĂ€uschend echte Anmeldebildschirme vor â inklusive korrekter URL und Sicherheitssymbolen. Selbst geĂŒbte Nutzer erkennen den Betrug kaum.
Zwei weitere Verfahren setzen auf die Aushebelung von Autorisierungsprozessen: Bei âConsentFixâ werden Nutzer manipuliert, bösartige OAuth-Anwendungen zu genehmigen. Beim Device-Code-Phishing kapern Angreifer legitime Microsoft-Autorisierungsseiten, um ihre eigenen GerĂ€te mit fremden Konten zu verbinden.
Phishing als Dienstleistung
Die âEvilTokensâ-Kampagne zeigt, wie professionell die Branche inzwischen organisiert ist. Als Phishing-as-a-Service-Angebot nutzt sie Marken wie Microsoft 365, Adobe und DocuSign als Köder. Das Ziel: sogenannte Refresh-Tokens stehlen, die selbst nach einem Passwortwechsel aktiv bleiben. Ein Albtraum fĂŒr jeden Sicherheitsverantwortlichen.
Soziale Netzwerke im Visier
Die Anti-Phishing Working Group (APWG) meldet fĂŒr das erste Quartal 2026 einen deutlichen Anstieg von Phishing-Angriffen ĂŒber soziale Medien. 43,8 Prozent dieser Bedrohungen entfallen auf IdentitĂ€tsdiebstahl durch gefĂ€lschte Profile, weitere 27,1 Prozent auf klassische Betrugsmaschen.
Die Angreifer werden dabei immer cleverer: Sie setzen Geo-Blocking und IP-Filter ein, sodass schĂ€dliche Inhalte nur fĂŒr bestimmte Zielgruppen sichtbar werden â etwa fĂŒr Nutzer, die ĂŒber Google-Suche oder TikTok-Links kommen.
WhatsApp und WM-Betrug
Kaspersky-Forscher deckten im Juni eine groĂangelegte Malware-Kampagne gegen WhatsApp-Nutzer auf. Besonders betroffen: Malaysia, Brasilien und Singapur. Die TĂ€ter verschicken ĂŒber kompromittierte Accounts getarnte VBScript-Dateien, die wie Rechnungen oder KontoauszĂŒge aussehen.
Parallel dazu wurden ĂŒber 336 betrĂŒgerische Websites rund um die FIFA-WM 2026 identifiziert. Mit KI-generierten Inhalten locken die Betreiber zu gefĂ€lschten Streaming-Plattformen und Wettangeboten.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefÀlschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Zum kostenlosen Anti-Phishing-Report
Dramatische Lage im asiatisch-pazifischen Raum
Ein INTERPOL-Bericht fĂŒr den Zeitraum 2025/2026 zeichnet ein dĂŒsteres Bild: In mehr als der HĂ€lfte der LĂ€nder der Asien-Pazifik-Region macht CyberkriminalitĂ€t inzwischen 30 Prozent aller registrierten Straftaten aus. Die Phishing-Klickrate liegt dort bei 5,5 pro 1.000 Nutzer â fast doppelt so hoch wie der globale Durchschnitt von 2,9.
Die menschlichen Folgen zeigen sich in SĂŒdkorea: Am 20. Juni ĂŒbernahm die Polizei von Seoul die Ermittlungen zum Tod einer Mutter und ihres Sohnes. Die Behörden gehen davon aus, dass die beiden Opfer eines Voice-Phishing-Betrugs wurden, bei dem 50 Millionen Won (etwa 35.000 Euro) erbeutet wurden. Nur fĂŒnf Tage zuvor verhinderte die Polizei in Goyang, dass ein Ă€lteres Ehepaar 1,5 Milliarden Won (rund 1,05 Millionen Euro) an falsche StaatsanwĂ€lte verlor.
Die Industrie schlĂ€gt zurĂŒck
Am 22. Juni brachte Barracuda einen KI-gestĂŒtzten E-Mail-Schutzdienst auf den Markt, der tĂ€glich rund 1,5 Milliarden URLs analysiert. Die Dringlichkeit ist enorm: Laut den Beobachtungen des firmeneigenen Red Teams kann eine einzige Phishing-Mail innerhalb weniger Minuten zur vollstĂ€ndigen Kontokompromittierung fĂŒhren â inklusive MFA-Umgehung.
Sicherheitsexperten betonen, dass jĂŒngste GroĂangriffe, etwa durch die Gruppe ShinyHunters, vor allem Schwachstellen in SaaS-Integrationen und vertrauenswĂŒrdigen Zugriffspfaden ausnutzen. Nicht die Plattformen selbst sind verwundbar, sondern Fehlkonfigurationen und gestohlene OAuth-Tokens. Die Botschaft ist klar: Der Schutz der IdentitĂ€t muss zur obersten PrioritĂ€t werden.
