Phishing-Alarm: FBI warnt vor Kali365-Plattform gegen Microsoft 365

Sicherheitsbehörden schlagen Alarm: Eine neue Generation von Betrugsmaschen überschwemmt Unternehmensnetzwerke und private Geräte. Das FBI, die US-Handelsaufsicht FTC und internationale Strafverfolgungsbehörden veröffentlichten Ende Mai 2026 mehrere dringende Warnungen vor hochentwickelten Phishing-Kampagnen. Die Angreifer setzen auf spezialisierte Methoden des Social Engineerings – und zielen gezielt auf Cloud-Dienste, verschlüsselte Messenger und mobile Endgeräte.

Gefahr für Unternehmen: Wenn die Zwei-Faktor-Authentifizierung versagt

Am 31. Mai 2026 warnte das FBI vor einer Phishing-Plattform namens Kali365. Das Tool greift Microsoft-365-Konten an, indem es das legitime „Device Code"-Login-System ausnutzt – und damit die Zwei-Faktor-Authentifizierung (MFA) umgeht. Seit April 2026 wird die Plattform über Telegram vertrieben. Die Taktik: Angreifer täuschen Nutzer, ein externes Gerät zu autorisieren. Einmal gewährt, erhalten die Kriminellen dauerhaften Zugriff auf Firmen-E-Mails, Teams-Nachrichten und OneDrive-Dateien. Betroffen sind Organisationen in den USA, Kanada, Europa und Australien.

Parallel dazu identifizierten Sicherheitsexperten am selben Tag eine neue Welle des sogenannten Quishing – Phishing per QR-Code. Gefälschte HR-E-Mails zu Mitarbeitergesprächen locken Angestellte dazu, einen QR-Code zu scannen. Der führt auf manipulierte Seiten, die Zugangsdaten abgreifen. Die Nachrichten nutzen oft generische Anreden und erzeugen künstliche Dringlichkeit, um die üblichen Sicherheitschecks zu umgehen.

Angesichts immer professionellerer Hackerangriffe auf Online-Konten und Cloud-Dienste ist ein solider Basisschutz für das eigene Smartphone unverzichtbar. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät effektiv vor Viren und Datenmissbrauch absichern. 5 Schutzmaßnahmen jetzt entdecken

Angriffe auf Signal und iPhone: Wer ist im Visier?

Besonders perfide: Die Kampagnen zielen zunehmend auf hochsichere Kommunikationsplattformen. Am 27. Mai 2026 entdeckten Ermittler eine Operation, die gezielt Signal-Nutzer ins Visier nahm. Ziel war der Diebstahl von 64-stelligen Wiederherstellungsschlüsseln für verschlüsselte Backups. Betroffen waren vor allem Journalisten, Aktivisten und Menschenrechtsverteidiger. Signal selbst betont: Der Dienst fordert niemals Recovery-Keys von Nutzern an. Die Empfehlung: die Registrierungssperre aktivieren.

Auch iPhone-Besitzer sind nicht sicher. Am 30. Mai 2026 warnte das indische Innenministerium vor einer Betrugsmasche, die Besitzer gestohlener oder verlorener Geräte ausnutzt. Kriminelle versenden SMS, getarnt als Apple-Support oder „Mein iPhone suchen"-Benachrichtigungen. Die Nachrichten leiten auf gefälschte iCloud-Seiten weiter, die Apple-IDs und Zwei-Faktor-Codes abfangen. So können Diebe Sicherheitsfunktionen deaktivieren und die Hardware weiterverkaufen.

Ein weiterer Trend: NFC-Angriffe auf Android-Geräte nehmen rasant zu. Kaspersky meldete am 30. Mai 2026 einen Anstieg um 188 Prozent zwischen Januar und April 2026. Schadsoftware liest dabei direkt Karteninformationen vom Smartphone aus.

Um bei komplexen Sicherheitswarnungen rund um die Apple-ID oder Cloud-Backups nicht den Überblick zu verlieren, ist ein klares Verständnis der Fachbegriffe unerlässlich. Das kostenlose iPhone-Lexikon erklärt die 53 wichtigsten Begriffe leicht verständlich und hilft Ihnen, Apple-Fachchinesisch endlich sicher zu verstehen. Kostenloses iPhone-Lexikon sichern

Urlaubszeit ist Betrugszeit: Fake-Einladungen und Hotel-Maschen

Die FTC warnte am 31. Mai 2026 vor einer Verschiebung im verbraucherorientierten Phishing: gefälschte digitale Einladungen. Angreifer nutzen Plattformen wie Evite oder Paperless Post, um Fake-Einladungen zu Abschlussfeiern oder Sommerfesten zu verschicken. Um die Details „anzusehen", müssen Nutzer ihre E-Mail-Zugangsdaten oder Verifizierungscodes eingeben.

Der Reisesektor steht ebenfalls unter Beschuss. Am 30. Mai 2026 warnte der luxemburgische Hotelverband HORESCA vor Betrügern, die sich als Hotelpersonal ausgeben. Über WhatsApp oder Buchungsplattform-Chats fordern sie Gäste auf, ihre Kreditkartendaten zu „aktualisieren" – mit fatalen Folgen. Betroffen sind Hotels mit bestimmter Channel-Management-Software. Auch in Kanada schlugen Ermittler Ende Mai Alarm: Gefälschte QR-Codes an Parkscheinautomaten und Bike-Sharing-Stationen in Toronto, Montreal und Vancouver locken Autofahrer in die Falle.

Milliarden-Schäden und ein wegweisendes Urteil

Die Dimension des digitalen Betrugs ist enorm – trotz regionaler Entspannung. In den USA verzeichnete das FBI für 2025 Schäden in Höhe von 893 Millionen Euro durch KI-gestützten Betrug. Das Landeskriminalamt Niedersachsen meldete am 31. Mai 2026 hingegen einen Rückgang der Internetbetrugsfälle von 29.361 (2021) auf 18.304 (2025). Die Kehrseite: Die verbliebenen Täter agieren professioneller und sind international schwer zu fassen.

Ein wegweisendes Urteil fällte das Landgericht Karlsruhe am 20. Mai 2026. Ein Opfer hatte über 109.000 Euro für Goldbarren auf ein durch eine „Man-in-the-Middle"-E-Mail-Attacke manipuliertes Konto überwiesen. Das Gericht entschied: Der Käufer trägt das Verlustrisiko bei Überweisungen auf eine betrügerische IBAN. Verkäufer sind nicht verpflichtet, eine Ende-zu-Ende-Verschlüsselung für Standard-Geschäftskommunikation bereitzustellen.

Was Experten raten: Der Mensch bleibt die Schwachstelle

Der Verizon Data Breach Investigations Report 2026 zeigt: Rund 62 Prozent aller Sicherheitsverstöße beinhalten menschliche Interaktion. Zwar liegt die durchschnittliche Klickrate bei Phishing-Simulationen bei nur 1,4 Prozent. Doch Experten fordern mehr: Szenariobasiertes Training und vereinfachte Meldewege sollen die Grundschulung ergänzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und zahlreiche Banken empfehlen: Prüfen Sie Ziel-URLs vor dem Klicken. Bei unerwarteten Nachrichten oder Anrufen mit der Bitte um sensible Daten oder Zahlungen: Kontaktieren Sie die Organisation direkt über bekannte Wege. Krankenhäuser und Behörden wie Service Ontario stellen klar: Sie fordern niemals Zahlungen oder Zugangsdaten per SMS oder unangekündigtem Anruf.

de | wissenschaft | 69459410 |