Phishing-Welle: KI-Mails erreichen 54-Prozent-Klickrate
27.06.2026 - 03:46:26 | boerse-global.de
Eine neue Generation von Phishing-Angriffen setzt auf ausgeklügelte Techniken, um selbst aktuelle Schutzmechanismen zu umgehen. Die Täter nutzen dafür legitime Dienste, verstecken Schadcode in HTML-Dateien und setzen verstärkt auf Künstliche Intelligenz.
Calendly als Einfallstor: Angriff auf Hotels
Eine aktuelle Kampagne zielt gezielt auf Hotels in Europa und Asien. Die Angreifer nutzen den Terminplanungsdienst Calendly für ihre Zwecke. Da die E-Mails über die legitime Infrastruktur des Dienstes verschickt werden, passieren sie problemlos Authentifizierungsprotokolle wie SPF, DKIM und DMARC.
Der Angriff läuft mehrstufig ab: Opfer erhalten einen Calendly-Link, der auf manipulierte Seiten führt. Nach dem Passieren von Sicherheitsprüfungen wie Cloudflare Turnstile laden die Täter die Schadsoftware TonRAT nach. Das Programm nutzt Node.js und kommuniziert über die TON Blockchain API mit den Servern der Hintermänner. Als Köder dienen Themen wie Gästebeschwerden oder Inspektionen.
HTML-Smuggling: MFA-Schutz ausgehebelt
Parallel dazu entdeckten Experten von Fortra ein neues Phishing-Kit namens Mirage2FA. Es zielt auf Microsoft 365-Konten ab und setzt auf HTML-Smuggling. Der schädliche Code wird in einer HTML-Datei versteckt und erst im Browser des Nutzers zusammengesetzt. E-Mail-Sicherheitsfilter bemerken das nicht.
Das Kit imitiert den kompletten Anmeldeprozess inklusive Multi-Faktor-Authentisierung (MFA). Nutzer landen auf gefälschten Seiten unter Domains wie „cheacker[.]store“. Geben sie ihre Daten und den MFA-Code ein, übernehmen die Angreifer das Konto in Echtzeit.
Shopify und ELSTER: Neue Wege der Täter
Auch etablierte E-Commerce-Plattformen sind betroffen. Seit Juni missbrauchen Betrüger die Shopify Shop App. Sie platzieren gefälschte Rechnungen direkt in der Kaufhistorie von Nutzern. Die fingierten Belege für Produkte von Norton, McAfee oder Apple enthalten betrügerische Support-Telefonnummern.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Rufen Kunden dort an, versuchen die Täter per Vishing (Voice Phishing), Fernzugriff auf die Rechner zu erlangen oder Einmalpasswörter für Bankgeschäfte abzugreifen.
Im deutschsprachigen Raum warnt die Verbraucherzentrale vor Phishing-Mails im Namen von „Mein ELSTER“. Unter dem Vorwand einer Steuererstattung von 1.892,40 Euro werden Empfänger auf betrügerische Webseiten gelockt. Ähnliche Warnungen gibt es für PayPal-Nutzer, denen eine Kontoeinschränkung suggeriert wird.
KI-Agenten treiben Klickrate in die Höhe
Ein aktueller Cyber Security Report zeigt die technologische Aufrüstung der Täter. KI-Agenten und Deepfakes erschweren die Erkennung von Betrugsversuchen massiv. Die Klickrate bei KI-generierten Phishing-Mails liegt bei etwa 54 Prozent – bei klassischen Kampagnen sind es nur 12 Prozent. Die Zahl der Deepfake-Vorfälle stieg im Vergleich zum Vorjahr um mehr als 680 Prozent.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses E-Book zu Cyber Security Trends herunterladen
NIS2 und PSD3: Neue Regeln gegen die Bedrohung
Angesichts dieser Entwicklung gewinnen regulatorische Vorgaben an Bedeutung. Die NIS2-Richtlinie droht Unternehmen bei Verstößen mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Auch beim Online-Banking verschärft sich die Lage. Neue EU-Vorgaben wie PSD3 und PSR sollen die Haftungsregeln der Banken bei Betrugsfällen konkretisieren. Deutsche Gerichte haben bereits die Anforderungen an die Zwei-Faktor-Authentisierung durch die Banken erhöht.
