Statt simpler Fake-Login-Seiten setzen Angreifer auf hochspezialisierte Infostealer und Remote Access Trojans (RAT). Sie greifen direkt auf Identitäten, Cloud-Umgebungen und Krypto-Wallets zu.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Sicher, bequem und passwortlos – So funktionieren Passkeys
KI-Tools als Köder für komplexe Angriffe
Eine aktuelle Welle namens ClickFix nutzt das Interesse an künstlicher Intelligenz aus. Sicherheitsforscher entdeckten gefälschte Webseiten, die Dienste wie Claude Code oder OpenAI Codex imitieren. Statt Passwörter abzufragen, verleiten sie Nutzer dazu, Befehle in der Eingabeaufforderung auszuführen.
Das startet eine mehrstufige Infektionskette. Der Schadcode versteckt sich per Steganografie in Bilddateien und operiert ausschließlich im Arbeitsspeicher. Ziel: Browser-Passwörter, E-Mail-Zugangsdaten und Krypto-Wallet-Informationen stehlen.
Microsoft Threat Intelligence identifizierte Anfang Juni zudem bösartige npm-Pakete. Diese zielten gezielt auf Krypto-Wallets ab und installierten einen RAT, der Tastenanschläge und Screenshots übertrug. Die gestohlenen Daten landeten über Plattformen wie Hugging Face bei den Angreifern.
Cloud-Identitäten und Supply-Chain-Angriffe
Ein schwerwiegender Lieferkettenangriff namens Miasma wurde heute bekannt. Angreifer kompromittierten offizielle npm-Pakete von Red Hat – nachdem sie Zugriff auf das GitHub-Konto eines Mitarbeiters erlangt hatten. Dessen Zugangsdaten kursierten seit April oder Mai im Darknet.
Der Schadcode in den Paketen zielte auf Cloud-Identitäten für Google Cloud und Microsoft Azure sowie auf SSH-Keys. Die Verbreitung erfolgte wurmartig über CI/CD-Pipelines. Die Datenexfiltration lief unter anderem über GitHub-Repositories.
Parallel dazu nutzt die Phishing-as-a-Service-Plattform Kali365 den Device-Code-Flow von Microsoft aus. Opfer autorisieren unwissentlich ein Angriffsgerät auf einer echten Microsoft-Seite. Selbst aktivierte Zwei-Faktor-Authentisierung (2FA) wird so umgangen. Zwischen dem 6. und 27. Mai identifizierten Forscher 126 aktive Hosts, die Identitätsdienste wie Okta oder AWS imitierten.
Banking, PayPal, WhatsApp – auf dem Smartphone speichern wir heute unsere sensibelsten digitalen Identitäten. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Smartphone
Wirtschaftliche Schäden und neue Schutzmechanismen
Die finanziellen Folgen sind enorm. Beim Messenger-Betrug in Deutschland liegt der durchschnittliche Schaden pro Fall bei 1.180 Euro. Die Plattform Kali365 soll seit Anfang 2025 bereits Schäden von über 240 Millionen Euro verursacht haben. In der Schweiz stieg die Zahl der Phishing-Fälle 2025 um 25 Prozent auf über 7.400 Vorfälle.
Die Industrie reagiert mit strengeren Regeln:
- Salesforce führt ab Juli 2026 eine Passkey-Pflicht ein. Administratoren müssen bis zum 1. Juli auf FIDO2-basierte oder biometrische Verfahren umstellen. Herkömmliche Einmal-Passwörter (OTP) sind dann nicht mehr zugelassen. Für alle anderen Nutzer greift die Pflicht zum 20. Juli.
- Android integriert mit dem Juni-Update eine Fake Call Detection. Sie soll Spoofing-Angriffe auf Betriebssystemebene unterbinden.
- Apple setzt bei macOS verstärkt auf Gatekeeper und Notarisierung. Der Atomic macOS Stealer (AMOS) ist derzeit die am schnellsten wachsende Malware-Kategorie für das System.
Auch die Gerichte beschäftigen sich mit den Folgen. Das Oberlandesgericht Koblenz urteilte Mitte April: Eine Bank muss einem Kunden über 56.000 Euro nach einem Phishing-Angriff erstatten. Die Beweislast für grobe Fahrlässigkeit lag bei der Bank – ein Sachverständigengutachten entkräftete diesen Vorwurf.
Das Amtsgericht Bernau stellte dagegen klar: Eine Hausratversicherung muss nicht haften, wenn Kunden sensible Daten leichtfertig in Chaträumen preisgeben.
