Der Schweizer Cloud-Anbieter bexio wurde Ziel einer koordinierten Phishing-Kampagne, bei der Angreifer IBAN-Nummern auf digitalen Rechnungen direkt veränderten.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. In 4 Schritten zum sicheren Unternehmen
Manipulation auf Rechnungsebene: Der Fall bexio
Unbekannte versendeten täuschend echte E-Mails mit Links zu gefälschten Login-Seiten. Ziel war nicht nur der Diebstahl von Zugangsdaten, sondern der direkte Zugriff auf Kundenkonten.
Besonders perfide: In einigen Fällen manipulierten die Täter IBAN-Nummern und Adressdaten auf bereits erstellten Rechnungen. Zahlungen flossen direkt auf Konten der Betrüger – ohne dass Rechnungssteller oder Empfänger den Betrug sofort bemerkten.
bexio betonte, dass die eigenen Systeme nicht kompromittiert wurden. Als Reaktion führte das Unternehmen die Zwei-Faktor-Authentifizierung (2FA) für alle Kunden verpflichtend ein. Die Vorfälle wurden dem Bundesamt für Cybersicherheit (BACS) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet.
Parallel warnt die Organisation Safeonweb vor einer aktiven Kampagne gegen Amazon-Prime-Nutzer. Über die Domain „amazon-prime.club“ wird behauptet, ein Probeabonnement sei abgelaufen. Ziel ist die Preisgabe von Zahlungsdaten auf einer gefälschten Webseite.
KI-Malware und Remote Access: Die technologische Eskalation
Sicherheitsanalysten von ESET entdeckten die Malware „PromptSpy“ – die erste Android-Schadsoftware, die Googles KI-Modell Gemini aktiv nutzt. Sie wird über externe Webseiten verbreitet und liest gezielt Bildschirminhalte aus. Besonders in Südamerika wurde eine verstärkte Verbreitung beobachtet.
Ein weiterer Schwerpunkt: der Missbrauch legitimer Systemfunktionen. Cisco-Talos-Forscher identifizierten den CloudZ RAT, der auf die Microsoft-Anwendung „Phone Link“ abzielt. Die Malware überwacht die Prozesse der App auf dem PC und liest die lokale SQLite-Datenbank aus – dort sind synchronisierte SMS und Einmalpasswörter gespeichert. So umgehen Angreifer die Zwei-Faktor-Authentifizierung, ohne das Smartphone selbst infizieren zu müssen.
Die global agierende SilverFox-Gruppe weitete ihre Aktivitäten ebenfalls aus. Seit Dezember 2025 wurden über 1.600 schädliche E-Mails registriert, die sich vor allem an Unternehmen in Indien, Indonesien, Russland und Südafrika richteten. Die Gruppe nutzt gefälschte Steuerbehörden-Benachrichtigungen, um Backdoors wie „ValleyRAT“ oder „ABCDoor“ zu installieren.
App-Stores als Einfallstor
Trotz strenger Kontrollen bleiben offizielle App-Plattformen ein Risiko. Im Google Play Store wurden 28 Apps unter dem Namen „CallPhantom“ identifiziert – zusammen über 7,3 Millionen Downloads. Sie gaben vor, nützliche Tools für Anrufprotokolle zu sein, lieferten aber gefälschte Daten und verlangten Abogebühren von bis zu 80 US-Dollar pro Jahr.
Die finanziellen Schäden sind immens. Die US-Handelsbehörde FTC beziffert den Schaden durch Identitätstäuschung für 2025 auf rund 3,5 Milliarden US-Dollar. Der Gesamtschaden durch Betrugsfälle belief sich auf 15,9 Milliarden US-Dollar bei über 3 Millionen gemeldeten Fällen. In Indien stiegen die Verluste durch Digitalbetrug auf 2,5 Milliarden US-Dollar – ein Anstieg von über 4.000 Prozent im Vergleich zu 2021.
Besonders besorgniserregend: „Quishing“ (QR-Code-Phishing) stieg im ersten Quartal 2026 um 146 Prozent auf über 18,7 Millionen Vorfälle.
Gericht stärkt Verbraucherrechte
Das Landgericht Berlin II verpflichtete am 22. April 2026 die Apobank zur Haftung für einen Phishing-Schaden von über 200.000 Euro. Das Gericht befand: Dem Kunden sei keine grobe Fahrlässigkeit vorzuwerfen. Der Betrug was extrem professionell inszeniert – durch eine Kombination aus manipuliertem Online-Banking, einem professionellen Brief und einem Anruf mit echter Bank-Nummer (Spoofing). Die Bank hätte den Betrug anhand von IP-Diskrepanzen erkennen müssen.
Sicherheitslücken und Präventionsstrategien
Das indische CERT-In warnte im Mai 2026 vor kritischen Sicherheitslücken in verschiedenen Qualcomm-Snapdragon-Chipsätzen (Serien 4, 6, 7 und 8). Auch eine Hardware-Lücke im BootROM (CVE-2026-25262) wurde identifiziert. Apple reagierte mit Sicherheitsupdates für iOS (26.4.2 und 26.5), um die Schwachstelle CVE-2026-28950 zu schließen.
KI-gestütztes Voice Cloning ermöglicht es, Stimmen für den Enkeltrick in nur drei Sekunden täuschend echt zu imitieren. Die Polizei empfiehlt die Vereinbarung geheimer Verifikationscodes innerhalb der Familie. Die Bundesnetzagentur schaltete bereits 2023 rund 8.000 Rufnummern wegen Betrugsverdachts ab – davon 6.000 im Zusammenhang mit Enkeltrick-Versuchen.
Angesichts immer raffinierterer Cyber-Angriffe ist proaktiver Schutz für Firmen unerlässlich. Dieses Gratis-E-Book enthüllt, wie Unternehmer Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Ausblick auf bessere Schutzmechanismen
Für Juni 2026 plant Google die Veröffentlichung von Android 17 mit neuen Datenschutz-Standards. Dazu gehören eine session-basierte Kontaktauswahl und eine künstliche Verzögerung bei der Zustellung von Einmalpasswörtern (OTP) – um SMS-Stealern das Zeitfenster für den Datenabgriff zu nehmen.
Bis dahin raten Experten zu erhöhter Wachsamkeit. Bei finanziellen Transaktionen sollte die IBAN des Empfängers über einen zweiten, unabhängigen Kanal verifiziert werden. Banken wie ABN Amro haben bereits Kataloge mit roten Flaggen für Telefonbetrug entwickelt.
Der Trend zeigt deutlich: In einer Welt, in der KI und professionelles Spoofing die Identitätstäuschung perfektionieren, wird die manuelle Überprüfung technischer Details zur letzten Verteidigungslinie.
