Angreifer setzen zunehmend auf Künstliche Intelligenz und Echtzeit-Abfangsysteme, um selbst als sicher geltende Authentifizierungsmethoden zu überwinden. Besonders betroffen: Softwareentwickler, kleine Unternehmen und Nutzer von KI-Browsern.
Gezielte Attacke auf Softwareentwickler über AWS-Konten
Eine hochpräzise Phishing-Kampagne hat sich zwischen dem 19. und 23. Juni gegen weniger als 50 US-amerikanische Softwareentwickler gerichtet. Die Täter nutzten eine sogenannte Adversary-in-the-Middle-Technik (AiTM) – sie schoben sich quasi zwischen Opfer und echten Dienst.
Konkret: Die Angreifer klonten die Login-Seiten von Amazon Web Services (AWS) und fingen dort sowohl Passwörter als auch MFA-Codes in Echtzeit ab. Drei speziell dafür registrierte Domains – darunter aws.us-west-login[.]com und aws-central.us-west-login[.]com – dienten als Köder. Die Verteilung der Phishing-Links erfolgte über die Dienste SendGrid und Nimbu. Sobald ein Opfer seine Daten eingab, leitete das System diese sofort an den echten AWS-Dienst weiter – die Angreifer übernahmen die aktive Sitzung.
EvilTokens: Phishing als Dienstleistung explodiert
Das Ausmaß der Bedrohung zeigt ein Blick auf die Plattform EvilTokens. Dieses „Phishing-as-a-Service“-Angebot verzeichnete laut Sicherheitsanalysten von Huntress einen Anstieg der Angriffe um 1.380 Prozent im Vergleich zum Vorjahr.
Die Plattform wird über Telegram beworben – mit Abonnementgebühren zwischen 600 und 1.500 Euro. Neu ist die Integration von KI: Sie personalisiert Phishing-Nachrichten für jedes einzelne Opfer und umgeht zuverlässig MFA-Verfahren. Die Automatisierung senkt die Hürde für komplexe Identitätsdiebstähle drastisch.
Kleine Unternehmen im Visier: Fake-KI-Tools als Einfallstor
Kleine und mittelständische Unternehmen (KMU) geraten zunehmend ins Fadenkreuz. Zwischen Januar und April 2026 registrierte Kaspersky 33.352 Angriffe, bei denen Schadsoftware als KI-Tool getarnt war – ein Fünffaches des Vorjahreszeitraums.
KI-Phishing-Angriffe sind um 1.380 % gestiegen und umgehen selbst MFA. Mit dem kostenlosen Sicherheits-Check prüfen Sie in wenigen Minuten, ob Ihre Abwehrsysteme gegen AiTM-Angriffe, EvilTokens und Fake-KI-Tools gewappnet sind. Sicherheits-Check per E-Mail anfordern
Die Bedrohungslage für KMU umfasst zudem:
– Über 414.000 Angriffe über gefälschte Kommunikationsanwendungen
– Rund 24.000 Attacken durch manipulierte Office-Suiten
Besonders alarmierend: Angebote für Erstzugriffe auf KMU-Systeme machen inzwischen mehr als die Hälfte aller entsprechenden Listings in Darknet-Foren aus. Auch Angriffe über vertrauenswürdige Geschäftspartner stiegen auf 15,5 Prozent der dokumentierten Vorfälle im Jahr 2025 – ein Trend, der sich 2026 fortsetzt.
Operation Endgame: Behörden schlagen zurück
Doch die Sicherheitsbehörden bleiben nicht untätig. Die internationale Aktion Operation Endgame – koordiniert vom 15. bis 28. Juni – zielte auf mehrere prominente Schadsoftware-Familien, darunter Amadey, StealC und SocGholish.
Die Bilanz kann sich sehen lassen:
– 27 Millionen gestohlene Zugangsdaten beschlagnahmt
– 326 Server und 142 Domains stillgelegt
– Rund 41 Millionen Euro in Kryptowährung sichergestellt
– Fast 15.000 kompromittierte Websites bereinigt
Vorausgegangen war die Entdeckung einer offen zugänglichen Datenbank am 12. Juni, die 24 Milliarden Zugangsdaten und 8,3 Terabyte an Daten enthielt – darunter Sitzungs-Cookies, die eine MFA-Umgehung ermöglichten.
Microsoft Teams als Einfallstor – und eine Schwachstelle in KI-Browsern
Betrifft Ihr Unternehmen die neue Welle von KI-Phishing? Die kostenlose Checkliste zeigt Ihnen die fünf kritischen Schwachstellen in Ihrer Authentifizierung und konkrete Gegenmaßnahmen. Checkliste anfordern
Parallel dazu nutzen Angreifer zunehmend legitime Unternehmenswerkzeuge. Im Juni 2026 tarnte sich eine Kampagne als Microsoft Teams und zielte auf Nutzer in den USA, Großbritannien, Brasilien, Indien und Russland. Gefälschte Besprechungsmitschnitte verleiteten Opfer zum Download von Fernwartungssoftware – die Angreifer übernahmen die vollständige Kontrolle über die Systeme.
Forscher entdeckten zudem eine Schwachstelle namens „BioShocking“, die KI-integrierte Browser wie ChatGPT Atlas und Perplexity Comet betrifft. Ein Rätselspiel-Format trickst die KI-Browser aus und bringt sie dazu, Nutzerdaten preiszugeben. Während einige Entwickler bereits Patches ausgeliefert haben, kämpfen andere noch mit der Behebung – ein deutliches Zeichen dafür, dass die Sicherheitsarchitektur mit der rasanten KI-Integration kaum Schritt hält.
