000 Facebook-Konten geknackt. Die als „AccountDumpling“ bekannte Operation nutzt gezielt die vertrauenswürdige Infrastruktur von Google AppSheet und Google Drive aus, um herkömmliche Sicherheitsfilter zu umgehen. Besonders betroffen sind Geschäftskunden des sozialen Netzwerks.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken und Hacker-Angriffe schützen kann. Anti-Phishing-Paket jetzt gratis anfordern
Die Täter manipulieren dabei Googles Authentifizierungsprotokolle SPF, DKIM und DMARC. Indem sie ihre Phishing-Mails über etablierte Google-Domänen verschicken, wirken die Nachrichten für die Empfänger-Server legitim und landen oft nicht einmal im Spam-Ordner. Mehr als zwei Drittel der identifizierten Opfer sitzen in den USA.
Wie die Täter vertrauenswürdige Ökosysteme kapern
Das Herzstück der Kampagne ist der Einsatz von Google AppSheet als Phishing-Relais. Die Angreifer nutzen die Plattform, um authentifizierte E-Mails zu generieren, die scheinbar von offiziellen Meta- oder Facebook-Support-Kanälen stammen. Klickt ein Nutzer auf den Link, führt ihn eine Kette von betrügerischen Seiten – gehostet auf Google Drive oder anderen Webplattformen – zu täuschend echt nachgebauten Facebook-Hilfeseiten.
Das Ziel: der massenhafte Diebstahl sensibler Kontodaten. Dazu gehören nicht nur normale Anmeldedaten, sondern auch Zwei-Faktor-Authentifizierungscodes (2FA) und sogar Ausweisdokumente. Indem die Betrüger die 2FA-Codes in Echtzeit über die gefälschte Oberfläche abfangen, können sie Konten sofort übernehmen – selbst wenn diese durch eine zweite Sicherheitsebene geschützt sind. Die gestohlenen Daten werden Berichten zufolge über Telegram-Bots abtransportiert.
Die Forscher haben vier verschiedene Angriffs-Cluster identifiziert:
– „Blue Badge“-Betrug: Opfern wird ein offizielles Verifizierungs-Symbol versprochen
– Netlify-Klone: Nachgebaute Webseiten als Köder
– Gefälschte „Live Control“-Panels: Vortäuschung von Sicherheitsfunktionen
– Fake-Jobangebote: Lockangebote für Arbeitssuchende
Diese Vielfalt erlaubt es den Tätern, ihre Opfer zielgenau anzusprechen – von beruflichen Ambitionen bis zum Wunsch nach sozialem Prestige.
Geografische Verteilung und Täter im Visier
Die Kampagne ist global, aber der Schwerpunkt liegt klar in Nordamerika: 68,6 Prozent der Opfer stammen aus den USA, gefolgt von Kanada und Italien. Der Fokus auf US-Geschäftskonten deutet auf finanzielle Motive hin – diese Accounts verfügen oft über Werbeguthaben und integrierte Zahlungssysteme.
Ermittlungen führen zu einem Verdächtigen in Vietnam, identifiziert als Pham Tai Tan. Die technischen Signaturen deuten auf eine hoch organisierte Gruppe hin. Diese Spur passt zu den Warnungen von Regierungsbehörden vor dem Aufstieg organisierter Cyberkriminellen-Syndikate in Südostasien, die zunehmend Cloud-Dienste und Automatisierung nutzen.
Parallel dazu warnen Behörden in Hawaii und Idaho vor SMS-Phishing mit QR-Codes, die zu gefälschten Zahlungsportalen von Regierungsstellen führen. Die Strategie bleibt dieselbe: Vertrauenswürdige Instanzen imitieren, um Zahlungen oder Zugangsdaten zu erbeuten.
Künstliche Intelligenz treibt die Bedrohung an
Die AccountDumpling-Kampagne falls in eine Zeit, in der internationale Polizeibehörden vor der wachsenden Komplexität von Online-Betrug warnen. Der Europol-Bericht IOCTA 2026 betont, dass KI und Ende-zu-Ende-Verschlüsselung die Cyberkriminalität grundlegend verändern. Online-Betrug ist demnach der am schnellsten wachsende Sektor – getrieben durch KI-Tools, die die Einstiegshürden für komplexe Phishing-Angriffe senken.
Branchenanalysten schätzen, dass 86 Prozent aller modernen Phishing-Angriffe inzwischen KI-gesteuerte Automatisierung nutzen. Das erlaubt Gruppen, täglich Hunderttausende Angriffe mit minimalem manuellem Aufwand zu starten. In den Vereinigten Arabischen Emiraten warnen Sicherheitsbehörden von bis zu 700.000 täglichen Cyberangriffen regionaler Akteure, die KI und Deepfakes einsetzen.
Die wirtschaftlichen Folgen sind enorm: Für 2026 werden die globalen Schäden durch Cyberkriminalität auf über 10,5 Billionen Euro geschätzt. Eine Studie von NASCIO und Deloitte zeigt, dass nur noch 22 Prozent der US-Landes-CISOs hohes Vertrauen in ihre Abwehrfähigkeiten haben – ein drastischer Rückgang von 48 Prozent vor vier Jahren.
Lieferketten-Risiken im Visier
Die Ausnutzung von Google-Diensten durch die AccountDumpling-Gruppe spiegelt einen breiteren Trend wider. Neben Social-Media-Phishing wurden Anfang Mai 2026 bösartige Pakete in Software-Repositories entdeckt. Eine Variante der „Shai-Hulud“-Malware in SAP-npm-Paketen stiehlt Cloud-Konfigurationen und Zugangsdaten – betroffen sind Pakete mit über 2,2 Millionen monatlichen Downloads.
Die Linux-Sicherheitslücke „Copy Fail“ (CVE-2026-31431) wurde kürzlich in den CISA-Katalog aufgenommen. Sie erlaubt lokale Rechteausweitung auf Root-Ebene und betrifft Distributionen, die fast ein Jahrzehnt alt sind. Ein einfaches 10-Zeilen-Skript reicht aus, um den Exploit auszulösen.
Ein weiterer Vorfall im Frühjahr 2026: Beim Sicherheitsdienstleister ADT wurden 5,5 Millionen E-Mail-Adressen gestohlen, nachdem Angreifer über kompromittierte SSO-Zugangsdaten eindrangen. Das zeigt die Fragilität identitätsbasierter Sicherheit.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Dieses kostenlose E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie Sicherheitslücken ohne großes Budget proaktiv schließen. Cyber-Security E-Book jetzt kostenlos herunterladen
Was Unternehmen und Nutzer jetzt tun müssen
Cybersicherheitsexperten empfehlen angesichts der AccountDumpling-Kampagne strengere Überprüfungsprozesse. Die Tatsache, dass Google AppSheet für Phishing-Mails genutzt wird, beweist: Das Vertrauen in die Reputation einer Absender-Domain reicht nicht mehr aus.
Gefordert wird zunehmend der Einsatz von FIDO2-konformen Hardware-Sicherheitsschlüsseln, die resistenter gegen die Echtzeit-2FA-Abfangmethoden der AccountDumpling-Betreiber sind. Auch die Regulierungsbehörden reagieren: In Kanada startete Anfang Mai 2026 ein mehrstufiges Cybersicherheits-Zertifizierungsprogramm für kritische Infrastrukturen. Google selbst hat sein Bug-Bounty-Programm reformiert und bietet bis zu 1,5 Millionen Euro für die Entdeckung hochwertiger Zero-Click-Exploits im Android-Ökosystem.
Für den Durchschnittsnutzer bleibt die Devise: Skepsis. Behörden betonen, dass Regierungen und große Unternehmen keine unaufgeforderten Nachrichten mit sofortigen Zahlungsaufforderungen per QR-Code oder Anfragen nach sensiblen Login-Daten über nicht-offizielle Domänen versenden. Je mehr sich legitime Cloud-Kommunikation und betrügerische Aktivitäten vermischen, desto mehr liegt die Verantwortung zur Überprüfung beim Endnutzer.
