Millionen Nutzer sind betroffen – von gehackten Instagram-Konten bis zu gestohlenen Firmendaten.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Meta schließt kritische KI-Sicherheitslücke nach Account-Übernahmen
Instagram hat am 1. Juni 2026 ein Sicherheitsupdate veröffentlicht. Der Grund: Angreifer hatten den Meta-KI-Chatbot manipuliert, um Konten zu übernehmen. Die Masche war raffiniert: Die Hacker überzeugten den Chatbot, Bestätigungscodes an eine fremde E-Mail-Adresse zu senden. Gaben sie diesen Code dann zurück, schaltete das System eine Option zum Zurücksetzen des Passworts frei – ohne Zugriff auf die ursprüngliche E-Mail.
Betroffen waren prominente Accounts wie das des Obama-White-House und der Space Force. Ein Instagram-Sprecher bestätigte, dass die Sicherheitslücke inzwischen geschlossen sei.
Dark-Web-Auktion: Nando’s-Mitarbeiterdaten im Angebot
Seit dem 1. Juni 2026 steht ein Datensatz mit über 87.000 Mitarbeiterprofilen der Restaurantkette Nando’s UK and Ireland auf einem Dark-Web-Forum zum Verkauf. Die Daten, die am 30. Mai abgegriffen wurden, enthalten Namen, Jobtitel, Gehälter und Kostenstellen. Der Verkäufer verlangt umgerechnet rund 920 Euro in Kryptowährung.
Erst Ende Mai hatte der Kreuzfahrtriese Carnival Corp einen massiven Datenleck gemeldet: Fast sechs Millionen Reisende waren bei einem Social-Engineering-Angriff im April 2026 betroffen.
FBI warnt vor Kali365: Angriffe auf Microsoft-Nutzer
Das FBI hat eine offizielle Warnung zu einer Phishing-as-a-Service-Plattform namens Kali365 herausgegeben. Seit April 2026 aktiv, ermöglicht die Plattform Angreifern, OAuth-Tokens über gefälschte Geräte-Anmeldeflows zu stehlen. Die Methode umgeht selbst die Zwei-Faktor-Authentifizierung.
Ziel der Kampagne sind Nutzer von Microsoft Outlook, Teams und OneDrive. Laut FBI kommt es täglich zu Hunderten von Kompromittierungen. Besonders betroffen: Gesundheitswesen, Bildung, Finanzsektor und Fertigungsindustrie in Nordamerika, Europa und dem Nahen Osten. Eine einzelne Kampagne traf über 340 Organisationen. Die finanziellen Schäden durch Account-Übernahmen belaufen sich seit Januar 2025 auf über 240 Millionen Euro.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book: Cyber-Sicherheit im Unternehmen stärken
Neue Gefahren durch KI und private Messenger
Sicherheitsanalysten haben eine neue Phishing-Methode identifiziert, die die Code-Darstellungsfunktionen von ChatGPT und Claude missbraucht. Angreifer nutzen geteilte Chat-URLs, um gefälschte Service-Seiten zu hosten. Diese fordern Nutzer auf, eine schädliche Desktop-Anwendung herunterzuladen. Die sogenannten „ClickFix“-Angriffe erreichen ihre Opfer vor allem über Suchmaschinenergebnisse – nicht per E-Mail.
Auch Signal-Nutzer sind im Visier: Eine neue Phishing-Welle zielt auf den privaten Messengerdienst ab. Angreifer geben sich als technischer Support aus und versuchen, Nutzer zur Herausgabe ihres 64-stelligen Wiederherstellungsschlüssels zu bewegen – angeblich, um Synchronisationsprobleme zu beheben. Mit diesem Schlüssel können Angreifer komplette Chatverläufe herunterladen und entschlüsseln. Menschenrechtsorganisationen und Journalisten stehen im Fokus dieser Angriffe.
Malware und „Quishing“: Die nächsten Wellen rollen
Weitere aktuelle Bedrohungen im Überblick:
- Dateilose Malware: FortiGuard Labs entdeckte eine E-Mail-Kampagne, die „PureLogs“-Malware über gefälschte Bestellungen verbreitet. Die Schadsoftware nutzt Process-Hollowing, um unerkannt zu bleiben, während sie Browserdaten und Kryptowährungs-Wallets ausspäht.
- HR-Phishing per QR-Code: Eine neue „Quishing“-Welle verwendet gefälschte HR-E-Mails zu Mitarbeiterbewertungen. Wer den QR-Code scannt, landet auf einer gefälschten Anmeldeseite.
- Krypto-Betrug: Malwarebytes entdeckte eine betrügerische BlueWallet-Website, die Mac-Nutzer angreift. Die Schadsoftware stiehlt Daten aus Passwort-Managern, AWS-Zugangsdaten und Apple Notes.
Sicherheitsexperten raten: Niemals unaufgeforderte Gerätecodes eingeben, keine Wiederherstellungsschlüssel herausgeben und QR-Codes aus E-Mails grundsätzlich misstrauen.
