Internationale Ermittler haben mehrere massive Phishing-Netzwerke zerschlagen – darunter eine KI-gesteuerte Bande mit fast zwei Milliarden Euro Schaden.
Operation Ghost Hook: Chinesisches Netzwerk geknackt
Die größte Aktion dieser Woche trägt den Namen Operation Ghost Hook. Gemeinsam mit Google und Black Lotus Labs gelang US-Behörden die Zerschlagung eines chinesischen Phishing-as-a-Service-Netzwerks namens „Outsider Enterprise“. Die Bilanz ist erschreckend: 3,87 Millionen gestohlene Kreditkartennummern und ein Gesamtschaden von rund 1,9 Milliarden Euro.
Anzeige: Die Operation Ghost Hook zeigt: KI-Phishing verursacht Milliardenschäden. Mit unserer Checkliste erkennen Sie Angriffe in 3 Schritten und schulen Ihr Team – bevor Ihre Konkurrenz den Notfallplan hat. Jetzt kostenlosen Schutz-Report anfordern
Die Täter setzten auf Künstliche Intelligenz – unter anderem auf Googles KI-Modell Gemini. Damit erstellten sie über 9.000 betrügerische Websites und mehr als eine Million manipulative URLs. Allein in zwei Wochen im Mai 2026 verschickte die Gruppe 2,5 Millionen SMS an Android-Nutzer. 55.000 davon wurden als betrügerisch eingestuft. Die Ermittler beschlagnahmten Server, Domains, einen Shopify-Online-Shop und rund 100.000 Euro Bargeld.
Millionen-Falle: Gefälschte Boots-Angebote
Ein zweiter Fall sorgt ebenfalls für Aufsehen: Rumänische Hacker lockten zwischen 8,8 und 9 Millionen Nutzer in eine Falle. Sie gaben sich als die britische Drogeriekette Boots aus und versprachen kostenlose Beauty-Proben oder Umfrage-Belohnungen. Wer anbiss, gab persönliche Daten und Zahlungsinformationen preis. Die betrügerischen Mails stammten von einem kompromittierten britischen Firmenserver – versendet mit der Software Gammadyne Mailer.
Parallel dazu warnt die Sicherheitsbranche vor einer neuen Kampagne gegen australische Bürger. Die Angreifer geben sich als Australian Taxation Office aus und behaupten, ein neues Steuerdokument sei bereit. Die Opfer landen auf einer gefälschten myGov-Seite, die Login-Daten, SMS-Codes und sogar Passdaten abgreift.
GitBait: Dreijähriger Angriff auf Mexikos Banken
Besonders hartnäckig zeigt sich die Kampagne GitBait. Seit rund drei Jahren attackiert sie den mexikanischen Finanzsektor. Laut Group-IB sind mindestens 24 Banken betroffen, die Angreifer nutzen über 200 Domains. Das Besondere: Das Phishing-Kit ist serverlos und auf GitHub Pages gehostet. Gestohlene Daten werden über die SheetBest-API direkt in Google Sheets geschrieben – schwer zu verfolgen, einfach zu nutzen.
Nordkoreanische Hacker zielen auf Krypto-Elite
Eine ganz andere Liga spielt die nordkoreanische Gruppe Sapphire Sleet. Seit Anfang 2026 jagt sie Fachleute aus Krypto, Venture Capital und Blockchain – und zwar gezielt auf macOS-Geräten. Die Täter geben sich als Personalvermittler aus und locken ihre Opfer mit Jobangeboten. Statt eines Vertrags landen jedoch bösartige Skripte auf dem Rechner, getarnt als Software-Update. Apple hat mittlerweile reagiert und neue Schutzmechanismen in XProtect und Safari Safe Browsing eingebaut.
Android-Trojaner Rokarolla im Anmarsch
Auch Mobilgeräte bleiben nicht verschont. Der neue Android-Banking-Trojaner Rokarolla zielt auf 217 Bank- und Krypto-Apps ab und kann 137 verschiedene Befehle ausführen. Verbreitet wird er über gefälschte Websites, die populäre Apps imitieren. Einmal installiert, stiehlt Rokarolla Finanzdaten, zeichnet Tastatureingaben auf und fängt Einmal-Passwörter aus SMS ab.
56 Millionen neue E-Mail-Adressen in Datenbank
Anzeige: Ihre Mitarbeiter sind das größte Einfallstor für KI-Phishing. Unser Report liefert ein sofort umsetzbares Sicherheitstraining und einen Notfallplan – damit aus einem Klick kein Millionen-Schaden wird. Mitarbeiter-Training jetzt sichern
Die Datenbank Have I Been Pwned hat am 15. Juni 2026 einen gewaltigen Schub erhalten: 56,3 Millionen E-Mail-Adressen und 124 Millionen Passwörter wurden hinzugefügt. Die Daten stammen nicht etwa aus einem klassischen Firmen-Hack, sondern aus Infostealer-Malware auf infizierten Windows-PCs. Ein alarmierender Hinweis darauf, wie viele Zugangsdaten im Darknet bereits kursieren.
WM-Warnung: 4.300 Fake-Seiten entdeckt
Bereits seit August 2025 beobachten Sicherheitsforscher einen weiteren Trend: Gefälschte Ticket-Websites zur FIFA-Weltmeisterschaft. Über 4.300 betrügerische Domains wurden identifiziert. Viele kopieren die offiziellen Login-Seiten, um Fans hereinzulegen und ihre Daten zu stehlen. Die Warnung der Behörden vom 27. Mai 2026 ist aktueller denn je.
