Die Bedrohungslage im digitalen Raum hat sich grundlegend verändert. Das geht aus aktuellen Analysen der Google Threat Intelligence Group (GTIG) und des FBI hervor, die am Dienstag veröffentlicht wurden. Kriminelle setzen zunehmend auf automatisierte Phishing-Dienste, die selbst mehrstufige Authentifizierungsverfahren (MFA) überwinden. Besonders betroffen: SMS-basierte Sicherheitscodes, die Experten zufolge für Unternehmen und Banken nicht mehr ausreichen.
Angesichts der 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland ist herkömmlicher Passwortschutz längst nicht mehr ausreichend. Erfahren Sie in diesem kostenlosen Report, wie Sie moderne Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und sich effektiv vor Datenklau schützen. Gratis-Report: Passwortlose Anmeldung jetzt entdecken
Live-Abfangpanels: So funktioniert der neue Betrug
Die Google-Experten haben rund ein Dutzend aktiver Phishing-as-a-Service-Plattformen (PhaaS) identifiziert, die überwiegend aus chinesischsprachigen Kreisen stammen. Diese Dienste bieten sogenannte „Live-Admin-Panels“ an – Werkzeuge, die eingegebenen Sicherheitscodes in Echtzeit abfangen und sofort auf der echten Website verwenden.
Ein Beispiel: Die Plattform „YY Lai Yu“, seit August 2024 aktiv, stellt über 400 Vorlagen für Angriffe auf 119 Länder bereit. Hauptziel ist Japan, wo Dienste wie PayPay, Amazon und Apple nachgebaut werden, um digitale Geldbörsen zu plündern.
Die Angreifer nutzen zunehmend RCS (Rich Communication Services) und iMessage statt klassischer SMS. So umgehen sie die Sicherheitsfilter der Mobilfunkanbieter. Die Plattform „Darcula“ setzt zudem auf KI-gestützte Seitengeneratoren, um täuschend echte Phishing-Seiten im Massenverfahren zu erstellen.
Parallel warnt das FBI vor der Plattform „Kali365″, die speziell Microsoft-365-Umgebungen attackiert. Die Methode: Opfer erhalten eine E-Mail mit einem Code und werden auf eine echte Microsoft-Seite gelotst. Geben sie den Code dort ein, kapern die Angreifer das OAuth-Token – und erhalten vollen Zugriff auf Outlook, Teams und OneDrive, ohne je ein Passwort zu benötigen.
Regulierungsbehörden ziehen die Reißleine
Die Philippinen machen Ernst: Die Zentralbank (BSP) verlangt von allen Banken und E-Wallet-Anbietern, SMS- und E-Mail-OTPs für sensible Transaktionen bis zum 30. Juni 2026 abzuschaffen. Stattdessen sollen biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung sowie gerätebasierte Authentifizierung zum Einsatz kommen.
Wer die Vorgaben nicht umsetzt, haftet künftig für Betrugsschäden. Die Philippinen reihen sich damit in einen globalen Trend ein: Die Schwachstellen von SMS – insbesondere SIM-Swapping und Abfangen von Nachrichten – führen weltweit zur Abkehr von dieser Methode.
Auch Indien verschärft die Regeln. Das Computer Emergency Response Team (CERT-In) verlangt seit dem 25. Mai 2026, dass Unternehmen kritische Sicherheitslücken innerhalb von zwölf Stunden schließen müssen. Bei schwerwiegenden Schwachstellen gilt eine Frist von fünf Tagen.
Hardware statt Handy: Der Weg zu phishing-resistenten Schlüsseln
Die Industrie setzt zunehmend auf den FIDO2-Standard und WebAuthn. Yubico gab am Dienstag bekannt, dass seine neue YubiKey-5-FIPS-Serie die Zertifizierung FIPS 140-3 erhalten hat – eine Pflichtvoraussetzung für Behörden und Verteidigungsauftragnehmer in den USA. Die Hardware-Schlüssel speichern bis zu 100 Passkeys und unterstützen moderne Verschlüsselungsverfahren wie RSA-4096 und Ed25519.
Der Trend zu Passkeys – kryptografischen Anmeldedaten, die lokal auf dem Gerät gespeichert werden – gewinnt an Fahrt. Anders als SMS-Codes sind Passkeys an bestimmte, legitime Internetadressen gebunden. Selbst wenn ein Nutzer auf eine gefälschte Seite hereinfällt, funktioniert der Schlüssel dort nicht.
Die Dringlichkeit zeigt ein aktueller Vorfall: Die Hackergruppe „Shiny Hunters“ verschaffte sich Zugang zur Bildungsplattform Canvas. Sicherheitsexperten raten betroffenen Nutzern, von SMS-Verifikation auf spezielle Authenticator-Apps oder Hardware-Schlüssel umzusteigen.
Analyse: Warum die alte Sicherheitslogik nicht mehr greift
Jahrelang galt die Zwei-Faktor-Authentifizierung als verlässlicher Schutz gegen Massen-Phishing. Doch die Kommerzialisierung von PhaaS hat die Fähigkeit zu „Man-in-the-Middle“-Angriffen zur Massenware gemacht. Die Live-Admin-Panels erlauben es Angreifern, einen Code sofort zu nutzen, bevor er abläuft.
Besonders tückisch: Die Attacken auf OAuth-Flows, wie bei Kali365, zeigen, dass selbst „passwortlose“ Verfahren verwundbar sind, wenn die Autorisierungsmechanismen nicht richtig abgesichert sind. Ursprünglich für Geräte mit eingeschränkter Eingabe – etwa Smart-TVs – entwickelt, sind diese Abläufe zu einem blinden Fleck für Unternehmen geworden.
Während Behörden die Reißleine bei unsicheren SMS-Verfahren ziehen, bietet die neue Passkey-Technologie eine sichere Alternative, die Hackern keine Chance lässt. Dieser kostenlose Leitfaden erklärt verständlich, wie Sie die passwortlose Anmeldung für Ihre wichtigsten Konten sofort aktivieren. Kostenlosen Passkey-Guide jetzt herunterladen
Die geografische Fokussierung der Angriffe verrät die Strategie der Täter: Japan als Hochburg digitaler Zahlungen wird gezielt attackiert. Die Täter suchen sich Regionen mit hoher Digitalisierungsrate, aber noch unzureichender Hardware-Absicherung.
Ausblick: Das Ende der SMS-TAN rückt näher
Der 30. Juni 2026 als Stichtag auf den Philippinen könnte ein Signal für andere Aufsichtsbehörden sein. Experten erwarten, dass weitere Länder ähnliche Vorgaben erlassen. Für Unternehmen rückt die gerätebezogene Authentifizierung in den Fokus – bei der die Sicherheitsstufe vom Risiko des jeweiligen Anmeldeversuchs abhängt.
Die Zertifizierung von Hardware-Schlüsseln nach FIPS 140-3 wird die Verbreitung im öffentlichen Sektor und bei Rüstungsunternehmen beschleunigen. Angesichts KI-gestützter Phishing-Angriffe ist die Botschaft der Sicherheitsbranche eindeutig: Der einzige dauerhafte Schutz liegt in Verfahren, die weder auf lesbare Codes noch auf geteilte Geheimnisse setzen – sondern auf lokal gespeicherte, hardwaregestützte Anmeldedaten.
Google geht parallel juristisch gegen die Betreiber von Phishing-Kits vor, wie eine Klage gegen das „Lighthouse“-Smishing-Kit aus dem November 2025 zeigt. Doch die schnelle Verbreitung neuer Plattformen wie „YY Lai Yu“ macht deutlich: Der Kampf um die Identitätssicherheit bleibt eine Daueraufgabe.
