Besonders Marketing-Spezialisten und Nutzer von Shopping-Apps stehen im Fadenkreuz.
Gefälschte Jobangebote locken Marketing-Profis in die Falle
Kriminelle missbrauchen Identitäten großer Unternehmen wie Adidas, Netflix oder Adobe. Sie versenden gefälschte Einladungen zu Vorstellungsgesprächen – vorrangig an Experten aus dem Marketing-Bereich.
Die Methode ist technisch anspruchsvoll: Beim sogenannten Browser-in-the-Browser-Angriff wird den Opfern innerhalb einer Webseite ein scheinbar legitimes Anmeldefenster für Google-Konten angezeigt. Das Fenster kontrollieren die Angreifer vollständig. Ziel ist der Diebstahl von Zugangsdaten.
Die Täter nutzen Namen und Fotos realer Personalvermittler sowie bekannte Plattformen wie PeopleForce oder Salesforce, um Glaubwürdigkeit vorzutäuschen.
WM 2026 befeuert die Betrugswelle
Das bevorstehende sportliche Großereignis gibt der Masche zusätzliche Dynamik. Analysen zeigen einen Anstieg der WM-bezogenen Phishing-Versuche um 500 Prozent zwischen April und Juni dieses Jahres.
Neben gefälschten Rekrutierungskampagnen für das Turnier dienen auch vermeintliche Gewinnspiel-Bundles von Sponsoren wie Coca-Cola als Köder.
Missbrauch legitimer App-Infrastruktur
Ein weiterer Schwerpunkt: der Missbrauch bekannter App-Ökosysteme. Seit Juli 2026 nutzen Angreifer vermehrt die Shop-App von Shopify für Rechnungs-Phishing. Nutzer erhalten innerhalb der App Benachrichtigungen über angebliche Käufe von Norton-Lizenzen, Apple-Geschenkkarten oder PayPal-Transaktionen.
Rekord-Schäden durch Phishing zeigen, wie professionell Angreifer heute agieren und selbst legitime Apps für ihre Zwecke missbrauchen. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Manipulationstaktiken der Hacker entlarven und sich wirksam schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen
Die Mitteilungen fordern die Opfer auf, eine Telefonnummer anzurufen – das bildet die Schnittstelle zu Voice-Phishing-Kampagnen.
Auch im Reisesektor ist die Gefahr gestiegen. Die Verbraucherzentrale Baden-Württemberg warnt vor gefälschten Zahlungsaufforderungen per E-Mail oder WhatsApp nach Buchungen über Plattformen wie booking.com. Die Betrüger nutzen offenbar Daten aus früheren Lecks: Die Nachrichten enthalten korrekte Namen, Buchungsnummern und Reisedaten.
Verbraucherschützer raten dringend, Zahlungsstatus nur über die offiziellen Portale der Anbieter zu prüfen.
Voice-Phishing gegen Microsoft-365-Nutzer
Seit dem Frühjahr 2026 läuft eine koordinierte Voice-Phishing-Kampagne gegen Nutzer von Microsoft 365. Die Gruppe O-UNC-066 (Pink) manipuliert Opfer am Telefon, um eine im Mai 2026 eingeführte Passkey-Registrierungsfunktion auszunutzen. Ziel ist die Kontoübernahme, um sensible Daten aus SharePoint und OneDrive zu entwenden.
Betroffen sind diverse Branchen – darunter Gesundheitswesen, Technologiebranche und Luftfahrt.
Experten warnen zudem vor Ghost-Phishing-Wellen. Sie umgehen herkömmliche E-Mail-Filter mit verschlüsseltem HTML-Code. Besonders Beratungsunternehmen und Finanzdienstleister stehen im Fokus.
Die Einführung von Benutzernamen bei WhatsApp im Juli 2026 sieht die Verbraucherzentrale NRW kritisch: Dies eröffne neue Möglichkeiten für Identitätsdiebstahl.
Ob Microsoft 365 oder WhatsApp – die Umstellung auf passwortlose Anmeldungen soll eigentlich für mehr Sicherheit sorgen, wird aber bereits von Kriminellen ins Visier genommen. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sicher einrichten und so Datenklau verhindern. Gratis-Report: Sicher und passwortlos anmelden
Internationale Ermittlungserfolge
Gegen diese globalen Strukturen erzielte Interpol Anfang des Jahres einen Erfolg. Im Rahmen der Operation „First Light 2026“ wurden zwischen Januar und April über 5.800 Verdächtige in 97 Ländern festgenommen. Die Ermittler stellten rund 293 Millionen US-Dollar sicher und froren mehr als 31.000 Bankkonten ein.
Im Fokus standen Betrugsformen wie Business Email Compromise (BEC) und Anlagebetrug.
Klare Rechte für Verbraucher
Für betroffene Verbraucher in Deutschland gibt es klare rechtliche Rahmenbedingungen. Nach § 675u BGB müssen Banken nicht autorisierte Zahlungen grundsätzlich erstatten. Ein Urteil des Bundesgerichtshofs aus dem Jahr 2024 stärkte die Rechte von Kunden: Die Beweislast für grobe Fahrlässigkeit liegt bei den Finanzinstituten.
Zudem entschied das OLG Brandenburg: Banken haben eine Warnpflicht gegenüber Kunden, wenn konkrete Anhaltspunkte für Phishing-Aktivitäten vorliegen.
Unternehmen müssen seit Ende 2025 die verschärften Meldepflichten der NIS2-Richtlinie beachten. Mittelständische Betriebe ab einer bestimmten Größe sind verpflichtet, schwerwiegende Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung zu melden.

