Die Betrugsmaschen werden raffinierter – und die Schäden steigen.
Gefälschte Rechnungen von angeblichen Stadtverwaltungen
Mitte Mai schlugen die Behörden im ländlichen Gem County, Idaho, Alarm. Dort erhielten Anwohner und Bauunternehmer gefälschte Rechnungen für Baugenehmigungen – angeblich von der örtlichen Entwicklungsbehörde. Die Täter forderten Überweisungen per Banktransfer, eine Zahlungsmethode, die echte Ämter für solche Gebühren nie verwenden. Das FBI hat Ermittlungen aufgenommen.
Parallel dazu berichtete die Stadt Kingman, Arizona von ähnlichen Vorfällen. Dort imitierten Angreifer offizielle E-Mail-Domänen der Stadtverwaltung und verschickten Rechnungen mit dem Betreff „Invoice for Application Review and Approval Fee“. Zur Tarnung verwiesen sie auf das Accela Citizen Portal, eine gängige Software für Genehmigungsverfahren, um den Betrug legitim erscheinen zu lassen.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. In 4 Schritten zum sicheren Unternehmen: So stoppen Sie Phishing-Angriffe bevor sie entstehen
Diese Fälle sind kein Einzelfall. Die US-Verbraucherschutzbehörde FTC führt Identitätstäuschungs-Betrug bereits im neunten Jahr in Folge als häufigste Betrugsform. Auch in Großbritannien warnen Behörden vor ähnlichen Angriffen über gefälschte Helpdesks.
Automatisierte Angriffe: Webhooks als Einfallstor
Die technischen Methoden hinter diesen Kampagnen werden immer ausgefeilter. Ein Bericht von Cisco Talos dokumentiert einen Anstieg des Missbrauchs von n8n-Webhooks um 686 Prozent zwischen Januar 2025 und März 2026. Angreifer nutzen diese legitimen Automatisierungstools, um vertrauenswürdige Subdomains zu erstellen – und damit Sicherheitsfilter zu umgehen.
Über diese Plattformen schleusen sie Schadsoftware ein, die dauerhaften Zugriff auf Netzwerke ermöglicht. Der Markt für „Phishing-as-a-Service“ (PhaaS) hat die Einstiegshürde für solche Attacken drastisch gesenkt. Laut dem Barracuda Email Threats Report 2026, der über drei Milliarden E-Mails analysierte, nutzen 90 Prozent aller Phishing-Kampagnen inzwischen solche vorgefertigten Kits.
Ein weiterer Trend: QR-Code-Phishing oder „Quishing“. 70 Prozent aller bösartigen PDF-Dateien enthalten mittlerweile QR-Codes, die Opfer auf gefälschte Login-Seiten locken.
Auch Kommunikationsplattformen sind im Visier. Microsoft-Forscher dokumentierten die Aktivitäten der Gruppe Storm-1811, die Teams-Konten kapert, um sich als IT-Support auszugeben. Sobald die Angreifer Zugriff haben, überreden sie Mitarbeiter per Social Engineering zur Installation von Schadsoftware.
Fünf Millionen Euro Schaden – nur die Hälfte zurückgeholt
Die finanziellen Folgen sind enorm. Am 14. Mai 2026 sagte Frank O’Connor, CEO der irischen Staatsschuldenagentur NTMA, vor einem Untersuchungsausschuss aus. Im Juli 2025 hatten Angreifer die Behörde mit einer gefälschten Zahlungsaufforderung getäuscht – getarnt als legitime Anfrage eines Investmentfonds. Ergebnis: Fünf Millionen Euro Schaden. Bislang konnte die Agentur nur 2,5 Millionen Euro zurückholen.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Sicherheitslücken schließen
Auf globaler Ebene meldete das FBI für 2024 Online-Betrugsschäden in Höhe von 16,6 Milliarden US-Dollar (rund 15 Milliarden Euro). Besonders teuer: Betrug über soziale Medien. Die FTC beziffert die Verluste der Amerikaner allein 2025 auf 2,1 Milliarden US-Dollar – ein Anstieg um das Achtfache seit 2020.
In Houston bekannte sich kürzlich ein 34-Jähriger schuldig, knapp eine Million US-Dollar aus internationalen Business-E-Mail-Compromise-Angriffen gewaschen zu haben. Das Urteil soll im September fallen.
Abwehrstrategien: Von KI bis zum Patch-Dienstag
Die Tech-Konzerne reagieren. Auf einem Anti-Betrugs-Gipfel in Zürich verkündete Google im Mai 2026, dass Gmail täglich rund 15 Milliarden Spam- und Phishing-Mails blockiert. 2025 entfernte das Unternehmen 8,3 Milliarden Werbeanzeigen, davon über 600 Millionen direkte Betrugsversuche. Fünf Millionen US-Dollar fließen zudem in die Global Signal Exchange, eine Plattform für Echtzeit-Bedrohungsdaten.
Am jüngsten Patch-Dienstag im Mai schloss Microsoft 137 Sicherheitslücken, 31 davon als kritisch eingestuft. Darunter eine Schwachstelle in Microsoft Word, die eine Code-Ausführung aus der Ferne ermöglicht, sowie ein Pufferüberlauf in der Windows-Grafikschnittstelle.
Doch Technik allein reicht nicht. Sicherheitsexperten setzen zunehmend auf interaktive Sandbox-Tools, die Angriffsketten in unter 40 Sekunden analysieren. Die mittlere Lösungszeit pro Vorfall sank dadurch um 21 Minuten. Für Kommunen und kleine Unternehmen empfehlen Fachleute einen mehrschichtigen Ansatz: Identitätsbasierte Sicherheit, Zwei-Faktor-Authentifizierung und spezifische Phishing-Simulationen für Plattformen wie Teams.
Ausblick: Vertrauen schwindet
Während die Betrugsversuche weiter zunehmen – Kanada verzeichnet mit 4,4 Prozent eine überdurchschnittlich hohe Betrugsverdachtsrate –, verlagert sich der Fokus der Cybersicherheit hin zu überprüfbaren Schutzmechanismen. Eine Studie von Parks Associates zeigt: 75 Prozent der Verbraucher sorgen sich um die Sicherheit ihrer persönlichen Daten.
Für lokale Verwaltungen bleibt die oberste Priorität, ihre Portale zu härten und die Bürger über offizielle Zahlungswege aufzuklären. Denn die Angreifer werden immer besser darin, lokale Amtsträger zu imitieren und Nischenprozesse auszunutzen. Der Kampf gegen automatisierte Betrugsmaschen ist längst zur Daueraufgabe geworden.
