Kriminelle nutzen KI-gestützte Tricks, um selbst moderne Schutzsysteme zu umgehen. Besonders Gmail- und Google-Workspace-Nutzer sind im Visier.
Cybersicherheitsforscher und große Technologiekonzerne schlagen Alarm: Eine neue Welle hochprofessioneller Phishing-Angriffe rollt über die digitale Welt. Die Täter setzen dabei auf ausgeklügelte Methoden wie „Text-Salting“ und „Browser-im-Browser“-Attacken, um selbst KI-gestützte Filter zu überlisten und an sensible Zugangsdaten zu gelangen.
Der Robinhood-Vorfall: Angriff im echten E-Mail-Verlauf
Besonders perfide war eine Kampagne gegen Kunden der Handelsplattform Robinhood am vergangenen Wochenende. Die betrügerischen Nachrichten tauchten direkt in legitimen E-Mail-Verläufen auf – und bestanden sämtliche Sicherheitsprüfungen, darunter SPF, DKIM und DMARC.
Die Angreifer nutzten eine HTML-Injection-Schwachstelle im Benachrichtigungssystem von Robinhood aus. Kombiniert mit dem sogenannten „Gmail-Punkt-Trick“ – bei dem verschiedene Varianten einer E-Mail-Adresse auf dasselbe Konto verweisen – gelang es ihnen, täuschend echte Sicherheitswarnungen zu erstellen. Ziel war es, Anmeldedaten und Zwei-Faktor-Authentifizierungscodes abzugreifen. David Schwartz von Ripple und andere Branchenkenner warnten Nutzer eindringlich vor der kaum erkennbaren Gefahr.
KI gegen KI: Wie „Text-Salting“ die Filter austrickst
Ein Großteil der aktuellen Angriffswelle setzt auf eine Technik namens „Text-Salting“. Allein seit April 2026 wurden über eine Million solcher Phishing-Versuche registriert, wie eine Untersuchung des Sicherheitsanbieters Barracuda ergab.
Die Funktionsweise ist raffiniert: Die Angreifer verstecken große Blöcke harmloser Textinhalte – etwa zufällige Geschichten oder Notizen – im HTML-Code einer E-Mail. Durch CSS-Eigenschaften wie „clip-path“, Schriftgröße Null oder Positionierung außerhalb des sichtbaren Bereichs bleibt dieser Text für den Empfänger unsichtbar. KI-gestützte Spam-Filter hingegen analysieren den gesamten Inhalt und werden so getäuscht: Die harmlosen Passagen verwässern die verdächtigen Schlüsselwörter, die Phishing-Mail wird als sicher eingestuft.
Die Sicherheitsforscher beobachten mit Sorge, dass die Täter generative KI nutzen, um diese Fülltexte in nie dagewesener Vielfalt und Geschwindigkeit zu produzieren. Ein Wettlauf zwischen Angreifern und Verteidigern hat begonnen.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Experten-Leitfaden zur Hacker-Abwehr kostenlos herunterladen
Falsche Jobangebote: Der „Browser-im-Browser“-Trick
Seit mindestens fünf Monaten läuft eine Kampagne, bei der sich Kriminelle als mehr als 30 bekannte Marken ausgeben – darunter Netflix, OpenAI und Adobe. Über die Plattform PeopleForce verschicken sie gefälschte Vorstellungsgespräche.
Die E-Mails enthalten oft echte Namen und Fotos von Personalverantwortlichen, um Vertrauen zu erzeugen. Die Opfer werden auf eine Phishing-Seite gelockt, die einen „Browser-im-Browser“-Angriff nutzt: Ein gefälschtes Fenster imitiert perfekt den echten Google-Anmeldebildschirm. Das Ziel: Google-Passwörter stehlen und die gesamte digitale Identität übernehmen.
Parallel dazu wurden im Juli 2026 Sicherheitswarnungen für Nutzer von LastPass und Bitwarden dokumentiert. Mit irreführenden Domainnamen lockten die Täter ihre Opfer auf gefälschte DocuSign-Seiten, die angeblich eine sofortige Unterschrift erforderten.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Psychologische Manipulationstaktiken jetzt entlarven
„Shadow Tokens“: Dauerhafter Zugriff trotz Passwortänderung
Auch hochprofessionelle Gruppen verfeinern ihre Methoden. Kaspersky identifizierte kürzlich eine Technik der APT-Gruppe ToddyCat, die als „Shadow Token via Remote Debug“ (STRD) bezeichnet wird.
Dabei installieren die Angreifer eine Schadsoftware, die das Browserprofil des Opfers kopiert und eine unsichtbare Chrome-Instanz im Debug-Modus startet. Automatisiert wird dann der OAuth-Zustimmungsprozess für Google-Workspace-Migrationstools durchlaufen. Einmal erlangt, bleibt der OAuth-Token aktiv – selbst wenn der Nutzer sein Passwort ändert. Die Angreifer haben dauerhaften Zugriff auf das E-Mail-Konto.
Was Nutzer jetzt tun sollten
Die zunehmende Bedrohungslage hat zu Warnungen auf höchster Ebene geführt. Halimah Delaine Prado, General Counsel bei Google, wies kürzlich auf ein China-basiertes Netzwerk hin, das KI nutzt, um täuschend echte Nachbildungen vertrauenswürdiger Marken-Websites zu erstellen. Die finanziellen Schäden sind enorm: Allein 2023 überstiegen die Verbraucherverluste durch Online-Betrug in den USA die Marke von zehn Milliarden Euro.
Sicherheitsexperten empfehlen eine mehrschichtige Verteidigungsstrategie:
– Sicherheitswarnungen immer durch direkte Eingabe der offiziellen Webadresse überprüfen – niemals auf Links in E-Mails klicken
– Berechtigte OAuth-Anwendungen im Google Workspace regelmäßig auditieren und verdächtige Berechtigungen entziehen
– Browser-Debug-Ports auf Firmengeräten sperren, um „Shadow-Token“-Angriffe zu verhindern
– Kontextbasierte Erkennungstools einsetzen, die den sichtbaren Inhalt einer E-Mail mit ihrem HTML-Code abgleichen
Obwohl die Verluste durch Phishing in einigen Bereichen wie Kryptowährungen 2025 deutlich zurückgingen, kehren die Angreifer 2026 mit verfeinerten, KI-gestützten Werkzeugen zurück. Der Kampf um die digitale Sicherheit ist in eine neue Runde gegangen.


Hi, this is a comment.
To get started with moderating, editing, and deleting comments, please visit the Comments screen in the dashboard.
Commenter avatars come from Gravatar.