Phishing-Angriffe: KI macht Betrüger gefährlich wie nie

Die Ära der plumpen Spam-Mails ist vorbei. Cyberkriminelle setzen mittlerweile auf künstliche Intelligenz und missbrauchen vertrauenswürdige Plattformen wie Microsoft, um gezielt Überweisungen in Millionenhöhe umzuleiten. Besonders perfide: Die Angreifer imitieren Geschäftsführer per Deepfake-Stimme oder nutzen offizielle Einladungssysteme für ihre Betrugsmaschen.

In den vergangenen 72 Stunden haben Sicherheitsexperten eine dramatische Zunahme hochpräziser Phishing-Attacken registriert. Die Betrüger konzentrieren sich auf konkrete Finanztransaktionen – Rechnungszahlungen, Immobilienkäufe und Gehaltsüberweisungen stehen im Fokus. Das Jahresende mit seinem erhöhten Zahlungsverkehr spielt den Kriminellen dabei in die Hände.

Die moderne Phishing-Attacke beginnt mit akribischer Vorbereitung. Über LinkedIn und andere Plattformen identifizieren die Täter zunächst Schlüsselpersonen in Finanzabteilungen und Führungsetagen. Dann schlagen sie zu – mit täuschend echten E-Mails, die kaum von legitimer Geschäftskorrespondenz zu unterscheiden sind.

CEO-Fraud und Deepfakes bedrohen Firmenkonten – besonders, wenn Angreifer legitime Dienste wie Microsoft Entra missbrauchen und Mitarbeiter per Telefon oder E‑Mail zur Überweisung drängen. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud erkennen, psychologische Tricks entlarven und finanzielle Schäden verhindern. Ideal für IT‑Verantwortliche und Führungskräfte, die ihre Prozesse und Schulungen sofort sichern wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Ein besonders gefährlicher Trend: Business Email Compromise, kurz BEC. Die kanadische Polizei in Nova Scotia warnt aktuell vor einer Welle solcher Angriffe, bei denen Kriminelle sich als Lieferanten ausgeben und geänderte Bankverbindungen mitteilen. Die Rechnungen werden wie gewohnt bezahlt – das Geld landet aber direkt auf Konten der Betrüger.

Das Perfide daran: Die Angreifer nutzen nahezu identische Domain-Namen, die sich nur durch einen einzigen Buchstaben vom Original unterscheiden. Wer nicht genau hinschaut, merkt nichts.

Noch einen Schritt weiter gehen Kriminelle, die Microsoft-Systeme für ihre Zwecke missbrauchen. Sie nutzen das Einladungssystem von Microsoft Entra – früher Azure Active Directory – um Phishing-Nachrichten zu verschicken, die von Microsofts eigenen Servern stammen. Die betrügerische Botschaft verstecken sie geschickt im Nachrichtenfeld einer legitimen Einladung.

Ergebnis: Die E-Mail kommt durch alle Spam-Filter, trägt das vertrauenswürdige Microsoft-Logo und führt das Opfer zu einem mehrstufigen Betrug, der oft mit einem Anruf bei einer gefälschten Hotline endet.

Künstliche Intelligenz als Komplize

Was diese neue Generation von Angriffen so gefährlich macht, ist der Einsatz künstlicher Intelligenz. Die Systeme können E-Mails generieren, die perfekt den Schreibstil und Tonfall eines echten Vorgesetzten imitieren. Keine Tippfehler mehr, keine holprigen Formulierungen – die Nachrichten wirken absolut authentisch.

Doch damit nicht genug: Deepfake-Technologie ermöglicht es Betrügern mittlerweile, die Stimmen von Führungskräften zu klonen. In einem dokumentierten Fall nutzte ein Angreifer öffentlich verfügbare Fotos und Audio-Aufnahmen eines Geschäftsführers, um dessen Mitarbeiter telefonisch zur Überweisung größerer Summen anzuweisen. Die Kombination aus visueller und auditiver Täuschung plus dem psychologischen Druck durch einen vermeintlichen Vorgesetzten ist für viele kaum zu durchschauen.

Diese Branchen stehen unter Beschuss

Besonders im Visier: Immobiliengeschäfte. Die Betrüger klinken sich in E-Mail-Verkehr zwischen Käufern, Verkäufern, Maklern und Notaren ein und senden im entscheidenden Moment gefälschte Überweisungsanweisungen. Bei Anzahlungen und Kaufpreisen, die oft sechsstellige Beträge erreichen, lohnt sich der Aufwand für die Kriminellen.

Die Hotelbranche kämpft mit einer Massen-Attacke aus Russland. Eine Hackergruppe hat seit Anfang 2025 über 4.300 Domain-Namen registriert, die große Buchungsplattformen imitieren. Hotel-Gäste erhalten täuschend echte Buchungsbestätigungen und werden aufgefordert, ihre Zahlungsdaten zur “Absicherung der Reservierung” einzugeben. Die personalisierten Phishing-Seiten sind so professionell gestaltet, dass selbst erfahrene Nutzer hereinfallen.

Warum klassische Sicherheitssysteme versagen

Die entscheidende Schwachstelle: Herkömmliche Cyber-Abwehr ist darauf ausgelegt, schädliche Links und Anhänge zu blockieren. Doch was, wenn die Angreifer legitime Dienste nutzen und komplett ohne Schadsoftware auskommen?

Eine E-Mail, die von facebookmail.com oder als offizielle Microsoft-Einladung daherkommt, passiert problemlos automatische Filter. Die Verantwortung landet damit beim Menschen – der aber angesichts KI-generierter Perfektion und psychologischem Druck kaum eine Chance hat, die Fälschung zu erkennen.

Sicherheitsexperten betonen: Das eigentliche Angriffsziel ist nicht das IT-System, sondern das Vertrauen der Mitarbeiter. Und genau dieses Vertrauen wird immer raffinierter ausgenutzt.

Was Unternehmen jetzt tun müssen

Experten fordern einen Paradigmenwechsel in der Cyber-Sicherheit. Phishing-resistente Zwei-Faktor-Authentifizierung wie FIDO2 oder WebAuthn sind Pflicht – klassische SMS-Codes oder Authenticator-Apps reichen nicht mehr aus, da auch sie kompromittiert werden können.

Entscheidend sind neue Prozesse: Jede Änderung von Bankverbindungen, jede ungewöhnliche Überweisung muss über einen zweiten Kommunikationskanal verifiziert werden. Also nicht einfach auf die verdächtige E-Mail antworten, sondern zur bekannten Telefonnummer greifen und nachfragen.

Auch Mitarbeiterschulungen brauchen ein Update. Simulationen müssen nun Szenarien mit missbrauchten vertrauenswürdigen Plattformen und KI-generierten Inhalten umfassen. Die Mitarbeiter müssen lernen, dass selbst perfekt wirkende E-Mails von bekannten Absendern eine Falle sein können.

Die bittere Wahrheit: Es reicht nicht mehr, schädliche Inhalte zu blockieren. Unternehmen müssen bei jeder einzelnen Transaktion die Echtheit des Absenders rigoros überprüfen. Nur so lässt sich verhindern, dass Millionenbeträge auf Knopfdruck ins digitale Nirwana verschwinden.

PS: Schutzmaßnahmen allein reichen nicht – Mitarbeiterschulungen und verifizierte Prozesse sind entscheidend, damit Kriminelle nicht über angebliche Microsoft‑Einladungen oder Deepfake‑Anrufe Millionen erbeuten. Der Gratis‑Guide liefert praxiserprobte Vorlagen für zweite Kommunikationskanäle, Checklisten zur Bankverifizierung und Übungen zur Erkennung KI‑generierter Stimmen. Laden Sie das Paket herunter und stärken Sie Ihr Unternehmen gegen die aktuellen Phishing‑Methoden. Anti‑Phishing‑Paket jetzt anfordern