Phishing-Angriffe nutzen Cloud-Dienste und KI

Cyberkriminelle setzen auf eine neue Dimension der Täuschung: Sie misbrauchen vertrauenswürdige Cloud-Dienste und Künstliche Intelligenz, um hochprofessionelle Phishing-Angriffe zu starten. Diese neue Generation von Betrugs-E-Mails umgeht herkömmliche Sicherheitsfilter und täuscht selbst erfahrene Nutzer.

Diese Woche warnte das FBI vor einer deutlichen Zunahme KI-gestützter Deepfake-Betrügereien und QR-Code-Fallen. Gleichzeitig dokumentierten Cybersicherheitsexperten einen besorgniserregenden Trend: Kriminelle kapern seriöse Plattformen wie Google AppSheet, um ihre Attacken zu tarnen.

Die Bedrohung geht weit über schlecht geschriebene Spam-Mails hinaus. Moderne Angreifer kombinieren ausgefeilte Psychologie mit fortschrittlicher Technologie, um an sensible Zugangsdaten und Finanzdaten zu gelangen. Besonders alarmierend: Diese gefälschten E-Mails stammen oft von authentischen Domains und sind dadurch extrem schwer zu erkennen.

Cloud-Services als Tarnung für Betrugsmaschen

Cyberkriminelle haben eine perfide Strategie entwickelt: Sie nutzen die Vertrauenswürdigkeit großer Tech-Konzerne für ihre Zwecke. Ein aktueller Fall zeigt, wie Betrüger Google AppSheet missbrauchen, eine Plattform zur App-Entwicklung ohne Programmierung.

Die Masche funktioniert so: Gefälschte E-Mails, die angeblich von AppSheet stammen, warnen vor Markenrechtsverletzungen und zielen auf Google Workspace-Organisationen ab. Da diese Nachrichten tatsächlich von einer legitimen Google-Domain (noreply@appsheet.com) versendet werden, passieren sie problemlos alle Authentifizierungsprüfungen wie SPF, DKIM und DMARC.

Ein weiteres Beispiel: Axios, ein beliebtes Web-Entwicklungstool, verzeichnete zwischen Juni und August 2025 einen Anstieg verdächtiger Aktivitäten um 241 Prozent. Angreifer kombinieren Axios mit Microsoft Direct Send, um automatisierte Datendiebstahl-Kampagnen zu starten – mit Erfolgsquoten von bis zu 70 Prozent.

KI revolutioniert die Betrugslandschaft

Künstliche Intelligenz macht professionelle Phishing-Angriffe für jeden zugänglich. Im Darknet kursieren bereits Tools wie „SpamGPT“, die es selbst Laien ermöglichen, täuschend echte Betrugs-E-Mails in Masse zu produzieren. Diese KI-Werkzeuge imitieren perfekt den Schreibstil vertrauenswürdiger Kontakte.

Das FBI schlägt Alarm wegen der rasant steigenden Zahl von Deepfake-Betrügereien. Kriminelle erschaffen manipulierte Audio- und Videoaufnahmen, die Geschäfsführer, Regierungsvertreter oder sogar Familienmitglieder täuschend echt nachahmen.

Die Zahlen sind erschreckend: Seit 2020 gingen über 4,2 Millionen Betrugsanzeigen ein, mit Gesamtschäden von mehr als 50,5 Milliarden Dollar – ein wachsender Anteil entfällt auf Deepfake-Attacken.

„Quishing“: Wenn QR-Codes zur Falle werden

Phishing beschränkt sich längst nicht mehr auf E-Mails. Eine neue Betrugsform namens „Quishing“ nutzt QR-Codes als Köder. Das FBI warnt vor unaufgefordert zugesendeten Paketen, die nur einen QR-Code enthalten.

Die Neugier der Empfänger wird zum Verhängnis: Ein Scan führt zu bösartigen Websites, die Finanzdaten abgreifen oder Schadsoftware installieren. Diese Methode nutzt das vermeintliche Vertrauen in physische Post aus.

Moderne Kriminelle setzen zudem auf Multi-Channel-Strategien. Sie bauen über Plattformen wie Slack oder Microsoft Teams zunächst Vertrauen auf, bevor sie zuschlagen. Ergänzt wird dies durch gefälschte Sprachnachrichten oder SMS-Attacken.

Anzeige: QR-Codes, SMS und Messenger sind inzwischen beliebte Einfallstore – gerade auf dem Smartphone. Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online?Banking und Shopping vor Datendieben schützen – ohne Fachchinesisch. Jetzt das kostenlose Android?Sicherheitspaket sichern

Zero Trust: Das Ende des blinden Vertrauens

Der Missbrauch seriöser Dienste stellt traditionelle Cybersicherheit infrage. Jahrzehntelang vertrauten Unternehmen auf Reputation: E-Mails von Google oder Microsoft galten als sicher. Diese Zeiten sind vorbei.

Experten fordern einen „Zero Trust“-Ansatz: Jede Kommunikation wird überprüft, unabhängig vom Absender. KI-generierte Phishing-Mails sind grammatikalisch perfekt und kontextuell präzise – herkömmliche Awareness-Trainings verlieren ihre Wirkung.

Die Lösung liegt in technischen Schutzmaßnahmen: Mehr-Faktor-Authentifizierung wird zum Standard, verdächtige Anfragen müssen über sichere, separate Kanäle verifiziert werden.

Anzeige: Zero Trust beginnt im Alltag beim eigenen Handy. So sichern Sie Ihr Android ohne teure Zusatz-Apps: Ein kompakter Gratis?Guide erklärt in einfachen Schritten, welche Einstellungen wirklich zählen und welche Lücken Sie sofort schließen. Inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Kostenlosen Ratgeber herunterladen

Ausblick: Das Wettrüsten geht weiter

Die Zukunft verspricht noch raffiniertere Angriffe. Experten erwarten KI-Bots, die in Echtzeit überzeugende Gespräche führen können, um Opfer zu manipulieren. „Phishing-as-a-Service“-Plattformen wie VoidProxy, die sogar Mehr-Faktor-Authentifizierung umgehen, demokratisieren fortgeschrittene Angriffsmethoden.

Die Cybersecurity-Branche rüstet auf: KI-basierte Verteidigungssysteme sollen subtile Anomalien in Kommunikationsmustern erkennen. Passwort-lose Authentifizierung wie Passkeys wird zum neuen Standard, da sie gegen klassisches Credential-Phishing immun ist.

Erfolgreiche Abwehr braucht künftig eine vielschichtige Strategie: fortschrittliche Technologie gepaart mit kontinuierlicher, adaptiver Mitarbeiterschulung. Statt nur verdächtige Nachrichten zu erkennen, müssen Beschäftigte lernen, ungewöhnliche Anfragen systematisch über sichere Kanäle zu verifizieren.