Phishing-Angriffe via Telegram: Millionen Nutzer im Visier

Eine neue Generation hochentwickelter Phishing-Attacken bedroht derzeit Millionen Nutzer und Unternehmen weltweit. Das Besondere: Die Angreifer missbrauchen den Messenger-Dienst Telegram, um gestohlene Daten in Echtzeit abzugreifen. Cybersecurity-Forscher schlagen Alarm – denn die Angriffe werden als automatisierte Baukästen verkauft und machen professionelle Cyberangriffe für jedermann verfügbar.

Besonders alarmierend: Das IT-Sicherheitsunternehmen Group-IB entdeckte ein ausgeklügeltes Phishing-System, das gezielt Kunden des italienischen IT-Dienstleisters Aruba S.p.A. ins Visier nimmt. Mit über 5,4 Millionen Kunden ist das Unternehmen ein lukratives Ziel. Doch es handelt sich hier nicht um eine simple gefälschte Login-Seite. Die Kriminellen setzen eine vollautomatische, mehrstufige Plattform ein, die als Dienstleistung im Darknet verkauft wird. Das senkt die Einstiegshürde für Cyberkriminelle dramatisch – auch technisch weniger versierte Akteure können so überzeugende Großangriffe starten.

Die neuen Phishing-Baukästen folgen einem raffinierten Schichtmodell, das Erkennungssysteme umgeht und möglichst viele sensible Daten abgreift. Der Angriff auf Aruba-Kunden etwa läuft in vier präzise choreografierten Phasen ab.

Viele Nutzer wissen nicht, welche Telegram-Einstellungen wirklich schützen – gerade jetzt, wo Kriminelle Telegram-Bots missbrauchen, um Daten in Echtzeit zu exfiltrieren. Das kostenlose Telegram-Startpaket erklärt Schritt für Schritt, wie Sie Ihre Nummer verbergen, geheime Chats aktivieren, sichere Backup‑Einstellungen wählen und die wichtigsten Datenschutz‑Optionen sofort umsetzen. Inklusive kurzer Checkliste für die wichtigsten Einstellungen. Telegram-Startpaket jetzt gratis anfordern

Zunächst erhalten die Opfer täuschend echte E-Mails, die Dringlichkeit suggerieren: angeblich auslaufende Dienste oder fehlgeschlagene Zahlungen. Wer auf den Link klickt, landet auf einer CAPTCHA-Seite – clevererweise dient diese nicht dem Schutz, sondern soll automatisierte Sicherheitsanalysen aussperren. Nur echte Menschen gelangen zur eigentlichen Falle.

Die nachfolgende Login-Seite ist eine pixel-genaue Kopie des legitimen Firmenportals. Ein besonders perfider Trick: Die E-Mail-Adresse des Opfers ist bereits vorausgefüllt – das schafft Vertrauen und zerstreut Verdachtsmomente. Nach Eingabe der Zugangsdaten folgt eine gefälschte Zahlungsseite, die eine plausible Kleingebühr fordert und so vollständige Kreditkarteninformationen samt CVV-Code erbeutet.

Der kritische letzte Schritt: Alle gestohlenen Daten – Zugangsinformationen, Zahlungsdetails, Geräteinformationen – werden sofort über die Telegram Bot API an die Angreifer übermittelt. Die Nutzung der legitimen, verschlüsselten Telegram-Infrastruktur umgeht herkömmliche Netzwerksicherheitssysteme elegant. Die Kriminellen erhalten ihre Beute in Echtzeit und können innerhalb von Sekunden Konten übernehmen oder betrügerische Transaktionen durchführen.

Globale Marken im Fadenkreuz

Die Aruba-Kampagne ist kein Einzelfall. Forscher des Cybersecurity-Unternehmens Cyble identifizierten eine weitere großangelegte Phishing-Operation, die eine Vielzahl internationaler Marken imitiert – darunter Microsoft, Adobe, FedEx, DHL und WeTransfer. Diese Kampagne setzt auf einen anderen Angriffsvektor: bösartige HTML-Dateien werden direkt als E-Mail-Anhänge verschickt, getarnt als Rechnungen oder Angebotsanfragen.

Diese Methode ist besonders tückisch, da sie E-Mail-Sicherheitssysteme umgeht, die hauptsächlich verdächtige URLs scannen. Öffnet ein Opfer den Anhang, generiert eingebetteter JavaScript-Code einen gefälschten Login-Dialog, der perfekt auf die imitierte Marke zugeschnitten ist. Die eingegebenen Zugangsdaten landen ebenfalls bei einem Telegram-Bot der Angreifer.

Die Kampagne entwickelt sich kontinuierlich weiter. Die Kriminellen setzen zunehmend Verschlüsselungs- und Verschleierungstechniken ein, um ihren bösartigen Code vor Sicherheitstools zu verbergen. Die Verwendung mehrerer Bot-Tokens deutet auf verschiedene Tätergruppen hin, die auf einen gemeinsamen Baukasten zurückgreifen.

Phishing wird zur Industrie

Der Aufstieg dieser Telegram-basierten Phishing-Baukästen markiert einen fundamentalen Wandel im Cybercrime-Ökosystem. Phishing hat sich von individuellen, maßgeschneiderten Betrügereien zu einer systematisierten, marktgetriebenen Lieferkette entwickelt. Phishing-as-a-Service (PhaaS) ermöglicht es einer breiteren Gruppe von Kriminellen, hochentwickelte Angriffe in großem Maßstab durchzuführen.

Die Wahl von Telegram als Datenkanal ist strategisch durchdacht. Die robuste, verschlüsselte API ist für zuverlässige Kommunikation konzipiert, und da es sich um einen legitimen Dienst handelt, wird der Datenverkehr zu Telegram-Servern selten von Firewalls blockiert. Die Angreifer müssen keine eigene Command-and-Control-Infrastruktur aufbauen – traditionell ein Schwachpunkt, an dem viele Operationen scheitern.

Für Sicherheitsteams entsteht dadurch ein massives Problem: Wie überwacht man verschlüsselten Datenverkehr zu einem legitimen Dienst auf bösartige Aktivitäten, ohne die Privatsphäre der Nutzer zu verletzen?

Abwehrstrategien dringend gefragt

Der Erfolg dieser fortgeschrittenen Phishing-Baukästen wird mit hoher Wahrscheinlichkeit anhalten. Das PhaaS-Modell dürfte zu einem deutlichen Anstieg der Angriffswelle auf Unternehmen und Verbraucher in allen Branchen führen. Eine weitere großangelegte Operation gegen die Hotellerie hat seit Anfang 2025 bereits über 4.300 Domains registriert, um beliebte Buchungsplattformen zu imitieren – ein Beleg für die schiere Dimension der Bedrohung.

Sicherheitsexperten raten Unternehmen zu mehrschichtigen Verteidigungsstrategien. Organisationen sollten verdächtige Verbindungen zu api.telegram.org genau überwachen und das Blockieren von HTML-Anhängen am E-Mail-Gateway erwägen. Umfassendes Monitoring von Netzwerkverkehr und JavaScript-Verhalten ist unverzichtbar, um diese heimlichen Techniken zu erkennen.

Da Angreifer zunehmend legitime Plattformen als Waffe einsetzen und menschliche Psychologie ausnutzen, bleibt kontinuierliche Sicherheitsschulung der Mitarbeiter eine kritische Verteidigungslinie. Jeder sollte unerwartete E-Mails kritisch hinterfragen und die Authentizität von Login-Seiten überprüfen, bevor Zugangsdaten eingegeben werden. Denn die beste Firewall nützt nichts, wenn der Mensch die Tür öffnet.

PS: Wussten Sie, dass Angreifer Telegram-Bots nutzen, um gestohlene Login- und Zahlungsdaten in Echtzeit zu erhalten? Wenn Sie Telegram bereits nutzen oder einen Wechsel erwägen, zeigt dieser Gratis‑Report die wichtigsten Schutzmaßnahmen: sichere Profil‑Einstellungen, Bot‑Abwehr‑Tipps und wie Sie verdächtige Aktivitäten erkennen. Holen Sie sich den kompakten Leitfaden und schützen Sie Ihre Chats und Kontakte. Jetzt Telegram-Report sichern