Phishing-Welle: 122.000 Cybervorfälle 2025, Schaden 893 Mio. Euro

Die nationale Gastgewerbevereinigung HORESCA schlug am Samstag Alarm: Kriminelle geben sich als Hotelmitarbeiter aus und fordern Gäste per WhatsApp, SMS oder über die Buchungsplattform Booking.com auf, ihre Kreditkartendaten zu aktualisieren. Mehrere unautorisierte Abbuchungen wurden bereits gemeldet.

Banking, PayPal oder Hotelbuchungen – wer sensible Transaktionen über das Smartphone abwickelt, gerät zunehmend ins Visier professioneller Hacker. Dieser kostenlose Ratgeber zeigt Ihnen 5 sofort umsetzbare Schutzmaßnahmen, um Ihr Android-Gerät gegen Datendiebstahl abzusichern. Gratis-Sicherheitspaket für Ihr Smartphone jetzt anfordern

Gezielte Angriffe auf Buchungssysteme

Die aktuelle Attacke richtet sich gezielt gegen Hotels, die sogenannte Channel-Manager und Systeme des Anbieters Lighthouse nutzen. HORESCA rät Gästen und Betrieben gleichermaßen: Bei Zweifeln direkt im Hotel anrufen und verdächtige Aktivitäten dem Computer Incident Response Center Luxembourg (CIRCL) melden.

Der lokale Warnhinweis ist kein Einzelfall. Eine Studie des Sicherheitsanbieters Norton zeigt, dass die Branche mit einer neuen Masche kämpft: dem Reservation Hijack Scam. Dabei nutzen Betrüger künstliche Intelligenz, um extrem persönliche Nachrichten zu verfassen. Die Mails enthalten echte Buchungsdetails – Namen, Anreisedaten, konkrete Zahlungsbeträge. Das macht die Täuschung besonders perfide.

Mehr als 350 Hotels in 50 Ländern sind bereits betroffen. Die meisten Vorfälle verzeichnet Deutschland, gefolgt von Frankreich und Großbritannien. Allein auf der Insel registrierten die Behörden zwischen Juni 2023 und September 2024 genau 532 Fälle dieser Betrugsmasche. Der Schaden: umgerechnet rund 430.000 Euro.

Explosion der Cyberangriffe

Die Zahlen des spanischen Sicherheitsinstituts INCIBE sprechen eine deutliche Sprache: 2025 stiegen die Cybersicherheitsvorfälle um 26 Prozent auf insgesamt 122.000 Fälle. Phishing war dabei mit 25.000 Fällen die häufigste Angriffsmethode.

Da allein in Deutschland Millionen Konten pro Quartal von Hackerangriffen betroffen sind, warnen Experten vor der alleinigen Nutzung herkömmlicher Passwörter. Ein neuer kostenloser Report erklärt, wie Sie mit der Passkey-Technologie Ihre Accounts bei Amazon, WhatsApp & Co. endlich manipulationssicher machen. Kostenlosen Passkey-Guide hier herunterladen

Doch die Täter werden immer raffinierter. Am Freitag wurden Phishing-Kampagnen bekannt, die die offizielle Microsoft-E-Mail-Adresse msonlineservicesteam@microsoftonline.com nutzen. Die betrügerischen Nachrichten tauchen in echten E-Mail-Verläufen auf und warnen vor angeblich verdächtigen Zahlungen. Microsoft bestätigte, dass man die Vorfälle untersuche.

Ein Bericht des Sicherheitsunternehmens Kaspersky aus dem Mai 2026 zeigt eine weitere gefährliche Entwicklung: Kriminelle missbrauchen Google AppSheet für ihre Zwecke. Indem sie Mails über die legitime Google-Infrastruktur verschicken, umgehen sie sämtliche Sicherheitsstandards wie SPF, DKIM und DMARC. Die Nachrichten tarnen sich als Personalabteilungen von Konzernen wie Meta, Apple, Coca-Cola oder Volvo und zielen auf die Zugangsdaten der Mitarbeiter ab.

Neue Waffe: Phishing-as-a-Service

Das FBI warnte kürzlich vor einer neuen Plattform namens Kali365. Seit April 2026 bietet dieser Dienst „Phishing as a Service" an – und das mit einer besonderen Fähigkeit: Kali365 umgeht selbst die Zwei-Faktor-Authentifizierung (2FA). Die Täter nutzen Microsofts OAuth-Gerätecode-Fluss aus, stehlen die Authentifizierungstokens und erhalten so Zugriff auf Outlook, Teams und OneDrive.

Die finanziellen Folgen sind dramatisch. Laut FBI verloren US-Bürger 2025 allein durch Phishing über 200 Millionen Dollar. Der Gesamtschaden durch KI-gestützten Betrug belief sich auf umgerechnet rund 893 Millionen Euro.

Falsche Einladungen als Einfallstor

Auch die US-Verbraucherschutzbehörde FTC schlug Ende Mai Alarm: Kriminelle verschicken gefälschte digitale Einladungen über Dienste wie Evite oder Paperless Post. Die Empfänger landen auf manipulierten Login-Seiten. Ein Opfer aus Kalifornien verlor 5.500 Dollar – obwohl es die Zwei-Faktor-Authentifizierung aktiviert hatte. Paperless Post spricht von mehreren hundert Fällen pro Woche.

Als Reaktion auf die wachsende Bedrohung kündigte der Sicherheitsanbieter KnowBe4 an, ab Juni 2026 einen neuen Schutzdienst für Microsoft Teams zu starten. Die Botschaft der Experten ist eindeutig: Links vor dem Klicken prüfen, Zwei-Faktor-Authentifizierung nutzen – und bei verdächtigen Nachrichten immer direkt beim Hotel oder Unternehmen anrufen.

de | wirtschaft | 69451165 |