Vishing-Attacken, Hacker

Vishing-Attacken: Hacker erbeuten Microsoft-365-Passkeys in Echtzeit

Veröffentlicht: 11.07.2026 um 13:25 Uhr, Redaktion boerse-global.de

Kriminelle nutzen WhatsApp-Features und KI für Angriffe. Interpol gelingt Schlag gegen Cyberkriminalität mit fast 6.000 Festnahmen.

WhatsApp-Benutzernamen: Neue Betrugsmasche durch Kriminelle
Ein Smartphone-Bildschirm zeigt eine Warnmeldung oder verdächtige SMS, gehalten von Händen in einem unscharfen Büroumfeld. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Täter nutzen neue Funktionen von Messengerdiensten aus und setzen zunehmend auf Künstliche Intelligenz für ihre Angriffe.

WhatsApp-Benutzernamen: Datenschutz mit Risiken

Seit Ende Juni führt WhatsApp Benutzernamen ein. Die Funktion soll eigentlich die Privatsphäre schützen – doch sie öffnet Betrügern neue Türen.

In Indien schlagen die Behörden bereits Alarm. Der Dienst hat dort rund 600 Millionen Nutzer. Die freie Namenswahl erleichtere Identitätstäuschungen, warnen Experten. Das begünstige Betrug und sogar terroristische Aktivitäten.

Auch die Verbraucherzentrale NRW sieht Probleme. Meta sperrt zwar bekannte Namen von Behörden und Prominenten. Doch Stichproben zeigen: Ähnliche Schreibweisen oder Politiker-Namen bleiben oft reservierbar.

WhatsApp reagiert mit neuen Schutzmechanismen. Die App führt Kontextinformationen bei Erstkontakten ein und begrenzt die Anzahl neuer Kontaktanfragen. Parallel dazu warnen Sicherheitsforscher vor einer weiteren Masche: Über gehackte Konten verschicken Kriminelle Schadsoftware als Rechnungs- oder Quittungsanhänge.

Vishing-Angriffe auf Microsoft 365

Im Geschäftsumfeld hat eine Angreifergruppe namens O-UNC-066 ihre Aktivitäten massiv ausgeweitet. Seit April greifen sie gezielt Microsoft-365-Nutzer an.

Die Methode: sogenanntes Vishing (Voice Phishing). Die Täter rufen ihre Opfer an, geben sich als IT-Mitarbeiter aus und locken sie auf gefälschte Websites. Diese imitieren den Registrierungsprozess für Microsoft Entra Passkeys.

Die eingesetzten Toolkits sind erschreckend effektiv. Sie fangen Anmeldedaten und Token für die Mehrfaktor-Authentifizierung (MFA) in Echtzeit ab. Die Angreifer hinterlegen dann eigene Passkeys auf den Konten – und haben dauerhaften Zugriff.

Betroffen sind Unternehmen aus Technologie, Gesundheitswesen, Automobilbau und Luftfahrt. Analysten sehen den Diebstahl von Sitzungs-Token als eine der größten Gefahren der kommenden Monate.

Anzeige

Seit April greift die Gruppe O-UNC-066 gezielt Microsoft-365-Nutzer per Vishing an – mit erschreckend effektiven Toolkits, die Anmeldedaten und MFA-Token in Echtzeit abfangen. Dieser Report zeigt, wie Sie solche Angriffe erkennen und Ihre Passkey-Registrierungen absichern. Jetzt kostenlosen Sicherheits-Report anfordern

Schockanrufe und SMS-Betrug: Hohe Fallzahlen

Die klassischen Methoden laufen ebenfalls auf Hochtouren. In Montenegro warnte die Polizei am Freitag vor betrügerischen SMS. Sie drohen mit Kontosperrungen und fordern zur Preisgabe persönlicher Daten auf gefälschten Websites auf.

Im Saarland gab es am gleichen Tag eine massive Welle von Schockanrufen. Über 30 Versuche wurden gemeldet, vor allem im Landkreis Saarlouis. Die Täter geben sich als Polizeibeamte aus und behaupten, Angehörige hätten einen schweren Unfall verursacht. In einem Fall erbeuteten sie Wertgegenstände im unteren fünfstelligen Euro-Bereich.

Die Zahlen aus Österreich zeigen das Ausmaß: Zwischen 2022 und 2025 entstand durch Schockanrufe ein Gesamtschaden von 53 Millionen Euro. Pro Opfer waren das durchschnittlich 58.000 Euro.

Interpol-Schlag gegen Cyberkriminalität

Bei der Operation „First Light“ gelang Interpol ein bedeutender Erfolg. In 97 Ländern wurden fast 6.000 Verdächtige festgenommen. Die Ermittler stellten Vermögenswerte in Höhe von 293 Millionen US-Dollar sicher. Die Ermittlungen deckten unter anderem Netzwerke auf, die gefälschte Polizeistationen für ihre Betrügereien nutzten.

So schützen Sie sich

Sicherheitsexperten raten zu erhöhter Wachsamkeit. Bei unangekündigten Anrufen von angeblichen Behörden oder IT-Abteilungen: Sofort auflegen und die Identität über offizielle Nummern verifizieren.

Anzeige

Hacker hinterlegen eigene Passkeys auf kompromittierten Konten und erhalten dauerhaften Zugriff – eine der größten Gefahren der kommenden Monate. Mit der Checkliste in diesem Report schützen Sie Ihr Unternehmen vor dauerhaften Einbrüchen. Passkey-Sicherheitsaudit jetzt sichern

Für Unternehmen wird die Überwachung von Passkey-Registrierungen immer wichtiger. Auch Schulungen zum Umgang mit Social-Engineering-Taktiken sind essenziell.

Auf Verkaufsplattformen wie „Kleinanzeigen“ warnen Experten vor gefälschten Zahlungs-Links. KI-generierte Seiten wirken besonders authentisch – und besonders gefährlich.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69744244 |