Über Jahre folgte Account Takeover, also die Übernahme von Konten, einem eingespielten Muster: Angreifer kauften gestohlene Zugangsdaten in großer Zahl, prüften sie automatisiert und nutzten Treffer weiter aus. Credential Stuffing war günstig, gut skalierbar und für Verteidiger vergleichsweise bekanntes Terrain. Laut dem Beitrag endet diese Phase nicht, weil Angreifer aufgegeben hätten, sondern weil der direkte Einstieg über den Login schwieriger geworden ist.
Als Beleg verweist der Text auf Zahlen der FIDO Alliance für 2026. Demnach haben 75 Prozent der Verbraucher weltweit mindestens einen Passkey aktiviert. Parallel dazu werden Passkeys auch im Unternehmensumfeld verbreiteter: 68 Prozent der Unternehmen nutzen, testen oder führen sie für die Anmeldung von Beschäftigten ein. Phishing-resistente, passwortlose Authentifizierung werde damit vom Zielbild zum Standard. Wenn das Passwort verschwindet, verliert auch das gestohlene Passwort an Wert.
Der Angriff verlagert sich damit auf Prozesse rund um die Authentifizierung. Genannt werden Kontowiederherstellung, die Wiederanmeldung eines Geräts, zusätzliche Prüfungen für Transaktionen mit hohem Wert und sogenannte Magic Links, die bestätigen sollen, dass sich tatsächlich der richtige Nutzer anmeldet. Gerade diese Wege würden zunehmend zum Pfad des geringsten Widerstands.
Als konkretes Beispiel nennt der Beitrag das Abfangen von Magic Links. Der Komfort eines einmalig nutzbaren Anmeldelinks per E-Mail habe eine Kehrseite: Wird dieser Link abgefangen, etwa über einen nicht verifizierten mobilen Deep Link, ein kompromittiertes Postfach oder eine durch SIM-Swapping ermöglichte Umleitung, kann der vorgesehene Authentifizierungsablauf komplett umgangen werden.
Zusätzlichen Druck erzeugen laut Veriff die beobachteten Betrugstrends. Die Fraud Industry Pulse Survey 2026 des Unternehmens, für die laut Beitrag rund 1.200 Entscheider aus den Bereichen Betrugsbekämpfung und Compliance befragt wurden, zeigt einen breiten Anstieg von Online-Betrug. Zu den am häufigsten gemeldeten Kategorien zählen demnach Identitätsvortäuschung, Malware, autorisierter Betrug und Dokumentenbetrug.
Als zweite treibende Kraft beschreibt der Text generative KI. Sie habe die Identitätsprüfung selbst zum Angriffsziel gemacht. Veriffs Identity Fraud Report 2026 kommt demnach zu dem Ergebnis, dass 4,18 Prozent aller Verifizierungsversuche betrügerisch waren. Zudem sei digital präsentierte Medien 300 Prozent häufiger KI-generiert oder manipuliert gewesen als in früheren Zeiträumen. Mehr als 85 Prozent aller von Veriff beobachteten Betrugsangriffe entfielen inzwischen auf Identitätsvortäuschung. Deepfake-Selfies, eingeschleuste Videoströme und synthetische Dokumente seien keine Randphänomene mehr, sondern im Mainstream des Identitätsbetrugs angekommen.
Für die nächsten 12 bis 18 Monate skizziert der Beitrag drei Entwicklungen. Erstens gehe es nicht mehr nur darum, wer jemand ist, sondern auch darum, was diese Person konkret autorisiert. Daraus entstehe Interesse an einer kryptografischen Bindung einer verifizierten menschlichen Handlung an die jeweils freigegebene Transaktion oder Anweisung. Zweitens würden Einzelprüfungen leichter umgangen; robuster seien Verfahren, die Betrugsmuster über Millionen Sitzungen, Geräte und Netzwerke hinweg erkennen. Drittens rückten Compliance und Sicherheit enger zusammen. Genannt werden eIDAS 2.0, die Anti-Money Laundering Regulation und DORA. Zugleich beschleunige das Auslaufen von SMS-Einmalcodes die Abkehr von abfangbaren Authentifizierungsfaktoren.
Der Text verweist zudem auf eine konkrete Schutzmaßnahme: Biometrische Lebenderkennung kann demnach Kontoübernahmen bei korrekter Umsetzung um 80 bis 90 Prozent senken. Verfasst wurde der Beitrag von Anton Volkov, Senior Product Manager bei Veriff.
