Die Sicherheitsforscher von Check Point Exposure Management analysierten Anfang 2026 in zwei Zeitfenstern neu registrierte Domains, die Begriffe im Zusammenhang mit den US-Wahlen enthielten. Im Januar wurden etwa 1.300 Domains mit dem Begriff „election“ und rund 2.957 mit dem Begriff „vote“ registriert. Im Zeitraum vom 13. April bis zum 14. Mai blieb die Zahl der „election“-Registrierungen mit rund 1.140 relativ stabil, während die Zahl der „vote“-Domains auf etwa 4.010 anstieg. Das Volumen steigt mit dem Herannahen des Novembers, und die Zusammensetzung verschiebt sich hin zu dem Begriff, der stärker auf die Wähler ausgerichtet ist.

Insgesamt wurden bis Mai 2026 etwa 9.500 durchgesickerte Zugangsdaten im Zusammenhang mit „ActBlue“ und 6.500 im Zusammenhang mit „WinRed“ auf Märkten im Darknet nachverfolgt. Diese Zugangsdaten sind bereits jetzt, noch vor November, verfügbar und eignen sich für Kontoübernahmen, Spendenbetrug und gezieltes Social Engineering gegen genau die Plattformen, auf die beide Parteien angewiesen sind, um in großem Umfang Spenden zu sammeln.

Der „2026 U.S. Midterm Election Threat Outlook“ von Check Point, der auf Erkenntnissen basiert, die von Check PointExposure Management bis Anfang 2026 gesammelt wurden, zeigt, dass sich Cyberkriminelle und staatliche Akteure in diesem Wahlzyklus auf Phishing, Markenimitation, Diebstahl von Zugangsdaten und Domain-Missbrauch konzentrieren. Dies ist die Art von operativen Aktivitäten, mit denen sich Sicherheitsteams das ganze Jahr über befassen, doch nun richten sie sich gegen staatliche Infrastrukturen.

Das Volumen der Domain-Registrierungen allein lässt noch keine böswillige Absicht erkennen. Diese Domains werden jedoch typischerweise für Phishing-Seiten genutzt, die sich als Portale für Wählerinformationen ausgeben und für Spenden-Betrug, das Vortäuschen digitaler Identitäten von Kandidaten und die Verbreitung von Fake News herhalten. Mit Russland verbundene „Doppelgänger“-Operationen haben systematisch die Infrastruktur großer Medien (Reuters, The Washington Post, Fox News) geklont, indem sie Domains nutzten, die das visuelle Design und die URL-Struktur so genau nachbilden, dass sie einer flüchtigen Prüfung standhalten. Diese speziell für Identitätsbetrug geschaffene Infrastruktur wird durch gefälschte Profile, KI-gestützte Inhalte und bezahlte Verbreitung auf den gängigen sozialen Plattformen unterstützt.

Das Ziel besteht darin, manipulierte politische Inhalte so aussehen zu lassen, als stammten sie von einer vertrauenswürdigen Quelle, und sie dann schnell zu verbreiten, bevor eine Überprüfung nachziehen kann. Dieselbe Infrastruktur, z. B. Lookalike-Domains, geklonte Seiten und gefälschte Absenderidentitäten, dient sowohl Fehlinformationskampagnen als auch Phishing-Köder, die auf Wahlkampfmitarbeiter, Spender und Wahlbeamte abzielen. Die Techniken sind nicht neu, aber der politische Kontext sorgt dafür, dass die Folgen deutlich mehr Aufmerksamkeit erregen.

„Unsere Brand Protection-Lösung erkennt geklonte Websites und Lookalike-Domains durch ein Monitoring des Open Web, Deep Web und Dark Web sowie mithilfe der Phishing Beacon-Technologie und identifiziert gefälschte Infrastrukturen innerhalb von Sekunden nach deren Inbetriebnahme. In einem Umfeld, in dem Identitätsbetrugskampagnen darauf ausgelegt sind, schneller zu agieren als manuelle Überprüfungen, ist eine frühzeitige Erkennung das einzige realistische Reaktionsfenster. Dann ist die schnelle Entfernung von Websites und Identitätsbetrugsversuchen entscheidend. Bislang haben wir im Jahr 2026 eine Erfolgsquote von 99 Prozent bei der Entfernung und eine durchschnittliche Zeit bis zur Behebung von 12 Stunden erreicht,“ erklärt Itai Dahari, Cyber Threat Intelligence Analyst Exposure Management bei Check Point.

Mehr lesen Sie hier: https://blog.checkpoint.com/exposure-management/the-2026-u-s-midterms-have-a-cyber-problem-but-its-not-at-the-ballot-box/