Webformulare als Phishing-Einfallstor: KnowBe4 Threat Lab warnt vor Complete Business Compromise

Cyberangreifer missbrauchen zunehmend legitime Kommunikationskanäle – von kompromittierten E-Mail-Konten bis hin zu Webformularen auf seriösen Websites – für Phishing-Attacken

[datensicherheit.de, 02.11.2025] Offensichtlich entwickeln Cyberkriminelle ihre Angriffsmethoden ständig, um Phishing-Attacken glaubwürdiger zu gestalten und Sicherheitsmechanismen zu umgehen. Der jüngste Bericht des „KnowBe4 Threat Lab“ zeigt jedenfalls, wie Angreifer zunehmend legitime Kommunikationskanäle missbrauchen – von kompromittierten E-Mail-Konten bis hin zu Webformularen auf seriösen Websites.

Abbildung: KnowBe4

Jüngster Bericht des „KnowBe4 Threat Lab“ untersucht Missbrauch legitimer Kommunikationskanäle

Ausgangsbasis „Business eMail Compromise“ – seit Jahren bewährte Phishing-Taktik

So zählt „Business eMail Compromise“ (BEC) seit Jahren zu den effektivsten Formen des Phishings. Dabei nutzen Angreifer kompromittierte, also echte E-Mail-Konten, um Nachrichten an interne oder externe Kontakte zu versenden.

• Durch diese Übernahme gelingt es ihnen, Sicherheitsmechanismen wie etwa DMARC („Domain-based Message Authentication, Reporting and Conformance“) zu passieren und verdächtige Merkmale, etwa falsche Absendernamen oder untypische Domains, zu eliminieren.

KnowBe4 warnt: „So entstehen täuschend echte Nachrichten, die kaum noch als betrügerisch erkennbar sind. Besonders gefährlich wird dies, wenn innerhalb bestehender Geschäftsbeziehungen kommuniziert wird. Das Vertrauen ist bereits vorhanden und der Angriff erscheint dadurch umso glaubwürdiger.“

Wenn ganze Unternehmen kompromittiert werden: BEC entwickelt sich zu CBC

Laut „KnowBe4 Defend“ stammten im Jahr 2025 bisher rund 59,1 Prozent aller erkannten Phishing-Angriffe aus kompromittierten Konten, „was einen Anstieg um fast 35 Prozent gegenüber 2024 bedeutet“. Damit entwickele sich BEC zunehmend zum „Complete Business Compromise“ (CBC): Angriffe, die sich schneller ausbreiteten, mehr Systeme beträfen und noch schwerer zu erkennen seien.

• Seit September 2025 nun beobachtet das „KnowBe4 Threat Lab“ demnach eine neue, besonders ausgeklügelte Taktik: „Angreifer nutzen legitime Kontakt- oder Terminformulare auf Unternehmenswebsites, um automatisierte Antwortmails für ihre Zwecke zu missbrauchen.“

Dazu erstellten sie ein kostenloses „onmicrosoft“-Konto, wählten einen bekannten Markennamen als Absender – etwa eine Bank oder einen Bezahldienst – und füllten das Formular im Namen dieser Organisation aus. „Wird das Formular abgeschickt, erzeugt die Website automatisch eine Bestätigungs-E-Mail, die von der echten Domain des Unternehmens stammt und somit alle Authentifizierungsprüfungen besteht.“ Diese E-Mail werde anschließend mithilfe eingerichteter Weiterleitungsregeln an Hunderte oder Tausende Empfänger verschickt. „Da sie aus einem legitimen System stammt und formal korrekt aufgebaut ist, gilt sie für viele Sicherheitslösungen als unbedenklich.“

Perfektes „Social Engineering“: Telefonnummer als Köder im Kontext vorgetäuschter Probleme

In die Formularfelder – etwa für Name, Telefonnummer und Nachricht – fügten die Angreifer manipulative Inhalte ein. Häufig werde ein finanzieller Vorwand genutzt, um Panik auszulösen, etwa eine vermeintliche „PayPal“-Transaktion über mehrere Hundert Dollar.

• „Die Nachricht enthält eine Telefonnummer, über die das Opfer angeblich den Vorfall klären kann. Tatsächlich führt der Anruf direkt zu den Angreifern.“

In emotional aufgeladenen Gesprächen würden dann persönliche oder finanzielle Informationen abgefragt – ein Beispiel für perfektes „Social Engineering“, welches technische Sicherheitssysteme vollständig umgehe.

Vertrauen droht Schwachstelle zu werden: Cyberkriminelle kapern zunehmend legitime Systeme

Besonders häufig betroffen seien Organisationen aus den Bereichen Finanzen, Recht, Gesundheitswesen und Versicherungen. In diesen Branchen spielten Vertrauen und Legitimität eine zentrale Rolle.

• Das „KnowBe4 Threat Lab“ geht davon aus, dass die Zahl dieser Angriffe weiter zunehmen wird, da sie weder den direkten Zugriff auf ein E-Mail-Konto noch Malware erforderten.

Diese Taktik zeige einen klaren Trend: Cyberkriminelle kaperten zunehmend legitime Systeme, um von deren Domain-Autorität und Markenvertrauen zu profitieren. Damit verlören klassische Authentifizierungsverfahren ihre Schutzwirkung – und eine scheinbar routinemäßige E-Mail könne längst Teil eines groß angelegten Angriffs sein.

Cybersicherheit neu zu denken – mit „Zero Trust“ als Gegenstrategie

KnowBe4 empfiehlt Unternehmen daher, ihre E-Mail-Sicherheitsstrategien auf einen „Zero Trust“-Ansatz auszurichten. Dabei werde jede eingehende Nachricht ganzheitlich bewertet – und dies unabhängig von Absender, Domain oder Authentifizierungsergebnissen.

• Ergänzend sollten Echtzeit-Bedrohungsinformationen genutzt werden, um Mitarbeiter gezielt auf aktuelle Angriffsmuster hinzuweisen und sie im Erkennen von „Social Engineering“-Techniken zu schulen.

Nur ein ganzheitlicher Ansatz schütze Unternehmen, Daten und Mitarbeiter zuverlässig – gerade jetzt, da Cyberkriminelle legitime Systeme in ihre gefährlichste Waffe verwandelten.

Weitere Informationen zum Thema:

knowbe4
Human Risk Management Blog / Keeping you informed. Keeping you aware. Stay on top of the latest in security including social engineering, ransomware and phishing attacks.

knowbe4, KnowBe4 Threat Lab, Lucy Gee & James Dyer, 3010.2025
When a “Contact Us” Form Becomes “Contact a Cybercriminal”

knowbe4
DefendTM – Advanced Inbound Email Threat Defense / KnowBe4 Defend™ uses behavioral AI to detect sophisticated phishing attacks that traditional email security tools miss

datensicherheit.de, 06.09.2025
E-Mail Threat Landscape Report: Zunahme dynamischer Phishing-Angriffe auf Unternehmen / Der vorliegende Bericht zeigt ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben – dabei setzen Cyberkriminelle verstärkt auf Quishing

datensicherheit.de, 01.09.2025
facebook: Vorgetäuschte Kontosperrung als Phishing-Attacke / Seit Ende August 2025 kursieren auf „facebook“ gefälschte Nachrichten, welche es laut Kaspersky auf persönliche Zugangsdaten abgesehen haben

datensicherheit.de, 11.08.2025
Efimer-Trojaner: Kaspersky warnt vor Attacken auf Organisationen via Phishing-Mails / Zwischen Oktober 2024 und Juli 2025 verzeichnete das „Kaspersky Security Network’“weltweit mehr als 5.000 Infektionen mit dem Trojaner „Efimer“

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 08.10.2025
Neue Spear-Phishing-Kampagne fokussiert auf Führungskräfte / Die Angreifer tarnen ihre „Spear Phishing“-Nachrichten als Benachrichtigungen zur Freigabe von „OneDrive“-Dokumenten