Online-Einkäufe zu Weihnachten zunehmend durch mobiles Phishing bedroht

Vor einigen Tagen wurde ein neuer Zimperium-Bericht über mobile Bedrohungen, Betrugsmaschen und Phishing-Aktivitäten während der Einkaufssaison rund um „Black Friday“ und Weihnachten veröffentlicht

[datensicherheit.de, 02.12.2025] „Vor einigen Tagen wurde ein neuer Bericht über mobile Bedrohungen, Betrugsmaschen und Phishing-Aktivitäten während der Einkaufssaison rund um ,Black Friday’ und Weihnachten veröffentlicht“, meldet Dr. Martin J. Krämer, „CISO-Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme zur Adventszeit 2025. Das Ergebnis: „Phishing-Kampagnen, die auf mobile Endgeräte abzielen, nehmen in den Wochen vor und nach den großen Feiertagen um ein Vierfaches zu.“ Betrügerische E-Mails und Mobilnachrichten imitierten dabei bevorzugt bekannte Marken und Online-Händler, darunter „amazon“ und „eBay“.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken!

Phishing-Angriffe in mehreren Schritten

Cyberkriminelle nehmen demnach allerdings nicht nur Online-Shops ins Visier – sie nutzten systematisch die gesamte Transaktionskette der Verbraucher aus. Gefälschte Nachrichten gäben vor, von Zahlungsabwicklern, digitalen Geldbörsen oder Versanddiensten zu stammen.

• „Der Zeitpunkt richtet sich nach dem Kauf, der Zahlung und der Lieferung. Auf diese Weise wirkt die Kommunikation während des gesamten Prozesses legitim.“

In der Regel führten Angreifer ihre kriminellen Operationen in mehreren Schritten durch. Der Ablauf könnte wie folgt aussehen: „Zuerst eine Nachricht über eine fehlgeschlagene Zahlung, dann eine Versandaktualisierung mit einem Tracking-Link, dann eine Aufforderung zur Überprüfung der Kontodaten.“

Im Visier der Phishing-Betrugskampagnen nicht nur Verbraucher – auch Unternehmen gefährdet

Bei jedem Schritt würden die Benutzer aufgefordert, gewisse Informationen wie Anmeldedaten, Zahlungsdaten, Einmalcodes oder Lieferbestätigungen einzugeben. Dieser Ansatz erschwere es Benutzern, die betrügerischen Aktivitäten als solche zu erkennen, und erhöhe die Erfolgsquote der Phishing-Attacken, da viele Menschen in der Shopping-Saison derartige Nachrichten erwarteten.

• Krämer betont und warnt: „Im Visier der Betrugskampagnen sind aber nicht nur die Verbraucher. Sind Angreifer erstmals erfolgreich bei der Infiltration der Geräte und Konten von Einzelpersonen, so schaffen sie im gleichen Zug oft auch einen ersten Zugang zu Unternehmensumgebungen.“

Mitarbeiter erhielten dann Shopping- und Versandnachrichten auch auf Firmengeräten oder privaten Geräten, welche sie zusätzlich beruflich nutzen. Ein unachtsamer Klick auf einen Link könne dann Single-Sign-On-Anmeldedaten offenlegen oder mobile Malware installieren, „die eine Brücke zwischen privaten und geschäftlichen IT-Umgebungen schlägt“.

Phishing-Attacken starten durchaus auch mit SMS-Nachricht oder Benachrichtigungen einer Messaging-App

Die Cyberkriminellen tarnten sich oft hinter falschen Identitäten und gäben sich z.B. als Lieferanten oder Mitarbeiter im Versand aus. „Das ermöglicht es ihnen, die mobile Kommunikation in der Lieferkette zu kompromittieren. Gefälschte Lieferportale und Zahlungsseiten ermöglichen Rechnungsmanipulationen, Warenumleitungen, Finanzbetrug oder Datendiebstahl.“

• Was Organisationen und Nutzer häufig nicht auf dem Schirm hätten: In vielen Fällen sei der Eintrittspunkt ins System keine E-Mail, sondern beispielsweise eine SMS-Nachricht oder eine Benachrichtigung in einer Messaging-App.

Eine einfache Anti-Phishing-Schulung einmal im Jahr reiche in Anbetracht dieser Bedrohungslage nicht aus. „Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken und die Förderung des Sicherheitsbewusstseins der Belegschaft.“

Nutzer und Organisationen besser gegen Phishing schützen

Um den Risiken entgegenzuwirken, müssten Organisationen sowohl technische als auch organisatorische Sicherheitsvorkehrungen verstärken. Moderne KI-gestützte „Security Awareness Trainings“ stellten einen wichtigen Baustein dar, „denn sie helfen Mitarbeitern dabei, betrügerische Nachrichten über verschiedene Kanäle hinweg zu erkennen, darunter SMS-Nachrichten und mobile Apps“.

• Sicherheitslösungen zur Bedrohungserkennung auf Mobilgeräten, die Filterung verdächtiger Links, Phishing-resistente Authentifizierung und klare Regeln für die Nutzung privater Geräte im beruflichen Kontext schafften zusätzliche Schutzebenen.

Dabei gilt laut Krämer: „Wenn Sicherheitsmaßnahmen einfach zu befolgen und an das Alltagsverhalten der Mitarbeitenden angepasst werden, fällt es Mitarbeitenden leichter, souverän und schnell auf ungewöhnliche Nachrichten zu reagieren und zu einer insgesamt sichereren Umgebung beitragen.“ So blieben Nutzer und Organisationen besser geschützt – auch im Umfeld der kommenden Feiertage.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer / Recent Posts

ZIMPERIUM, Ignacio Montamat & Santiago Rodriguez, 2025
The Mobile Shopping Report / From Carts to Credentials: Inside the Holiday Surge of Mobile Threats

datensicherheit.de, 22.12.2023
Insbesondere zu Weihnachten: Vorsicht vor Phishing-Betrügereien / Cyber-Kriminelle missbrauchen Attraktivität bekannter Marken für Phishing-Attacken

datensicherheit.de, 04.12.2023
Hacker missbrauchen Weihnachtszeit: ESET warnt vor fiesen Phishing-Kampagnen / Gefälschte SMS-Nachrichten der Hacker fordern zur Datenpreisgabe und Installation von Malware auf

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten