[datensicherheit.de, 24.08.2025] Der aktuelle „Financial Sector Threats Report“ von KnowBe4 liefert als zentrale Erkenntnis, dass Finanzinstitute bis zu 300-mal häufiger Ziel von Cyberangriffen sind als andere Branchen. Besonders kritisch ist demnach, dass 45 Prozent der Mitarbeiter großer Banken in Simulationen auf gefährliche Links klicken – vor allem im Kontext solcher durch Künstliche Intelligenz (KI) unterstützten Phishing-Kampagnen.

Abbildung: KnowBe4

Der aktuelle „Financial Sector Threats Report“ mit besorgniserregenden Erkenntnissen

KnowBe4-Bericht liefert wichtige Erkenntnisse über eskalierende Cybersicherheitskrise im globalen Finanzsektor

KnowBe4 hat die neueste Ausgabe des eigenen Forschungsberichts „Financial Sector Threats Report” veröffentlicht. Dieser Bericht soll wichtige Erkenntnisse über die eskalierende Cybersicherheitskrise im globalen Finanzsektor liefern.

• Dieser Report zeige, dass Finanzinstitute einem „perfekten Sturm“ aus KI-gestützten Angriffen, Diebstahl von Zugangsdaten und Schwachstellen in der Lieferkette ausgesetzt seien. Diese stellten systemische Risiken für die globale Finanzbranche dar.

Die zugrundeliegende Untersuchung habe ergeben, „dass 97 Prozent der großen US-Banken im Jahr 2024 Sicherheitsverletzungen durch Dritte erlitten haben“. Gleichzeitig hätten gezielte Angriffe auf Finanzinstitute im Vergleich zum Vorjahr um 109 Prozent zugenommen.

KnowBe4-Bericht beschreibt, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten

Besonders besorgniserregend sei, „dass Tests in großen Finanzinstituten ergaben, dass rund 45 Prozent der Mitarbeiter wahrscheinlich auf einen bösartigen Link klicken oder eine infizierte Datei herunterladen würden“. Dadurch würden Angriffspunkte für Bedrohungsakteure geschaffen.

• Der Bericht hebe hervor, wie Angreifer KI-Tools wie „FraudGPT“ und „ElevenLabs“ nutzten, um überzeugendere Phishing-Kampagnen zu erstellen. Gleichzeitig entfernten sie sich von der traditionellen Ransomware-Verschlüsselung und wendeten sich Daten-Exfiltration und mehrstufigen Erpressungsschemata zu.

Dadurch könnten Angreifer legitime Anmeldedaten verwenden, was die Erkennung erheblich erschwere. Laut Berichten der Federal Reserve Bank of New York könnte bereits eine eintägige Unterbrechung der Zahlungsverkehrsdienste großer Banken 38 Prozent der Netzwerkbanken weltweit beeinträchtigen.

Die wichtigsten Erkenntnisse des aktuellen KnowBe4-Berichts:

• 97 Prozent der größten US-Banken seien 2024 von Sicherheitsverletzungen durch Dritte betroffen gewesen, während 100 Prozent der führenden Finanzunternehmen in Europa Sicherheitsverletzungen durch Lieferanten erlitten hätten. Dies mache die Schwachstellen in den „Ökosystemen“ der Anbieter deutlich.
• Die Analyse von über drei Millionen Beiträgen im sogenannten DarkWeb zeige, dass gestohlene Zugangsdaten den Diebstahl von Kreditkartendaten bei Weitem überträfen. Die Versuche, „Infostealer“ zu installieren, hätten im Jahr 2024 um 58 Prozent zugenommen, wobei 68 Prozent der Angriffe über E-Mails erfolgt seien.
• 60 Prozent aller Ransomware-Angriffe auf Finanzinstitute entfielen auf die USA. Zusammen mit Großbritannien machten sie über 70 Prozent der Angriffe aus. Die Aktivitäten in den aufstrebenden Märkten Südasiens und Lateinamerikas nähmen zu.
• Zu Beginn liege die „Phish-Prone Percentage“ (PPP) bei großen Finanzinstituten bei 44,7 Prozent. Durch gezielte „Awareness“-Schulungen lasse sich dieser Wert jedoch auf unter fünf Prozent senken.

Kampf zwischen Cyberangreifern und potenziellen Opfern auf menschlicher Ebene

„Die Gegner verschaffen sich einen Vorteil gegenüber dem Finanzsektor“, erläutert James McQuiggan, „Security Awareness Advocate“ bei KnowBe4. Herkömmliche Abwehrmaßnahmen reichten nicht mehr aus.

• Die Angreifer hätten erkannt, dass der Diebstahl gültiger Anmeldedaten effektiver sei als Ransomware, da sie sich so unentdeckt bewegen könnten.

McQuiggan unterstreicht abschließend: „Der Kampf findet auf menschlicher Ebene statt: Finanzinstitute müssen das Risikomanagement für ihre Mitarbeiter priorisieren, um diese kritische Sicherheitslücke zu schließen!“

Weitere Informationen zum Thema:

knowbe4
About US /KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, 2025
Financial Sector Threats: The Shifting Landscape

knowbe4, Human Risk Management Blog
James McQuiggan – Security Awareness Advocate

FEDERAL RESERVE BANK of NEW YORK, Thomas M. Eisenbach & Anna Kovner & Michael Junho Lee, Mai 2021
Cyber Risk and the U.S. Financial System: A Pre-Mortem Analysis

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen / Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden veröffentlicht – Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ werden mit teils weitreichenden Auswirkungen konfrontiert

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyberangriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

[datensicherheit.de, 13.08.2025] Nach aktuellen Erkenntnissen von Proofpoint-Cybersicherheitsexperten besteht eine Möglichkeit, die FIDO-Authentifizierung ( „Fast Identity Online“) zu umgehen. Bei FIDO handelt es sich um einen offenen Standard für sichere und benutzerfreundliche Authentifizierung im Internet. FIDO-basierte Passkeys sind laut Proofpoint grundsätzlich eine hochwirksame Methode zum Schutz vor Phishing und Konto-Übernahmen. Nun sei aber eine Methode entdeckt worden, um FIDO-basierte Authentifizierung durch einen „Downgrade“-Angriff zu umgehen.

Phishing-Angriffe mittels Standard-Phishlets scheitern an FIDO-gesicherten Konten

Die meisten Phishing-Bedrohungen, welche Standard-Phishlets verwenden, scheiterten an FIDO-gesicherten Konten. Ein sogenanntes Phishlet ist demnach eine Konfigurationsdatei, welche von Phishing-Kits verwendet wird, um die Nachahmung legitimer Websites und das Abfangen von Benutzeranmeldedaten und Sitzungstokens zu ermöglichen.

• Da die meisten Phishlets für die traditionelle Anmeldedaten-Erfassung über Verbindungen ohne FIDO-Absicherung konzipiert seien, produzierten sie Fehler, sobald sie auf die FIDO-Authentifizierung stoßen, wodurch die gesamte Angriffskette erfolglos bleibe.

Bestimmte Implementierungen der FIDO-Authentifizierung, insbesondere „Windows Hello for Business“ (WHfB), könnten nun aber anfällig für „Downgrade“-Angriffe sein. Diese Angriffe würden den Benutzer dazu zwingen, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen. Proofpoint-Experten hätten einen FIDO-„Downgrade“-Angriff am Beispiel von „Microsoft Entra ID“ durchgespeilt – diese Art des Angriffs sei allerdings nicht auf diese Implementierung beschränkt.

Benutzeragent-Spoofing: Scheinbar unbedeutende Funktionslücke könnte missbraucht werden

Nicht alle Web-Browser unterstützten die Passkey-Authentifizierungsmethode (FIDO2) mit „Microsoft Entra ID“. Beispielsweise werde FIDO bei Verwendung von „Safari“ unter „Windows“ nicht unterstützt.

• Diese scheinbar unbedeutende Funktionslücke könne nun von Angreifern missbraucht werden. Ein Cyberkrimineller könne einen „Adversary-in-the-Middle“-Angriff (AiTM) anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, „der von einer FIDO-Implementierung nicht erkannt wird“.

Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren. „Dieses Verhalten, das auf Microsoft-Plattformen zu beobachten ist, ist eine fehlende Sicherheitsmaßnahme.“

Opfer sollen gezwungen werden, ihre Authentifizierungsmethode auf eine weniger sichere herabzustufen

Proofpoint-Spezialisten hätten ein Phishlet für das „Evilginx AiTM“-Angriffsframework entwickelt, welche ein Ziel dazu zwinge, seine Authentifizierungsmassnahme auf eine weniger sichere Methode herabzustufen. Die Angriffssequenz basiere auf der Existenz einer alternativen Authentifizierungsmethode (normalerweise MFA) neben FIDO für das Konto des angegriffenen Nutzers. Dies sei bei FIDO-Implementierungen oft der Fall, weil die meisten Administratoren eine praktische Option zur Kontowiederherstellung bevorzugten.

Der Phishing-„Downgrade“-Angriff läuft laut Proofpoint wie folgt ab:

1. Erste Interaktion
   Ein Phishing-Link werde dem Ziel per E-Mail, SMS, OAuth-Zustimmungsanfrage oder einem anderen Kommunikationskanal zugesandt.
2. Authentifizierungs-„Downgrade“
   Sobald das Ziel auf den Phishing-Köder hereinfällt und auf die bösartige URL klickt, werde ihm eine Authentifizierungsfehlermeldung angezeigt, welche ihn auffordere, eine alternative Anmeldemethode auszuwählen.
3. Diebstahl von Anmeldedaten und MFA-Token
   Sobald sich das Opfer über die gefälschte Oberfläche authentifiziert, könne der Angreifer die Anmeldedaten und das Sitzungscookie abfangen und einsehen – wie bei einem Standard-„AiTM“-Phishing-Angriff.
4. Sitzungsübernahme und Kontoübernahme
   Schließlich könne der Angreifer die authentifizierte Sitzung kapern, „indem er das gestohlene Sitzungscookie in seinen eigenen Browser importiert, wodurch er Zugriff auf das Konto des Opfers erhält, ohne Anmeldedaten eingeben oder eine MFA-Authentifizierung durchführen zu müssen“.
   Der Angreifer könne dann eine Reihe von Aktionen nach der Kompromittierung ausführen, einschließlich Daten-Exfiltration und lateraler Bewegung innerhalb der betroffenen Umgebung.

Angreifer könnten FIDO-Authentifizierungs-„Downgrades“ in ihre „Kill Chains“ integrieren

Proofpoint-Experten hätten bisher noch keine Anwendung der beschriebenen Vorgehensweise durch Cyberkriminelle in der Praxis beobachten können. Indes handele es sich beim FIDO-Authentifizierungs-„Downgrade“-Angriff um eine signifikante aufkommende Bedrohung.

• Diese Art eines Angriffs könne von hochentwickelten Angreifern und APT-Angreifern (insbesondere staatlich gesponserten Akteuren) durchgeführt werden.

Weil immer mehr Organisationen „phishing-resistente“ Authentifizierungsmethoden wie FIDO einführten, könnten Angreifer sich gezwungen sehen, ihre Vorgehensweise weiterzuentwickeln, indem sie FIDO-Authentifizierungs-Downgrades in ihre „Kill Chains“ integrierten.

Weitere Informationen zum Thema:

proofpoint, Yaniv Miron, 12.08.2025
Don’t Phish-let Me Down: FIDO Authentication Downgrade / Key takeaways

datensicherheit.de, 13.02.2025
Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel / Bereitstellung von Passkeys in großen Unternehmen

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 11.08.2025] Kaspersky warnt in einer aktuellen Mitteilung vor einer neuentdeckten Phishing-Kampagne, welche demnach Unternehmen weltweit im Visier hat. „Zwischen Oktober 2024 und Juli 2025 verzeichnete das ,Kaspersky Security Network’ weltweit mehr als 5.000 Infektionen mit dem Trojaner ,Efimer’ – 1.500 davon in Europa.“ Dort seien unter anderem Privatpersonen und Unternehmen in Deutschland, Spanien und Italien betroffen gewesen.

Seit Juni 2025 setzen „Efimer“-Angreifer verstärkt auf zielgerichtete Phishing-Mails

„Efimer“ sei zunächst über kompromittierte „WordPress“-Seiten verbreitet worden. Seit Juni 2025 setzten die Angreifer jedoch verstärkt auf zielgerichtete Phishing-Mails, welche sich als rechtliche Schreiben vermeintlicher Anwaltskanzleien tarnten.

Diese E-Mails drohten mit Klagen wegen angeblicher Markenrechtsverletzungen und versuchten so, die Empfänger dazu zu verleiten, schädliche Dateien herunterzuladen. Dieser Trojaner stehle und manipuliere Krypto-Wallet-Adressen.

Laut Kaspersky-Sicherheitsforscher jeweils angepasste Angriffsmethoden für Opferguppen

Kaspersky-Sicherheitsforscher Artyom Ushkov, führt hierzu aus: „Dieser Trojaner zeichnet sich durch seine doppelte Verbreitungsstrategie aus – mit angepassten Angriffsmethoden sowohl für Privatnutzer als auch für Unternehmen.“

Während im privaten Bereich „Torrent“-Dateien mit populären Filmtiteln als Köder dienten, setzten die Täter im Business-Kontext auf juristisch klingende Phishing-Mails. Ushkov betont: „In beiden Fällen ist entscheidend: Eine Kompromittierung erfolgt nur, wenn die Empfänger aktiv schädliche Dateien herunterladen und ausführen!“

Kaspersky-Empfehlungen zum Schutz vor Gefahren wie „Efimer“

• Keine Anhänge oder Links aus unerwünschten oder verdächtigen E-Mails öffnen!
• Die Absenderadresse genau prüfen – insbesondere bei angeblich juristischen oder finanziellen Schreiben!
• Software, Betriebssysteme und Anwendungen regelmäßig aktualisieren sowie Zwei-Faktor-Authentifizierung (2FA) einsetzen!
• Unternehmensnetzwerke kontinuierlich auf Anzeichen von Kompromittierung überwachen!
• Server und Content-Management-Systeme wie beispielsweise „WordPress“ konsequent absichern, um eine Verbreitung über kompromittierte Infrastrukturen zu verhindern!
• Sicherheitslösungen (wie z.B. „Kaspersky Next Complete Security“) einsetzen, welche vor bekannten und unbekannten Gefahren schützen.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 08.08.2025
Scammers mass-mailing the Efimer Trojan to steal crypto

SECURELIST by Kaspersky
Artem Ushkov

kaspersky
Kaspersky Next Complete Security / Fortschrittliche EPP- und EDR-Technologien sowie erstklassiges Know-how in einer einzigen Lösung

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 13.07.2025
Check Point deckt neue Phishing-Domains von Scattered Spider auf / Warnung vor Zunahme der Phishing-Bedrohung für Unternehmen allgemein und speziell für die Luftfahrt

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 15.06.2025
Angeblicher Copyrightverstoß: Phishing-Angriffskampagne bedroht europäische Content-Kreatoren / Ein „cybereason“-Blog-Beitrag meldet neue Phishing-Kampagne, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben

[datensicherheit.de, 28.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hebt in seiner aktuellen Stellungnahme hervor, dass sich Phishing zu einem der gefährlichsten Einfallstore moderner Cyberkriminalität entwickelt hat – und hierbei sei vor allem eines bewiesen worden: Anpassungsfähigkeit. „Wo Unternehmen auf ausgereifte Schutzmaßnahmen wie ,Secure eMail Gateways’ (SEGs) setzen, nutzen Angreifer gezielt deren Schwächen aus. Die Angriffsmethoden werden immer raffinierter und dynamischer – deshalb ist jetzt an der Zeit ist, über neue Verteidigungsstrategien nachzudenken“, gibt Krämer zu bedenken.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu Kombination aus intelligenter Prävention und menschlicher Wachsamkeit zur Phishing-Abwehr

Wie Phishing-Angreifer SEGs raffiniert überlisten

Cyberkriminelle gingen strategisch vor: Sie analysierten die Funktionsweise von SEGs genau und entwickelten ihre Kampagnen so, „dass sie Prüfmechanismen umgehen“. Dabei ließen sich vier zentrale Taktiken erkennen, welche sich teils ergänzten und immer schwerer abzuwehren seien:

1. Zeitlich verzögerte „Payloads“
   „Eine bewährte Methode besteht darin, dass schädliche Inhalte nicht sofort nach E-Mail-Zustellung aktiv sind“, berichtet Krämer. Beispielsweise enthielten Phishing-Mails Links, welche erst Stunden später zu bösartigen Webseiten führten, oder Dateien, deren Schadcode sich erst nach dem Download entfalte. Da SEGs E-Mails primär beim Empfang scannten, bleibe diese Bedrohung unentdeckt.
2. Nutzung legitimer Plattformen
   Angreifer nutzten bewusst bekannte und vertrauenswürdige Dienste wie „Microsoft SharePoint“, „OneDrive“ oder „Google Docs“, um darin ihre Schadlinks zu verbergen. Diese Taktik nutze die gute Reputation solcher Domains, um von SEGs nicht blockiert zu werden – obwohl sich die schädliche Komponente hinter scheinbar harmlosen URLs verberge.
3. „Social Engineering“ ohne klassische Malware
   Gerade Angriffe per „Business eMail Compromise“ (BEC) zeigten, „wie wirkungsvoll Phishing ohne technische Signaturen sein kann“. Krämer erläutert: „Die Angreifer geben sich als Vorgesetzte oder Geschäftspartner aus und bewegen Mitarbeitende dazu, sensible Informationen preiszugeben oder Zahlungen auszulösen – ganz ohne Anhang oder auffälligen Link.“
4. Phishing nur mit Text ohne URLs oder Anhänge
   Manche Angriffe kämen völlig ohne Links oder Anhänge aus und imitierten seriöse interne Kommunikation – etwa durch täuschend echte Rechnungen oder Lieferanweisungen. Da diese E-Mails keinerlei auffällige Indikatoren enthielten, erschienen sie für klassische Gateway-Lösungen als „unkritisch“ und gelangten so problemlos zum Empfänger.

Klassischer Perimeter-Ansatz zur Phishing-Abwehr reicht nicht mehr aus

Diese o.g. gezielten Techniken zeigten deutlich: „Der klassische Perimeter-Ansatz, bei dem E-Mails beim Eingang geprüft und dann freigegeben werden, reicht heute nicht mehr aus. Angreifer denken mit – und sind leider oft einen Schritt voraus.“

• Wirksamen Schutz böten heute nur „cloud“-basierte, KI-gestützte Sicherheitslösungen, welche weit über die einmalige Prüfung beim E-Mail-Eingang hinausgingen. Diese analysierten Inhalte und Kommunikationsverhalten, würden untypische Muster erkennen, sich dynamisch an neue Angriffstechniken anpassen und reagierten in Echtzeit auf verdächtige Aktivitäten.

Doch Technologie allein reiche nicht aus. „Ebenso wichtig ist es, Mitarbeitende gezielt und kontinuierlich zu schulen – etwa im Erkennen manipulierter Inhalte, gefälschter Absender oder ungewöhnlicher Formulierungen“, unterstreicht Krämer und führt abschließend aus: „Nur wenn intelligente Prävention mit menschlicher Wachsamkeit kombiniert wird, entsteht eine wirksame Verteidigung gegen die ausgeklügelten Phishing-Angriffe!“

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 22.07.2025] Laut einer aktuellen KnowBe4-Untersuchung erzielen gefälschte interne E-Mails in Phishing-Simulationen die meisten Klicks. Der „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht demnach die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken – unabhängig davon, ob sie angeblich von der Personalabteilung, der IT-Abteilung oder von großen Marken stammen.

Abbildung: KnowBe4

Erkenntnisse aus dem „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ im Überblick

Bekannte Markennamen in E-Mail-Betreffzeilen als Köder

KnowBe4 hat seinen „Simulated Phishing Roundup“ Report für das zweite Quartal 2025 veröffentlicht: „Der Bericht zeigt einen anhaltenden Trend zur Anfälligkeit von Mitarbeitern für Social-Engineering-Techniken, die Vertrautheit und Vertrauen ausnutzen.“

• Dies zeige sich in den vorherrschenden Interaktionen mit internen Kommunikationskanälen und bekannten Marken, die 98 Prozent der wichtigsten E-Mail-Betreffzeilen ausmachten. Alle Daten für diesen Bericht entstammen der „KnowBe4 HRM+ Plattform“ und seien zwischen dem 1. April und dem 30. Juni 2025 erhoben worden.

Die Trends bei Phishing-Simulationen seien weitgehend konsistent mit dem ersten Quartal 2025 geblieben.

Die wichtigsten Ergebnisse des „Roundup“-Reports laut KnowBe4:

• Interne Themen dominieren
  Interne Themen machten 98,4 Prozent der zehn am häufigsten angeklickten E-Mail-Vorlagen aus.
  Davon entfielen 42,5 Prozent der Phishing-Fehler auf den Bereich Personalwesen und 21,5 Prozent auf den Bereich IT.
• Markenbezogene Landingpages
  71,9 Prozent der Interaktionen mit bösartigen Landingpages beträfen markenbezogene Inhalte.
  „Microsoft“ sei mit 26,7 Prozent am häufigsten vertreten gewesen – gefolgt von „LinkedIn“, „X“, „Okta“ und „Amazon“.
• Am häufigsten angeklickte Hyperlinks
  80,6 Prozent der 20 am häufigsten angeklickten Links stammten aus Simulationen mit internen Themen.
  68,2 Prozent davon hätten Domain-Spoofing-Techniken (d.h. verschleiern der eigenen oder vortäuschen einer fremden Identität) verwendet.
• Interaktionen mit Anhängen
  Die Klicks auf PDF-Anhänge seien im Vergleich zum ersten Quartal um 8,1 Prozent gestiegen.
  PDF-Dateien machten 61,1 Prozent der 20 häufigsten Anhänge aus, gefolgt von HTML-Dateien (20,9%) und „Word“-Dokumenten (18,0%).

Phishing-E-Mails von scheinbar seriösen Absendern wecken immer weniger Misstrauen beim Empfänger

„Eine der wichtigsten Erkenntnisse aus der zusammengefassten Analyse der Phishing-Simulationen im zweiten Quartal ist die entscheidende Rolle, die Vertrauen in der Cybersicherheit spielt“, kommentiert Erich Kron, Cybersicherheitsexperte bei KnowBe4. Er erläutert: „Ob es sich um Vertrauen in die interne Kommunikation, bekannte Marken oder sogar bekannte Personen handelt – Phishing-E-Mails, die scheinbar von seriösen Absendern stammen, wecken immer weniger Misstrauen beim Empfänger.“

• Sie sähen dies immer wieder in realen Szenarien, in denen Angreifer ausgefeilte Social-Engineering-Taktiken einsetzten, um diesen grundlegenden menschlichen Instinkt auszunutzen und es den Mitarbeitern zu erschweren, legitime von bösartigen E-Mails zu unterscheiden.

Kron betont zum Abschluss: „Die Ergebnisse des zweiten Quartals unterstreichen die Notwendigkeit für Unternehmen, ihre menschlichen Abwehrmechanismen durch einen mehrschichtigen Ansatz zu stärken, der sich auf das Management des ,Human Risks’ konzentriert.“ Dazu gehöre die Befähigung der Mitarbeiter, durch eine Kombination aus relevanten, zeitnahen und anpassungsfähigen Sicherheitsschulungen sowie durch intelligente Erkennungstechnologie die Bedrohungen in Echtzeit identifizieren und abwehren zu können.

Weitere Informationen zum Thema:

KnowBe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, Juni 2025
Taking The Bait / Top-clicked Phishing Tests From April – June 2025

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf / Mit fortschrittlichen Techniken gefälschte E-Mails machen es nahezu unmöglich, sie von echten zu unterscheiden

datensicherheit.de, 30.07.2024
Gezielte E-Mail-Angriffe auf größere Unternehmen: 42 Prozent erfolgen mittels Lateralem Phishing / „Barracuda Threat Spotlight“ warnt u.a. vor Phishing-Angriffen über bereits kompromittierte interne E-Mail-Konten in Unternehmen

[datensicherheit.de, 18.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, betont in seiner aktuellen Stellungnahme, dass sogenanntes Social Engineering weiterhin eine der häufigsten Techniken ist, welche von cyberkriminellen Akteuren eingesetzt werden und verweist in diesem Zusammenhang auf den Bericht „Steal, deal and repeat: How cybercriminals trade and exploit your data“ von EUROPOL. „Initial Access Broker“ konzentrieren sich demnach zunehmend darauf, solche Techniken zu nutzen, um gültige Zugangsdaten für die Systeme ihrer Opfer zu erhalten.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt Kombination intelligenter Erkennungstechnologie mit Sicherheitsschulungen in Unternehmen zum Schutz vor „Social Engineering“-Angriffen

Ransomware-Akteure missbrauchen beispielsweise Zugangsdaten für Remote-Dienste

Ein solcher Erstzugang könne in der Folge von cyberkriminellen Akteuren auf vielfältige Weise genutzt werden. Ransomware-Gruppen und ihre Partner nutzten beispielsweise häufig Zugangsdaten für Remote-Dienste, um Unternehmensnetzwerke zu kompromittieren.

Dies könne zu Daten-Exfiltration und -Verschlüsselung führen. „Der Bericht warnt zudem vor einer Zunahme von ,Infostealer’-Malware, die es Kriminellen ermöglicht, Informationen zu sammeln, die für zukünftige Angriffe genutzt werden können“, berichtet Krämer.

Manipulierte Suchergebnisse im Internet, um Nutzer auf Malware-Websites zu lenken

Phishing-Techniken seien der Hauptvektor für die Verbreitung von „Infostealern“. Die Cyberkriminellen nutzten dazu eine Vielzahl von Methoden – darunter das Versenden von E-Mails, Textnachrichten oder Nachrichten in Sozialen Medien:

„Sie enthalten bösartige Anhänge oder URLs und schleusen Malware in das System der Opfer. Bösartige Websites werden auch über Suchmaschinenwerbung und Suchmaschinenoptimierung verbreitet.“ Im letzteren Fall manipulierten die Cyberkriminellen die Suchergebnisse im Internet, um die Nutzer auf Websites mit Malware zu führen.

KI-Tools steigern Effektivität von „Social Engineering-“Angriffen

Der vorliegende EUROPOL-Bericht stelle außerdem fest, dass KI-Tools die Effektivität von „Social Engineering-“Angriffen erhöhten, da sie es Bedrohungsakteuren ermöglichten, auf einfache Weise überzeugende Köder zu entwickeln. Die Wirksamkeit vieler der oben genannten „Social Engineering“-Techniken wurde laut EUROPOL-Forschern durch die breitere Anwendung von LLMs (Large Language Models) und anderen Formen Generativer KI (GenKI) verbessert.

Phishing-Texte und -Skripte, die so generiert werden, dass sie die Sprache und die kulturellen Nuancen des Standorts der Opfer berücksichtigen, könnten die Wirksamkeit von Kampagnen sogar noch verbessern. Krämer warnt abschließend: „Jüngste Untersuchungen zu diesem Thema zeigen, dass Phishing-Nachrichten, die von LLMs generiert werden, eine deutlich höhere Klickrate erzielen als solche, die wahrscheinlich von Menschen geschrieben wurden.“ Er rät daher dringend: „In Kombination mit intelligenter Erkennungstechnologie können Sicherheitsschulungen Unternehmen einen wichtigen Schutz vor ,Social Engineering’-Angriffen bieten!“

Weitere Informationen zum Thema:

EUROPOL
Steal, Deal, Repeat: Cybercriminals cash in on your data / Europol’s latest cybercrime threat assessment exposes the booming black market for stolen data

EUROPOL, 12.06.2025
Steal, deal and repeat: How cybercriminals trade and exploit your data / Internet Organised Crime Threat Assessment (IOCTA) 2025

KnowBe4
Strengthen Your Security Culture

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

datensicherheit.de, 05.03.2018
Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen / Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein

datensicherheit.de, 25.09.2012
Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering / FireEye stellt Report mit solchen Begriffe vor, die häufig als Köder in E-Mails eingesetzt werden

[datensicherheit.de, 13.07.2025] Check Point warnt in einer aktuellen Stellungnahme vor einer zunehmenden Bedrohung durch die berüchtigte Hacker-Gruppe „Scattered Spider“. Sicherheitsforscher berichteten demnach zuletzt im Mai 2025 davon, wie die mutmaßlich mit dem „DragonForce“-Ransomware-Kartell in Verbindung stehenden Gruppe den britischen Einzelhandel angriff. Nun hat Check Point Research (CPR), die IT-Forensiker der Check Point® Software Technologies Ltd., nach eigenen Angaben über 500 Phishing-Domains identifiziert, welche gezielt auf Unternehmen – insbesondere in der Luftfahrtbranche – zielen.

Typische Phishing-Domains als neue Indikatoren

„In den vergangenen Wochen wurden mehrere Vorfälle publik, die mit der Gruppe in Verbindung gebracht werden – darunter der massive Datenverlust bei Qantas im Juli 2025, bei dem Daten von rund sechs Millionen Kunden kompromittiert wurden.“ Auch Angriffe auf Hawaiian Airlines und WestJet unterstrichen die Dringlichkeit, Sicherheitslücken zu schließen, insbesondere bei Drittanbietern im Luftfahrtsektor. CPR habe ein konsistentes Muster in der Infrastruktur der Angreifer identifizieren können: „Domains, die Unternehmensportale täuschend echt nachahmen, um Mitarbeiter zur Herausgabe von Zugangsdaten zu bewegen.“ Typische Namensmuster sind laut CPR:

• victimname-sso.com
• victimname-servicedesk.com
• victimname-okta.com

CPR-Beispiele für entdeckte Phishing-Domains:

• chipotle-sso[.]com
• gemini-servicedesk[.]com
• hubspot-okta[.]com

Diese Domains richteten sich nicht nur gegen Technologie-, Einzelhandels- und Luftfahrtunternehmen, sondern auch gegen die Fertigung, Medizintechnik, Finanzdienstleistungen und Unternehmensplattformen – ein Hinweis auf die opportunistische Natur dieser Gruppe.

Phishing-Gruppe „Scattered Spider“ wohl seit 2022 aktiv

Diese Gruppe sei seit mindestens 2022 aktiv und bestehe aus jungen Akteuren aus den USA und Großbritannien. Ihre Taktiken umfassen laut CPR:

• Aggressive Social-Engineering-Methoden (u.a. Ausnutzung der Multi-Faktor-Authentifizierung-Ermüdung der Angestellten, Vishing, SIM-Swapping).
• Einsatz von Remote-Access-Tools wie „TeamViewer“, „Ngrok“ und „Tactical RMM“.
• Nutzung von Malware wie „WarZone RAT“ und „Raccoon Stealer“.
• Ransomware-Angriffe mit „BlackCat“/„ALPHV“.

Um sich der Angriffe und Methoden von „Scattered Spider“ effektiv zu erwehren, empfiehlt Check Point:

• Monitoring verdächtiger Domains und Blockieren passender Muster.
• Mitarbeiterschulungen zu MFA-Missbrauch und „Vishing“.
• Adaptive Authentifizierung mit Anomalie-Erkennung.
• Robuste Endpunkt-Sicherheitsmaßnahmen.
• Für Luftfahrtunternehmen: Striktes „Vendor Risk“-Management und branchenspezifische „Incident Response“-Playbooks.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Research, 07.07.2025
Exposing Scattered Spider: New Indicators Highlight Growing Threat to Enterprises and Aviation

CHECK POINT Cyberint, Adi Bleih, 08.05.2025
Meet Scattered Spider: The Group Currently Scattering UK Retail Organizations

CHECK POINT, Check Point Research, 06.05.2025
DragonForce Ransomware: Redefining Hybrid Extortion in 2025

datensicherheit.de, 19.02.2025
Kleine und mittlere Flughäfen: BSI stellt IT-Grundschutz-Profil bereit / BSI-Empfehlungen für Mindestabsicherung kleiner und mittlerer Flughäfen in Deutschland

datensicherheit.de, 28.06.2017
Bitkom-Positionspapier zur Cyber-Sicherheit in der Luftfahrt veröffentlicht / Branchenverband sieht bei der Pilotenausbildung Handlungsbedarf

[datensicherheit.de, 17.06.2025] Der aktuelle „Internet Crime Report“ des FBI zeigt auf, dass Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA ist – demnach mit über 193.000 Beschwerden allein im letzten Jahr, 2024. Besorgniserregender als der Umfang der Angriffe erscheint jedoch die Veränderung der Taktik: „Die heutigen Angriffe sind sauberer, überzeugender und darauf ausgelegt, unter dem Radar zu fliegen.“ Die Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen. Im Folgenden sind die wichtigsten Bedrohungen dargestellt – und auch Hinweise, wie Profis diesen stets einen Schritt voraus sein können.

Das Aufkommen linklosen Phishings

Phishing-E-Mails ohne Links, ohne Anhänge – nur eine kurze, scheinbar harmlose Nachricht wie „Haben Sie Zeit für einen kurzen Anruf?“ oder „Können Sie mir bei dieser Aufgabe helfen?“… Diese Nachrichten sind so konzipiert, dass sie die Filter vollständig umgehen und einen Echtzeit-Betrug per Telefon oder Antwort auslösen.

„Die Menschen sind darauf trainiert, verdächtige Links zu erkennen, aber die Angreifer haben sich darauf eingestellt, indem sie diese ganz entfernen“, erläutert Vlad Cristescu, „Head of Cybersecurity“ bei ZeroBounce. Er führt aus: „Sobald Sie geantwortet haben, geben sich diese weiter als Kollege oder Führungskraft aus. Wenn Ihnen etwas seltsam vorkommt, antworten Sie nicht direkt: Vergewissern Sie sich über einen anderen Kanal, bevor Sie sich in die Kommunikation einbringen!“

Wiederholte Login-Anfragen als Hilfe von der IT-Abteilung getarnt

Angreifer überschwemmen Benutzer mit Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA), nachdem sie die Anmeldedaten gestohlen haben, und schicken Ihnen dann eine E-Mail, in der sie sich als IT-Support ausgeben und sie auffordern, „nur eine zu genehmigen“, um die Warnungen zu beenden.

„Dies ist eher psychologische Kriegsführung als technische Trickserei“, so Cristescu und erläutert: „Es nutzt die Frustration und das Vertrauen der Benutzer in die IT aus. Wenn Sie mehrere MFA-Aufforderungen erhalten, die Sie nicht initiiert haben, ist das keine Störung, sondern ein Angriff. Halten Sie inne, lassen Sie es nicht zu und melden Sie es sofort!“

HTML-Anhänge, die sich als sichere Portale ausgeben

Einige Phishing-E-Mails verstecken ihre Nutzdaten in einem einfachen HTML-Anhang, der sich in Ihrem Browser öffnet und einen Anmeldebildschirm imitiert. Diese Anhänge sind besonders trügerisch, weil sie wie Rechnungen, freigegebene Dokumente oder sichere Benachrichtigungen aussehen.

„Die Benutzer denken: ‚Es ist nur eine HTML-Datei, was kann sie schon anrichten?‘“, bemerkt Cristescu. Aber ein Klick könne eine geklonte Anmeldeseite öffnen, welche die Anmeldedaten sofort abfängt. Er rät: „Unternehmen sollten HTML-Anhänge auf das Notwendigste beschränken, und Benutzer sollten unbekannte HTML-Dateien genauso behandeln wie einen verdächtigen Link – öffnen Sie ihn nur, wenn Sie sich des Absenders absolut sicher sind!“

Phishing durch Kalender-Einladungen

Angreifer verschicken jetzt Besprechungsanfragen mit bösartigen Links, welche in die Einladung oder die Schaltfläche „Beitreten“ eingebettet sind. Diese Einladungen werden direkt mit Kalendern synchronisiert und bleiben oft unhinterfragt. „Kalender-Einladungen haben diese eingebaute Glaubwürdigkeit – sie werden in der Regel nicht so genau geprüft wie E-Mails“, warnt Cristescu.

„Wenn Sie jedoch Besprechungsanfragen von unbekannten Absendern oder vage Veranstaltungstitel wie ,Synchronisierung’ oder ,Projektbesprechung’ erhalten, sollten Sie diese genauso behandeln wie Phishing-E-Mails: Deaktivieren Sie nach Möglichkeit die automatische Annahme und überprüfen Sie jede Einladung manuell, bevor Sie darauf klicken!“

Größtes Risiko ist heute Selbstüberschätzung

Modernes Phishing sei strategisch – je mehr es wie ein normales Geschäft aussieht, desto gefährlicher werde es. „Das größte Risiko ist heute Selbstüberschätzung“, unterstreicht Cristescu. Er gibt abschließend zu bedenken: „Egal, wie erfahren Sie sind, wenn Sie aufhören zu hinterfragen, was in Ihrem Posteingang – oder in Ihrem Kalender – landet, sind Sie angreifbar!“

Das eigene Bewusstsein müsse sich genauso schnell weiterentwickeln wie die Bedrohungen. „Überprüfen Sie immer die E-Mail-Adresse des Absenders, vergewissern Sie sich, dass jeder Link, auf den Sie klicken, mit der legitimen Domäne übereinstimmt, und achten Sie auf subtile Warnsignale wie Rechtschreibfehler oder ungewöhnliche Formatierungen!“ Diese kleinen Kontrollen könnten den Unterschied ausmachen, „ob man sicher bleibt oder auf einen gut gemachten Betrug hereinfällt“.

Weitere Informationen zum Thema:

zero bounce
Accurate, fast and secure email validation service

FBI, 23.04.2025
FBI Releases Annual Internet Crime Report

FBI, INTERNET CRIME COMPLAINT CENTER, 23.04.2025
Federal Bureau of Investigation / Internet Crime Report 2024

datensicherheit.de, 15.06.2025
Angeblicher Copyrightverstoß: Phishing-Angriffskampagne bedroht europäische Content-Kreatoren / Ein „cybereason“-Blog-Beitrag meldet neue Phishing-Kampagne, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

[datensicherheit.de, 15.06.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen „cybereason“-Blog-Beitrag ein, welcher von einer neuen Phishing-Kampagne berichtet, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben. Opfer der Kampagne erhalten demnach teils stark personalisierte Phishing-E-Mails, in denen ihnen Urheberrechtsverletzungen vorgeworfen werden: „Geraten sie in Panik und klicken auf Dokumente, die angeblich weitergehende Informationen enthalten, laden sie sich – unbemerkt von ihren Sicherheitstools – die Infostealer-Malware ,Rhadamanthys’ auf ihr System.“

Foto: KnowBe4

Dr. Martin J. Krämer betont: Sämtliche Mitarbeiter müssten in die Lage versetzt werden, die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen!

Phishing-Mail bietet vermeintlich weiterführende Informationen über Link an

An Professionalität mangele es den Angreifern, „die vor allem in Mittel- und Osteuropa zu agieren scheinen“, nicht: „Getarnt als angebliche juristische Mitarbeiter der Rechtsabteilung eines Unternehmens versenden sie per E-Mail offiziell klingende Anschreiben an ihre Opfer, in denen sie ihnen vorwerfen, dass sie in ihrer Arbeit ein Urheberrecht des betreffenden Unternehmens verletzt hätten.“

Weiterführende Informationen seien über einen Link abrufbar. Krämer warnt: „Klicken die Content-Kreatoren auf diesen, werden sie über eine angemietete Domain auf einen Dienst wie ,Dropbox’, ,Discord’ oder ,Mediafire’ weitergeleitet. Dort befinden sich dann, in aller Regel, ein legitimer PDF-Reader, ein PDF-Dokument – zur Täuschung des Opfers – und eine bösartige ,Dynamic Link Library’ (DLL).“ Klickt das Opfer dann auf das Dokument, um es zu öffnen, nutzten die Angreifer das DLL-Ladeverhalten des legitimen PDF-Readers aus, um heimlich, verborgen vor den Sicherheitstools ihres Opfers, bösartigen Code zur Ausführung zu bringen – in diesem Fall die Infostealer-Malware „Rhadamanthys“ auf dem Rechner ihres Opfers zu installieren.

Phishing-Opfer Freelancer als Einfallstor zu ganzen Unternehmensnetzwerken

„Rhadamanthys“ ermögliche es ihnen dann, unterschiedliche Arten von gespeicherten Anmeldeinformationen und sensible Daten zu sammeln und aus dem System ihres Opfers zu exfiltrieren – „ohne, dass dieses hiervon etwas mitbekommt“. Ziel dieser Kampagne seien aber nicht allein die Daten der Content-Kreatoren:

„Auch die Daten der Unternehmen, die deren Dienste als Freelancer in Anspruch nehmen, liegen im Fokus.“ Häufig erhielten Content-Kreatoren als Externe für ihre Arbeit Zugang zu Unternehmensnetzwerken oder Zugangsdaten. „Das wissen die Angreifer!“ Gelingt es ihnen, die Systeme der Freelancer zu kompromittieren, könnten sie deren Konten als Einstieg nutzen, um tief in die Systeme der Unternehmen vorzustoßen – unentdeckt von deren Sicherheitstools und -Teams.

Phishing und Spear Phishing Ansatzpunkte mit größten Erfolgschancen für Cyberkriminelle

Diese aufgedeckte Kampagne zeige einmal mehr, wie wichtig es ist, dass Unternehmen sämtliche Mitarbeiter – auch die Externen – in ihre Maßnahmen zur Anhebung des Sicherheitsbewusstseins mit einbeziehen. Phishing und sogenanntes Spear Phishing seien nach wie vor die Ansatzpunkte mit den größten Erfolgschancen für Cyberkriminelle.

„Wollen Unternehmen sich effektiv vor Cyberangriffen schützen, haben sie dementsprechend hier als erstes anzusetzen“, so Krämer. Sämtliche Mitarbeiter – also auch die Externen – müssten in die Lage versetzt werden, „noch die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen – bevor es zu spät ist“.

Weitere Informationen zum Thema:

cybereason, Cybereason Security Services Team
Copyright Phishing Lures Leading to Rhadamanthys Stealer Now Targeting Europe

malpedia
Rhadamanthys

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 07.06.2025] Die Verbraucherzentrale NRW geht in ihrer aktuellen Stellungnahme auf Angriffe ein, welche jeden Tag millionenfach über das E-Mail-Postfach erfolgen: „Unbekannte verschicken Nachrichten mit dem Ziel, ins Online-Banking einzubrechen. Die Zahl dieser Straftaten steigt seit vielen Jahren kontinuierlich an. Der Schaden ist immens, die Betrugsmaschen werden stetig aktualisiert und verfeinert.“ Die Verbraucherzentrale NRW führt seit 2010 mit dem „Phishing-Radar“ eine eigene Statistik darüber. „Alleine im Jahr 2024 haben uns Menschen mehr als 400.000 E-Mails gemeldet“, berichtet Ralf Scherfling, Finanz- und Phishing-Experte der Verbraucherzentrale NRW.

BKA-Erkenntnisse spiegeln sich bei aktuellen Zahlen der Verbraucherzentrale NRW wider

Scherfling führt weiter aus: „In diesem Jahr sind bis Ende April bereits bereits mehr als 140.000 E-Mails eingegangen. Die Erkenntnisse des Bundeskriminalamts spiegeln sich also bei unseren aktuellen Zahlen wider.“ Scherfling gibt Tipps, wie man die neuesten Phishing-Trends erkennt, und was man tun sollte, falls man betroffen ist: „Wichtig ist vor allem, schnell, aber planvoll zu reagieren!“

• Betrügerische Nachrichten, ob per E-Mail, SMS oder Brief, seien teils in fremder Sprache oder fehlerhafter Übersetzung verfasst. Vielfach fehle auch die direkte Anrede, dann heiße es zum Beispiel „Sehr geehrter Kunde“ oder „Sehr geehrte Nutzerin“. Mittlerweile gebe es aber leider viele gut gemachte betrügerische Nachrichten mit persönlicher Anrede und in fehlerfreiem Deutsch. „Oft ist ein Link enthalten, der zu einer Internetseite führt, die der eines echten Anbieters täuschend ähnlich sieht. Man wird – meist verbunden mit einer kurzen Frist – verbal unter Druck gesetzt, den Link anzuklicken und sensible persönliche Daten einzugeben. Bei Nichtbeachtung wird mit schwerwiegenden Konsequenzen gedroht, wie der Sperrung der Kreditkarte oder des Zugangs zum Online-Banking.“

Man sollte generell sparsam mit den persönlichen Daten umgehen und die eigenen Sicherheitssysteme wie Virenschutzprogramm, Betriebssystem und Internetbrowser stets auf dem neuesten Stand halten. Wichtig, so Scherfling: „Gegenüber unerwarteten Nachrichten ein gesundes Misstrauen zeigen, Anhänge nicht öffnen, nicht auf angebotene Links klicken und auch nicht auf die E-Mail antworten!“ Wer sich nicht sicher ist, ob eine Nachricht echt ist, sollte am besten direkt beim genannten Anbieter nachfragen. Man könne sich auch wie gewohnt in sein Online-Banking einloggen, um zu prüfen, ob die gleiche Nachricht im eigenen Postfach dort auch vorhanden ist. „Ist dies nicht der Fall, liegt ein Betrugsversuch vor!“

Geldinstitute erfragen Zugangsdaten wie PIN oder TAN niemals telefonisch oder per E-Mail

Die Wahl eines sicheren Verfahrens sei für das Online-Banking wichtig, weil es immer wieder Angriffen von Kriminellen ausgesetzt sei. Diese suchten Sicherheitslücken in der Technik und setzten auf Fehler im menschlichen Verhalten.

• Persönliche Daten wie PIN oder TAN sollte man immer nur nach einer ordentlichen Prüfung eingeben, sonst übergibt man schlimmstenfalls den Tätern ungewollt die Verfügungsgewalt über sein Konto und ermöglicht ihnen, eine digitale Karte auf einem fremden Gerät zu hinterlegen.

Scherfling betont: „Geldinstitute erfragen Zugangsdaten wie PIN oder TAN niemals telefonisch oder per E-Mail. Damit ein unautorisierter Zugriff nicht erst nach Wochen auffällt, sollte man regelmäßig im Online-Banking den Kontostand kontrollieren.“ Der schlimmste Fall wäre ein leergeräumtes Konto oder Betroffene, die ihren Bankzugang nicht mehr aufrufen können.

Wenn der Zugang zum Konto nicht funktioniert, könnte ein Cyberangriff vorliegen

Wenn der Zugang zum Konto nicht funktioniert, sollte man einmal erneut in Ruhe das Passwort eingeben. „Erscheint erneut eine Fehlermeldung, spricht viel dafür, dass das Konto gehackt wurde. Es ist ratsam, dann zu testen, ob das Einloggen über ein anderes Gerät möglich ist.“

• In solchen Fällen könnte das erste Gerät mit Schadsoftware infiziert sein. Auf diesem Gerät sollte dringend ein Virenscan durchgeführt werden und es vorerst nicht mehr für Online-Banking genutzt werden.

Ferner sollte man überlegen, sicherheitshalber die Zugangsdaten und das Passwort zu ändern und, falls nötig, neue Anmeldedaten direkt bei Anbieter anzufordern. Dies sollte man mit einem Gerät tun, bei dem man kontrolliert hat, dass es frei von Schadprogrammen ist.

Wenn Dritte Zugang zum Konto hatten, sofort Bank und Polizei informieren

Betroffene sollten ihr Konto beziehungsweise die Karte sofort sperren lassen und Strafanzeige bei der Polizei stellen. Bei nicht autorisierten Überweisungen müsse die Empfängerbank informiert und die Erstattung schriftlich bei der eigenen Bank eingefordert werden.

• Banken müssten nicht autorisierte Zahlungen erstatten, sofern sie keine grobe Fahrlässigkeit der Kunden nachweisen könnten.

„Wenn die Bank die Erstattung verweigert, sollte man eine Schlichtungsstelle einschalten oder rechtliche Schritte über die Verbraucherzentrale oder mit einem Anwalt prüfen.“

Auch Telekommunikationsfirmen, Streaming- oder Paketdienste werden von Cyberkriminellen für Betrugs missbraucht

Persönliche Daten könnten nicht nur beim Online-Banking abgegriffen werden, sondern auch im Namen anderer Anbieter. Dies betreffe beispielsweise Zahlungsdienstleister wie PayPal oder auch Onlinehändler wie Amazon oder Anzeigenportale.

• Aber auch Telekommunikationsfirmen, Streaming- oder Paketdienste würden von Cyberkriminellen immer wieder für neue Betrugsmaschen genutzt. „Gerade die Tatsache, dass bei diesen nicht überall die Zwei-Faktor-Authentifizierung verpflichtend ist, macht diese Option für Betrüger attraktiv.“

Die sensiblen persönlichen Daten könnten sie dann für zielgerichtete Folgeattacken nutzen, um an weitere Daten zu kommen und letztlich das Konto zu übernehmen oder im Rahmen einer Transaktion dieses zu leeren.

Weitere Informationen zum Thema:

verbraucherzentrale NRW
Kontobetrug: Die Bank warf Ihnen grobe Fahrlässigkeit vor? Melden Sie uns Ihren Fall! / Sie sind Opfer von Kontobetrug geworden und Ihre Bank will den Schaden nicht ersetzen, weil Sie angeblich nicht vorsichtig genug waren? Unterstützen Sie uns, indem Sie uns Ihren Fall schildern – damit wir uns für Ihre Rechte einsetzen können!

verbraucherzentrale NRW, 03.06.2025
Phishing-Radar: Aktuelle Warnungen / Hier zeigen wir kontinuierlich aktuelle Betrugsversuche, die uns über unser Phishing-Radar erreichen.

verbraucherzentrale NRW, 03.04.2025
Schutz vor Betrug: Tipps für sicheres Onlinebanking / Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.

verbraucherzentrale NRW, 04.02.2025
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen / Es vergeht kein Tag, an dem Online-Kriminelle keine E-Mails mit gefährlichen Links oder Anhängen verschicken. Ziel: Sich Ihre Zugangsinformationen und persönlichen Daten zu beschaffen. Viele dieser E-Mails sehen täuschend echt aus. Es gibt aber Anzeichen, an denen Sie betrügerische E-Mails erkennen.

datensicherheit.de, 21.05.2025
Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland / Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer