[datensicherheit.de, 23.01.2026] Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, geht in einer aktuellen Stellungnahme auf eine im letzten Jahr – 2025 – aufgedeckte neue Betrugskampagne via „WhatsApp“ ein: Bei dieser wird demnach die Geräteverknüpfungsfunktion dieser Plattform missbraucht, um Konten zu übernehmen. „Das verblüffende an der Masche der Cyberkriminellen: Die Angreifer stehlen weder Passwörter, noch müssen sie bei ihrem Vorgehen technisch komplexe ,Exploits’ durchführen oder Verschlüsselungsmechanismen knacken“, berichtet Krämer. Stattdessen nutzten sie „Social Engineering“, um Nutzer zu täuschen und sie davon zu überzeugen, ihr Account mit einem neuen Gerät zu verknüpfen. „Gelingt der Trick, können die Betrüger über die Nutzung von ,WhatsApp Web’ oder dem Desktop-Client der Anwendung kontinuierlichen Zugriff auf Nachrichten und geteilte Medien ihrer Opfer erhalten und bleiben dabei in der Regel sogar unbemerkt.“

Foto: KnowBe4

Dr. Martin J. Krämer: Kriminelle zielen darauf ab, Routineverhalten, Vertrauen in gewohnte Benutzeroberflächen und mangelnde Aufmerksamkeit auszunutzen!

Vermeintlich harmlose „WhatsApp“-Funktion ermöglicht Kontoübernahmen

Die Kampagne beginne meist damit, dass Nutzer unaufgefordert eine „WhatsApp“-Nachricht erhielten, scheinbar von einem bekannten Kontakt stammend.

• „Darin wird behauptet, dass ein Foto der Person gefunden wurde. Ein Link in der Nachricht zeigt eine Vorschau im ,facebook’-Stil und führt zu einer minimalistischen Seite, die auf den ersten Blick vertraut wirkt.“

Im Gegensatz zu herkömmlichen Phishing-Methoden sei diese verlinkte Seite jedoch nicht darauf ausgelegt, dass der Nutzer seine Anmeldedaten preisgibt – sie fungiere stattdessen als zwischen dem Opfer und dem legitimen „Workflow“ der „WhatsApp“-Geräteverknüpfung vermittelnde Kontrollschnittstelle.

Phishing-Webseite fordert auf, Code in der „WhatsApp“-Anwendung einzugeben

Die Webseite fordere den Benutzer auf, seine Telefonnummer einzugeben. „Folgt das Opfer der Anweisung, leitet die Webseite die Eingabe an ,WhatsApp’ weiter, wo ein legitimer Code zur Geräteverknüpfung generiert wird, der auf dem Handy des Nutzers erscheint.“

• Der Nutzer werde daraufhin von der Phishing-Webseite aufgefordert, den Code in der „WhatsApp“-Anwendung einzugeben, um den Zugriff auf das vermeintlich weitergeleitete Foto zu bestätigen.

„Sobald der Nutzer dies tut, wird der Browser des Angreifers als vertrauenswürdiges verknüpftes Gerät im ,WhatsApp’-Konto des Opfers hinterlegt.“

Auch Unternehmen sind dem Risiko des „WhatsApp“-Missbrauchs ausgesetzt

Diese Technik sei überaus effektiv, da sie den Verifizierungsschritten ähnele, denen Benutzer alltäglich bei der Nutzung digitaler Dienste begegneten. Der Vorgang sehe auf den ersten Blick wie eine routinemäßige Sicherheitsüberprüfung aus und hindere den Nutzer nicht an der weiteren Nutzung der App.

• Infolgedessen bemerkten viele Opfer nicht sofort, „dass im Hintergrund ein weiteres Gerät im Account hinterlegt wurde“. Verknüpfte Sitzungen könnten so lange aktiv bleiben, bis sie manuell in den Einstellungen unter der Übersicht „Verknüpfte Geräte” widerrufen würden.

Da „WhatsApp“ als beliebter Messaging-Dienst auch in vielen Bereichen der Arbeitswelt eingesetzt wird, sind Unternehmen ebenso gefährdet wie Privatpersonen, warnt Krämer. „Wenn ein Angreifer über ein verbundenes Gerät Zugriff auf das ,WhatsApp’-Konto eines Mitarbeiters erhält, kann er neue Nachrichten in Echtzeit empfangen, auf zuvor synchronisierte Unterhaltungen zugreifen und geteilte Medien herunterladen.“

„WhatsApp“-Einstellungsunterpunkt „Verknüpfte Geräte“ regelmäßig überprüfen

Darüber hinaus könnten durch die Account-Übernahme auch Phishing-Links an Kollegen, Partner und Kunden des Opfers versendet werden. Dieses Verbreitungsmodell nutze persönliche Kontakte und Geschäftsbeziehungen als Multiplikationsvektor: „Sobald ein einzelnes Konto kompromittiert ist, können Angreifer es nutzen, um Gruppen und Netzwerke zu erreichen – oft mit einer hohen Erfolgsquote, da die Nachricht von einem vertrauenswürdigen Absender stammt.“

• Benutzer sollten die Funktion zur Geräteverknüpfung also nur dann nutzen, wenn sie den Vorgang selbst in der Anwendung initiiert haben und jede unerwartete Aufforderung zur Eingabe eines Codes in „WhatsApp“ als verdächtig betrachten.

Es empfehle sich, den Einstellungsunterpunkt „Verknüpfte Geräte“ regelmäßig zu überprüfen und unbekannte Sitzungen sofort abzubrechen, „denn der durch diese Funktion gewährte Zugriff bleibt so lange bestehen, bis er manuell widerrufen wird“.

„WhatsApp“ warnendes Beispiel: Unternehmen benötigen strukturierten und kontinuierlichen „Security Awareness“-Ansatz

Für Unternehmen gelte es, diese Grundsätze in klare interne Richtlinien umsetzen und einen einfachen Meldeweg für verdächtige Nachrichten einzurichten. Auch praktische Ratschläge und Tipps für Mitarbeiter, die Messaging-Apps auf Geräten verwenden, könnten zur Absicherung der geschäftlichen Kommunikation beitragen.

• Dennoch müssten sich Organisationen darüber bewusst sein, dass technische Richtlinien und einmalige Anweisungen nicht ausreichten. „Kriminelle zielen darauf ab, Routineverhalten, Vertrauen in gewohnte Benutzeroberflächen und mangelnde Aufmerksamkeit von Mitarbeitenden auszunutzen.“

Unternehmen benötigten daher einen strukturierten und kontinuierlichen „Security Awareness“-Ansatz, welcher die Belegschaft nicht nur mit den realen Cyberrisiken vertraut macht, „sondern sie durch personalisierte Inhalte auch motiviert und so den Aufbau einer resilienten und nachhaltigen Sicherheitskultur unterstützt“, so Krämers Empfehlung.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

WIKIPEDIA
WhatsApp

[datensicherheit.de, 17.01.2026] Dr. Martin Krämer, „CISO Advisor“ bei KnowBe4, führt in seiner aktuellen Stellungnahme aus, dass Kleine und Mittlere Unternehmen (KMU) demnach zunehmend von Cybervorfällen betroffen sind und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ externe Angriffe deutlich effektiver macht. Laut einem aktuellen Bericht hätten 81 Prozent der KMU einen schädlichen Vorfall verzeichnet und 38 Prozent danach ihre Preise erhöht – dies unterstreiche die wirtschaftlichen und gesellschaftlichen Folgen von Cyberattacken auf den Mittelstand.

Foto: KnowBe4

Dr. Martin Krämer: Cyberangriffe sollen nicht nur erkannt, sondern auch organisatorisch abgefangen werden!

Zunahme des Missbrauchs KI-gestützter „Social Engineering“-Methoden

„Kleine und mittlere Unternehmen werden immer häufiger Ziel von Cyberangriffen. Sicherheits und Datenvorfälle sind für viele KMU inzwischen kein Ausnahmefall mehr, sondern ein Risiko, das im Alltag mitläuft“, so Krämer.

• Ein aktueller Bericht vom Identity Theft Resource Center zeige dies deutlich: 81 Prozent der KMU hätten im vergangenen Jahr – 2025 – einen Sicherheitsvorfall gehabt und 38 Prozent danach ihre Preise erhöht, um die Folgen abzufedern.

„Auffällig ist zudem, dass sich die Ursachen verschieben. Statt böswilliger Insider stehen häufiger externe Angreifer hinter den Vorfällen.“ Gleichzeitig setzten diese zunehmend auf KI-gestützte „Social Engineering“-Methoden.

Wesentlicher Effekt cyberkrimineller KI-Nutzung Entwicklung liegt in steigender Qualität täuschender Inhalte

Ein wesentlicher Effekt dieser Entwicklung liege in der steigenden Qualität täuschender Inhalte. Klassische Warnsignale wie Tippfehler, holprige Formulierungen oder offensichtlich unpassende Tonalität verlören an Aussagekraft.

• Angriffe könnten dadurch glaubwürdiger wirken, sich stärker an Kommunikationsstile anpassen und in größerem Maßstab ausgespielt werden.

Krämer warnt: „Der Vorteil, den Insider bislang durch ihre Kenntnis interner Prozesse, Hierarchien und Gepflogenheiten hatten, lässt sich so zunehmend auch von externen Akteuren nachbilden.“

Wirtschaftlichen Folgen solcher mittels KI inszenierter Vorfälle ebenfalls spürbar

Für Unternehmen bedeutet das laut Krämer vor allem eines: „,Security Awareness’ muss sich weiterentwickeln! Schulungen, die primär auf offensichtliche Merkmale von Phishing und Betrugsversuchen setzen, reichen in diesem Umfeld weniger aus. Der Fokus sollte stärker auf Verifikation, klaren Freigabeprozessen und der Fähigkeit liegen, ungewöhnliche oder besonders dringliche Anfragen konsequent zu prüfen.“

• Auch Hinweise auf KI-generierte Inhalte könnten eine Rolle spielen, etwa subtile visuelle Artefakte bei manipulierten Videos, fehlende emotionale Nuancen bei geklonten Stimmen oder eine auffällig perfekte Sprache in E-Mails.

Die wirtschaftlichen Folgen solcher Vorfälle seien ebenfalls spürbar: „Ein Teil der betroffenen Unternehmen sieht sich gezwungen, die Preise zu erhöhen, um die Kosten der Vorfälle abzufedern.“

KMU im cyberkriminellen KI-Visier unter operativem und finanziellem Druck

Die ernste Bedrohungslage und das immer professioneller werdende „Social Engineering“ erhöhten für KMU den operativen und finanziellen Druck. Neben unmittelbaren Kosten für Schadensbegrenzung, Wiederanlauf und Kommunikation könnten Folgewirkungen wie Preisanpassungen zum Faktor werden und die Wettbewerbsfähigkeit belasten.

• Gleichzeitig steige das Risiko, dass täuschend echte Inhalte interne Abläufe aushebeln könnten, etwa durch vermeintlich dringende Anfragen oder glaubwürdig wirkende Freigaben.

Krämers Fazit: „Für KMU wird damit entscheidend, ,Security Awareness’, Verifikationsroutinen und klare Prozessregeln so auszubauen, dass Angriffe nicht nur erkannt, sondern auch organisatorisch abgefangen werden!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Infosecurity Magazine, Phil Muncaster, 11.12.2025
“Cyber Tax” Warning as Two-Fifths of SMBs Raise Prices After Breach

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 19.12.2025] Personalisierte und realistische globale Simulationen können helfen, die aufkommende Bedrohung durch Deepfakes für Unternehmen zu mindern – daher hat KnowBe4, als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung eingeführt. Unternehmen sollen ihren Mitarbeitern damit vermitteln können, wie sie sich gegen fortgeschrittene Cybersicherheitsbedrohungen durch Deepfakes, z.B. in Form betrügerischer Videokonferenzen und KI-generierten Phishing-Angriffe, schützen können.

Foto: KnowBe4

Perry Carpenter: Unser neues Deepfake-Training stärkt die Instinkte der Belegschaft, indem es eine sichere, streng kontrollierte Lernumgebung bietet

Deepfakes als Waffe gegen Unternehmen eingesetzt

Die Gefahr ist real: Sogenannte Deepfakes können quasi als Waffe eingesetzt und für Betrug, Desinformationskampagnen und Reputationsschäden in verschiedenen Branchen ausgenutzt werden.

• Solche Deepfake-Angriffe stehen demnach mittlerweile in Verbindung mit jedem fünften biometrischen Betrugsversuch. Solche „Injection“-Angriffe haben laut dem Entrust-Bericht „2026 Identity Fraud Report“ im Vergleich zum Vorjahr um 40 Prozent zugenommen.

Den Ergebnissen des Berichts „KnowBe4 The State of Human Risk 2025” zur Folge, vermelden Sicherheitsverantwortliche insgesamt einen Anstieg von 32 Prozent bei Sicherheitsvorfällen im Zusammenhang mit Deepfakes.

Deepfake-Training soll Abwehr-Instinkte der Belegschaft stärken

„Deepfakes stellen eine grundlegende Veränderung in der Bedrohungslandschaft dar, indem sie KI als Waffe einsetzen, um Autorität zu imitieren, Vertrauen auszunutzen und den menschlichen Entscheidungsprozess zu unterlaufen“, betont Perry Carpenter, „Chief Human Risk Management Strategist“ bei KnowBe4.

• Er führt aus: „Unser neues Deepfake-Training stärkt die Instinkte der Belegschaft, indem es eine sichere, streng kontrollierte Lernumgebung bietet. Alle Simulationen werden von Administratoren erstellt und genehmigt, um eine ethische Nutzung zu gewährleisten und gleichzeitig den Mitarbeitern zu helfen, narrative Warnsignale, subtile Unstimmigkeiten in der Darstellung und andere Hinweise zu erkennen, die manipulierte Medien offenbaren können.“

Bewusstsein und Vorbereitung blieben die stärksten Verteidigungsmechanismen, und KnowBe4 sei bestrebt, Unternehmen mit praktischen, messbaren Fähigkeiten auszustatten, um diesen neuen Bedrohungen einen Schritt voraus zu sein.

Deepfake-Videoinhalte immer raffinierter und schwerer zu durchschauen

Deepfake-Videoinhalte würden immer realistischer und seien immer schwerer von der Realität zu unterscheiden. Führungskräfte im Bereich Cybersicherheit müssten ihre Unternehmen auf neue und aufkommende Bedrohungen vorbereiten und einen proaktiven Ansatz für ihre gesamten Schutzmaßnahmen verfolgen.

• Cybersicherheits- und IT-Fachleute hätten nun die Möglichkeit, ein individuelles Deepfake-Training mit einer Führungskraft aus ihrem Unternehmen zu erstellen, um zu demonstrieren, wie überzeugend KI-gestütztes „Social Engineering“ geworden ist.

Sie nutzten dies dann, um klare, umsetzbare Anleitungen zur Erkennung dieser Angriffe zu geben. Mehr Informationen zum neuen Deepfake-Training von KnowBe4 sind online zu finden.

Weitere Informationen zum Thema:

knowbe4
About US / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4, Dezember 2025
The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era

knowbe4, Human Risk Management Blog
Perry Carpenter – Chief Human Risk Management Strategist

knowbe4
Personalized Deepfake Training: Turn the threat of deepfakes into teachable moments with personalized, realistic training experiences

ENTRUST, Ken Kadet, 18.11.2025
Deepfakes, Social Engineering, and Injection Attacks on the Rise: Entrust 2026 Identity Fraud Report Reveals Surging Attacks and Diversifying Tactics

datensicherheit.de, 18.12.2025
Reduzierung menschlicher Fehler als Erfolgsfaktor zur Senkung der IT-Risiken / MetaCompliance rät mit Blick auf den „Faktor Mensch“ zu mehr personalisiertem Sicherheitstraining im neuen Jahr 2026

datensicherheit.de, 08.12.2025
Deepfake-Angriffe: 2025 von quantitativer Zunahme wie qualitativer Raffinesse geprägt / Sowohl quanti- als auch qualitativ haben KI-basierte Betrugsfälle 2025 merklich zugelegt – bei jedem fünften von ihnen wird mittlerweile auf Deepfakes gesetzt

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

[datensicherheit.de, 13.09.2025] Stimmfälschung mittels Künstlicher Intelligenz (KI) – sogenanntes Voice Phishing („Vishing“) – gehört inzwischen zu den wirkungsvollsten Täuschungsmethoden im Bereich „Social Engineering“. Angreifer nutzen diese Deepfake-Technologie gezielt, um sich als vertrauenswürdige Führungspersonen oder Kollegen auszugeben – ihr offensichtliches Ziel ist es, an vertrauliche Informationen zu gelangen oder finanzielle Transaktionen zu provozieren.

Abbildung: Screenshot v. YT-Video „CEO Deepfake Call“

Video der Swiss Infosec zur Mitarbeiter-Sensibilisierung: Bereits wenige Sekunden Original-Sprachmaterial genügen, um täuschend echte synthetische Stimmen zu erzeugen!

„CEO Deepfake Call“ soll Mitarbeiter proaktiv für Gefahren KI-basierter Anrufsimulationen sensibilisieren

„Die Zeiten, in denen Ihre Organisation solchen Angriffen unvorbereitet ausgeliefert war, sind vorbei!“, verkündet die Swiss Infosec AG. Mit deren neuem Angebot „CEO Deepfake Call“ sollen jetzt Mitarbeiter proaktiv für die Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) sensibilisiert werden können – „ohne Täuschungsabsicht, aber mit ,Wow’-Effekt“.

Aus wenigen Sprachproben entsteht demnach eine täuschend echte, synthetische Stimme, welche in Echtzeit über einen KI-basierten Voicebot zum Einsatz kommt. „Während des Anrufs erkennt dieser gesprochene Antworten und reagiert unmittelbar mit passenden, natürlich klingenden Sprachantworten in der erzeugten Stimme – automatisch, skalierbar und absolut dialogfähig.“

Deepfake-Konzept für verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe u.a. anwendbar

Die Umsetzung erfolge über eine Anrufplattform auf „Cloud“-Basis – indes „ohne Eingriff in Ihre IT“. Swiss Infosec erhalte von Kunden nur eine Liste geschäftlich genutzter Telefonnummern (keine Personendaten). Das Konzept lasse sich auf verschiedenste Szenarien wie CEO-Fraud-Simulationen, fiktive Helpdesk-Anrufe und individuelle „Use Cases“ anwenden.

„CEO Deepfake Call“ – Vorteile dieses „Awareness“-Formats:

• Realitätsnahe Erfahrung aktueller Bedrohungen durch KI-basierte Stimmfälschungen
• Sensibilisierung für glaubwürdig klingende, aber potenziell schädliche Anrufe
• Förderung einer kritischen Haltung gegenüber vermeintlich vertrauten Stimmen
• Sicherer und datenschutzkonformer Einsatz ohne technischen Eingriff in Ihre Infrastruktur
• Skalierbar für KMU ebenso wie für große Organisationen mit mehreren tausend Mitarbeitern
• Erweiterbar durch optionale Auswertungen, Berichte oder weiterführende Trainings

Weitere Informationen zum Thema:

SWISS INFOSEC
Security@its best seit 1989

SWISS INFOSEC
CEO Deepfake Call – Wenn eine vertraute Stimme zum Sicherheitsrisiko wird / Proaktive Sensibilisierung mit KI-basierter Anrufsimulation

YouTube, Swiss Infosec AG, 03.09.2025
CEO Deepfake Call

datensicherheit.de, 11.09.2025
KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko / Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 11.09.2025] Künstliche Intelligenz (KI) verändert offensichtlich die Bedrohungslage im Bereich „Social Engineering“ grundlegend – insbesondere durch sogenanntes Voice-Phishing, kurz „Vishing“. „Bei dieser Methode inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen“, erläutert Patrick Lehnis, „Account based Marketing Manager“ für Specops (ein Unternehmen von Outpost24), in seinem aktuellen Kommentar.

Vishing raffiniert und gefährlich – KI kann Stimmen von Vorgesetzten imitieren

Die Methode sei ebenso raffiniert wie gefährlich: „Angreifer nutzen öffentlich zugängliche Sprachaufnahmen – etwa aus Videos, Webinaren, öffentlichen Auftritten wie Interviews oder Podcasts –, um innerhalb weniger Minuten eine täuschend echt klingende synthetische Stimme zu erzeugen.“

• Diese Angriffstechnik sei bereits jetzt so überzeugend, dass selbst geschulte Mitarbeiter kaum einen Unterschied erkennen könnten. „Was früher eine technische Spielerei war, wird heute gezielt für kriminelle Zwecke eingesetzt!“, warnt Lehnis.

Der psychologische Hebel dabei sei: „Eine vertraute Stimme suggeriert Legitimität.“ Kombiniert mit Zeitdruck („Es muss sofort gehen!“) oder Autorität („Ich bin’s – dein Chef!“), setzten Angreifer ihre Opfer massiv unter Druck. Diese emotionale Manipulation mache KI-Vishing so wirksam und gefährlich.

„Faktor Mensch“ bleibt Schwachstelle – insbesondere im Vishing-Kontext

So ausgeklügelt diese Technologie auch sein mag – am Ende zielten die Angriffe auf die menschliche Psyche. „Vertrauen, Autorität, Hilfsbereitschaft und Stress sind die Druckmittel, mit denen Cyberkriminelle arbeiten. Umso wichtiger ist es, Maßnahmen und Prozesse zu implementieren, die den Druck der Authentifizierung einer Anfrage vom Mitarbeiter fernhält.“

• Dabei gehe es zum einen darum, eine Unternehmenskultur zu schaffen, in der Mitarbeiter – wenn sie unsicher sind – solche Anfragen kritisch hinterfragen und Rückfragen stellen könnten.

Zum anderen auch, technische Maßnahmen zu ergreifen, um Anrufer mithilfe mehrerer Faktoren zu authentifizieren – ehe Aktionen wie Passwort-Resets, die Aufhebung von Kontosperrungen oder Deaktivierung von MFA-Faktoren für den Helpdesk-Mitarbeiter möglich werden.

Dynamische Sicherheit erforderlich, um mit Vishing und anderen Deepfake-Bedrohungen Schritt zu halten

Aufgrund der rasanten Geschwindigkeit, mit der sich die Angriffstechniken weiterentwickelten, müssten Unternehmen ihre Schutzmaßnahmen immer weiter anpassen:

• „Dazu gehören weiterhin klare Kommunikationsrichtlinien (z.B. keine Zahlungsanweisungen per Telefon), verpflichtende Rückbestätigungen über Zweitkanäle, Tools und technische Authentifizierungsmaßnahmen sowie regelmäßige Schulungen zum Erkennen manipulativer Gesprächstechniken“, gibt Lehnis abschließend zu bedenken.

So könnten mögliche „Social Engineering“-Angriffe abgewehrt und schlimmere Konsequenzen vermieden werden.

Weitere Informationen zum Thema:

Outpost24
Exposure Management that makes business sense

Infosecurity Magazine
Patrick Lehnis: Marketing Manager, Outpost24 / Patrick Lehnis is Marketing Manager at Outpost24 and responsible for planning and executing practical and relevant marketing campaigns that address the challenges faced by cybersecurity managers and experts across the globe

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe / Einer aktuellen Studie von Surfshark zufolge gab es in der ersten Hälfte des Jahres 2025 fast viermal so viele Deepfake-Vorfälle wie im gesamten Jahr 2024

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

[datensicherheit.de, 06.09.2025] „Vor Kurzem hat ReliaQuest einen beachtenswerten Bericht zur aktuellen Entwicklung am ,cyberkriminellen Arbeitsmarkt’ vorgelegt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. So habe sich zwischen 2024 und 2025 die Zahl der dortigen „Stellenangebote“ mehr als verdoppelt. Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ seien gefragt – und solche, welche Künstliche Intelligenz (KI) für „Social Engineering“-Angriffe, zum Beispiel für sogenannte Deepfake-Attacken, nutzbar machten. Für die Zukunft lasse dies „nichts Gutes“ erahnen.

Foto: KnowBe4

Dr. Martin J. Krämer: Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von „Social Engineering“ zu erkennen – bevor es zu spät ist!

„Untergrund-Arbeitsmarkt“ boomt und professionalisiert sich

Um sich einen Überblick über die derzeitige Lage und aktuelle Entwicklungen am „cyberkriminellen Arbeitsmarkt“ zu verschaffen, hat demnach ein Team von RealiaQuest zwischen dem 1. Januar 2023 und dem 31. Juli 2025 das DarkWeb nach kriminellen Stellenanzeigen durchforstet und diese analysiert.

• Ihrem Fazit nach haben sich von 2024 bis 2025 die Gesuche in bekannten Cyberkriminellen-Foren wie „Exploit“ und „RAMP“ mehr als verdoppelt. Auch in diesem Jahr – 2025 – habe die Zahl der Anzeigen zugenommen – „sogar so rasant, dass der Vorjahreswert bereits im Juli überschritten wurde“.

Der „Underground-Arbeitsmarkt“ boome nicht nur – er professionalisiere sich auch. „Ganze 87 Prozent der Stellenanzeigen stammen mittlerweile von kriminellen ‚Personalvermittlern‘, die im DarkWeb für ihre kriminellen Klienten nach kriminellen Technikern mit hochspezialisierten Angriffsfähigkeiten – vor allem im Bereich ,Social Engineering’ – suchen.“ Der Trend sei klar: „Cyberkriminalität wird immer organisierter, spezialisierter und effizienter!“

„Social Engineering“-Wissen nebst KI-Fertigkeiten zunehmend gefragt

Neben „Social Engineering“ seien vor allem KI-Fertigkeiten zunehmend gefragt. Seit dem dritten Quartal 2024 habe sich hierbei ein deutlicher Anstieg der Gesuche bemerkbar gemacht. „Dabei geht es längst nicht mehr allein um die ‚simple‘ Erstellung von Malware. Mittlerweile werden KI-Experten rekrutiert, um Angriffsoperationen als Ganzes zu automatisieren“, betont Krämer. KI ermögliche schnellere, skalierbarere Operationen – bei einem deutlich niedrigeren Ressourceneinsatz.

• Auch und gerade im Bereich der „Deepfake“-Technologien, in denen KI und „Social Engineering“ immer häufiger zusammenkämen, sei mit einem Anstieg der Angriffe fest zu rechnen. „Bereits heute ist die Nachfrage nach erfahrenen ,Social Engineers’ relativ hoch – und damit kostspielig.“

Krämer warnt: „In den kommenden Monaten und Jahren werden KI-gestützte ,Deepfake’-Technologien sich für viele Cyberkriminellen zu einer echten kostengünstigen Alternative entwickeln.“ Es sei deshalb in jedem Fall davon auszugehen, dass „Social Engineering“-Angriffe, ob nun mit menschlicher oder maschineller Expertenunterstützung, weiter zunehmen würden.

Tipps zur Begegnung der Bedrohungslage im Bereich „Social Engineering“

Um für die wachsende Bedrohungslage im Bereich „Social Engineering“ gerüstet zu sein, rät ReliaQuest Unternehmen zu

• einem risikobasierten Sicherheitskonzept, bei dem regelmäßig die meistgefährdeten und hochwertigsten Vermögenswerte sowie potenziellen Angriffsvektoren identifiziert und hinsichtlich ihrer jeweiligen Risikolagen priorisiert werden
• einem professionellen Schwachstellen-Management (inklusive regelmäßiger Scans und Reportings)
• professionellen Schulungen und Tests der gesamten Belegschaft zum Thema „Social Engineering“ – alle Mitarbeiter müssten in die Lage versetzt werden, „Social Engineering“-Taktiken, auch Phishing- und „Spear Phishing“-Versuche, rechtzeitig zu erkennen, nicht darauf hereinzufallen und den zuständigen Sicherheitsteams zu melden

Nur so würden Unternehmen sich eine wachsame Belegschaft aufbauen können, „die unerwünschten Manipulationsversuchen wirksam widerstehen kann“.

Krämer kommentiert abschließend: „Dem kann nur zugestimmt werden. Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von ,Social Engineering’, von Phishing und ,Spear Phishing’ zu erkennen – bevor es zu spät ist!“ Der zunehmende KI-Einsatz auf Seiten Cyberkrimineller lasse diese Notwendigkeit nur noch weiter an Bedeutung gewinnen.

Weitere Informationen zum Thema:

knowbe4
About Us: KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research Team, 21.08.2025
Threat Spotlight | Cybercrime Is Hiring: Recruiting AI, IoT, and Cloud Experts to Fuel Future Campaigns

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

[datensicherheit.de, 10.08.2025] Palo Alto Networks gibt die Erkenntnisse aus der aktuellen „Social Engineering“-Edition des „2025 Global Incident Response Report“ der „Unit 42“ bekannt: Sogenanntes Social Engineering ist demnach 2025 das häufigste Einfallstor für Cyberangriffe. In mehr als einem Drittel der über 700 analysierten Fälle weltweit hätten Angreifer „Social Engineering“ als Einstieg genutzt – also den gezielten Versuch, Menschen durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen.

Abbildung: Palo Alto Networks

Phishing bleibt die weitverbreitetste Taktik Cyberkrimineller, um sich Zugriff zu verschaffen

Zentrale Erkenntnisse der „Social Engineering“-Edition des „2025 Global Incident Response Report“ auf einen Blick:

• 36 Prozent aller untersuchten Vorfälle begannen mit „Social Engineering“
  Phishing bleibe mit 65 Prozent die weitverbreitetste Taktik, um sich Zugriff zu verschaffen. 35 Prozent nutzten „Malvertising, SEO-Poisoning, Smishing oder MFA-Bombing“.
• „High Touch“-Angriffe nehmen zu
  Gruppen wie „Muddled Libra“ umgingen Multi-Faktor-Authentifizierung (MFA) und erlangten innerhalb weniger Minuten Administratorrechte – ohne den Einsatz von Malware.
• Schwache Erkennungsmechanismen und Alarmmüdigkeit innerhalb der Sicherheitsteams begünstigen diese Angriffe
  Warnsignale würden oft übersehen oder falsch eingestuft – insbesondere in Prozessen zur Wiederherstellung von Identitäten oder bei lateralen Bewegungen im Netzwerk.
• Über die Hälfte der Vorfälle führte zu Datenabfluss
  Andere wiederum zu Unterbrechungen kritischer Dienste oder zu einer spürbaren Beeinträchtigung der Unternehmensperformance.
• Künstliche Intelligenz (KI) beschleunigt und personalisiert „Social Engineering“-Kampagnen
  Bedrohungsakteure nutzten Generative KI (GenAI), um täuschend echte Köder zu erstellen, Stimmen von Führungskräften zu imitieren und in Echtzeit Gespräche während Täuschungskampagnen zu führen.

„Social Engineering“ – Abwehr erfordert auch technischen Sicherheitsansatz

Der vorliegende Bericht macht laut Palo Alto Networks deutlich: „,Social Engineering’ erfordert einen technischen Sicherheitsansatz, der Identitätsmissbrauch systematisch erkennt, Prozesse absichert und Benutzerinteraktionen konsequent überprüft!“

Weitere Informationen zum Thema:

paloalto NETWORKS, Blog, Michael Sikorski, 30.07.2025
Social Engineering on the Rise — New Unit 42 Report

paloalto NETWORKS
Get to know Michael Sikorski / CTO and VP Engineering – Unit 42

UNIT 42
Cybercrime: 2025 Unit 42 Global Incident Response Report: Social Engineering Edition

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware …. / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 31.01.2022
Earth Lusca: Neue Cyber-Spionagegruppe betreibt Social Engineering / Cyber-Spionage und finanziell motivierte Angriffe von Earth Lusca bedrohen Unternehmen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

[datensicherheit.de, 31.07.2025] Je mehr Aufmerksamkeit Cyberkriminelle erhalten, desto erfolgreicher scheinen sie zu sein. Scattered Spider ist aufgrund seines gekonnten Einsatzes von Social Engineering besonders interessant. Das liegt daran, dass Abwehrmaßnahmen sich oft zu sehr auf technische Angriffe und technische Lösungen konzentrieren. Die Angreifer wie Scattered Spider setzen jedoch einfache Telefonanrufe oder SMS-Nachrichten und in einigen Fällen sogar Bestechungsgelder ein, um Insider zur Mithilfe zu bewegen. Die Gruppe agiert laut Informationen der CISA ähnlich wie „Lapsus$“ vor zwei Jahren, allerdings konnte Lapsus$ inzwischen im Wesentlichen zerschlagen  werden und einige Mitglieder wurden verhaftet.

Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute, Bild: SANS

Herausforderung Drittanbietersoftware

Die Herausforderung für Sicherheitsteam ist, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen. Detaillierte Einblicke in Autorisierungsaktivitäten sind oft begrenzt, was die ordnungsgemäße Erkennung und Abwehr dieser Bedrohungen verlangsamt oder sogar verhindert.

Qualifiziertes internes Fachwissen nötig

Eine genaue Identitätsverwaltung und -überwachung muss eng auf die Geschäftsprozesse eines Unternehmens abgestimmt sein, was in der Regel am besten mit ausreichend qualifiziertem internem Fachwissen erreicht werden kann. Moderne, segmentierte Netzwerke verkomplizieren die Sache noch weiter und machen die detaillierte Überwachung, die erforderlich ist, um diese Angriffe frühzeitig zu erkennen, fast unmöglich. Einige Unternehmen profitieren davon, dass aufrichtige Insider verdächtige Aktivitäten melden, beispielsweise einen erhaltenen Anruf. Schulungen für Security Awareness legen oft mehr Wert auf die Meldefunktionen als auf altmodische Anti-Phishing-Schulungen.

Weitere Informatione zum Thema:

datensicherheit.de, 11.05.2025
SANS Institute benennt Top 5 der gefährlichsten neuen Angriffstechniken

[datensicherheit.de, 18.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, betont in seiner aktuellen Stellungnahme, dass sogenanntes Social Engineering weiterhin eine der häufigsten Techniken ist, welche von cyberkriminellen Akteuren eingesetzt werden und verweist in diesem Zusammenhang auf den Bericht „Steal, deal and repeat: How cybercriminals trade and exploit your data“ von EUROPOL. „Initial Access Broker“ konzentrieren sich demnach zunehmend darauf, solche Techniken zu nutzen, um gültige Zugangsdaten für die Systeme ihrer Opfer zu erhalten.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt Kombination intelligenter Erkennungstechnologie mit Sicherheitsschulungen in Unternehmen zum Schutz vor „Social Engineering“-Angriffen

Ransomware-Akteure missbrauchen beispielsweise Zugangsdaten für Remote-Dienste

Ein solcher Erstzugang könne in der Folge von cyberkriminellen Akteuren auf vielfältige Weise genutzt werden. Ransomware-Gruppen und ihre Partner nutzten beispielsweise häufig Zugangsdaten für Remote-Dienste, um Unternehmensnetzwerke zu kompromittieren.

Dies könne zu Daten-Exfiltration und -Verschlüsselung führen. „Der Bericht warnt zudem vor einer Zunahme von ,Infostealer’-Malware, die es Kriminellen ermöglicht, Informationen zu sammeln, die für zukünftige Angriffe genutzt werden können“, berichtet Krämer.

Manipulierte Suchergebnisse im Internet, um Nutzer auf Malware-Websites zu lenken

Phishing-Techniken seien der Hauptvektor für die Verbreitung von „Infostealern“. Die Cyberkriminellen nutzten dazu eine Vielzahl von Methoden – darunter das Versenden von E-Mails, Textnachrichten oder Nachrichten in Sozialen Medien:

„Sie enthalten bösartige Anhänge oder URLs und schleusen Malware in das System der Opfer. Bösartige Websites werden auch über Suchmaschinenwerbung und Suchmaschinenoptimierung verbreitet.“ Im letzteren Fall manipulierten die Cyberkriminellen die Suchergebnisse im Internet, um die Nutzer auf Websites mit Malware zu führen.

KI-Tools steigern Effektivität von „Social Engineering-“Angriffen

Der vorliegende EUROPOL-Bericht stelle außerdem fest, dass KI-Tools die Effektivität von „Social Engineering-“Angriffen erhöhten, da sie es Bedrohungsakteuren ermöglichten, auf einfache Weise überzeugende Köder zu entwickeln. Die Wirksamkeit vieler der oben genannten „Social Engineering“-Techniken wurde laut EUROPOL-Forschern durch die breitere Anwendung von LLMs (Large Language Models) und anderen Formen Generativer KI (GenKI) verbessert.

Phishing-Texte und -Skripte, die so generiert werden, dass sie die Sprache und die kulturellen Nuancen des Standorts der Opfer berücksichtigen, könnten die Wirksamkeit von Kampagnen sogar noch verbessern. Krämer warnt abschließend: „Jüngste Untersuchungen zu diesem Thema zeigen, dass Phishing-Nachrichten, die von LLMs generiert werden, eine deutlich höhere Klickrate erzielen als solche, die wahrscheinlich von Menschen geschrieben wurden.“ Er rät daher dringend: „In Kombination mit intelligenter Erkennungstechnologie können Sicherheitsschulungen Unternehmen einen wichtigen Schutz vor ,Social Engineering’-Angriffen bieten!“

Weitere Informationen zum Thema:

EUROPOL
Steal, Deal, Repeat: Cybercriminals cash in on your data / Europol’s latest cybercrime threat assessment exposes the booming black market for stolen data

EUROPOL, 12.06.2025
Steal, deal and repeat: How cybercriminals trade and exploit your data / Internet Organised Crime Threat Assessment (IOCTA) 2025

KnowBe4
Strengthen Your Security Culture

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

datensicherheit.de, 05.03.2018
Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen / Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein

datensicherheit.de, 25.09.2012
Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering / FireEye stellt Report mit solchen Begriffe vor, die häufig als Köder in E-Mails eingesetzt werden

[datensicherheit.de, 19.06.2024] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neue Angriffstechnik cyber-krimineller Gruppen identifiziert: „Mit dieser neuen Methode versuchen Cyber-Kriminelle, Benutzer dazu zu verleiten, schädliche ,PowerShell’-Befehle auf ihren eigenen Systemen auszuführen.“ Die vollständige Analyse der Proofpoint-Experten ist in deren „Threat Blog“ im englischen Original zu finden (s.u.).

Cyber-Kriminelle missbrauchen Social Engineering und verstecken Schadcode

Die Täter nutzten „Social Engineering“ und versteckten Schadcode. Proofpoint konnte demnach feststellen, dass verschiedene Gruppen, darunter der „Initial Access Broker TA571“, diese Methode nutzten, um Malware wie „DarkGate“, „Matanbuchus“, „NetSupport“ und verschiedene „Information Stealer“ zu verbreiten.

„Unabhängig davon, ob die ursprüngliche Kampagne über ,Malspam’ oder Webbrowser-Injections gestartet wird, läuft ein Angriff ähnlich ab.“ Den Benutzern werde ein Popup-Fenster mit der Meldung angezeigt, dass ein Fehler beim Versuch aufgetreten sei, ein Dokument oder eine Webseite zu öffnen.

„Sie werden dann aufgefordert, ein bösartiges Skript in das ,PowerShell’-Terminal oder das ,Windows’-Dialogfeld ,Ausführen’ zu kopieren und einzugeben, um das Skript schließlich über ,PowerShell’ auszuführen.“

Wirksames Werkzeug Cyber-Krimineller: Vom Benutzer selbst initiierte schädliche Aktivitäten bleiben oft unentdeckt

Diese Art von Angriff sei besonders gefährlich, weil sie die meisten traditionellen Sicherheitsvorkehrungen wie Antimalware-Lösungen und Firewalls umgehe. „Da die schädlichen Aktivitäten vom Benutzer selbst initiiert werden, bleiben sie oft unentdeckt und stellen ein wirksames Werkzeug für Cyber-Kriminelle dar.“

Angesichts immer neuer Methoden der Malware-Verbreitung durch Cyber-Kriminelle sei die Aufklärung der Nutzer unabdingbar, um diese Art von Angriffen abzuwehren. Nutzer müssten sich der Risiken bewusst sein, die mit dem Kopieren und Einfügen unbekannter Befehle in ihre Konsolen verbunden seien.

„Darüber hinaus sollten Organisationen moderne Sicherheitslösungen implementieren, die in der Lage sind, schädliche ,PowerShell’-Aktivitäten zu erkennen und zu blockieren.“

Weitere Informationen zum Thema:

proofpoint, Tommy Madjar & Dusty Miller & Selena Larson & the Proofpoint Threat Research Team, 17.06.2024
From Clipboard to Compromise: A PowerShell Self-Pwn