Thought Leadership
Die Bedrohung durch professionelle Phishing-Angriffe hat 2025 eine neue Dimension erreicht. Wie aus dem aktuellen Phishing-Report des Sicherheitsanbieters Barracuda hervorgeht, hat sich die Zahl bekannter Phishing-as-a-Service-Kits (PhaaS) im vergangenen Jahr verdoppelt.
Für Sicherheitsteams in Unternehmen bedeutet dies eine erheblich verschärfte Bedrohungslage, da die Angriffswerkzeuge kontinuierlich weiterentwickelt werden und mittlerweile auch weniger versierten Cyberkriminellen zur Verfügung stehen.
Neue Varianten mit ausgefeilten Techniken
Besonders aggressive neue Varianten wie Whisper 2FA und GhostFrame haben nach Angaben von Barracuda innovative Techniken zur Erkennungsvermeidung eingeführt. Dazu gehören verschiedene Methoden zur Verhinderung der Schadcode-Analyse. Parallel dazu entwickeln sich etablierte Kits wie Mamba und Tycoon kontinuierlich weiter und verzeichnen weiterhin Erfolge. Jedes dieser PhaaS-Kits war laut Report für Millionen von Angriffsversuchen verantwortlich.
MFA-Umgehung und URL-Verschleierung dominieren
Die Analyse von Barracuda identifiziert folgende häufigste Tools und Techniken der Phishing-Kits im Jahr 2025:
Bei 48 Prozent der registrierten Angriffe kamen Techniken zur Umgehung von Multi-Faktor-Authentifizierung (MFA) zum Einsatz. Das ist ein durchaus besorgniserregender Befund angesichts der weit verbreiteten Annahme, MFA biete ausreichenden Schutz. Ebenso häufig (48 Prozent) wurden Techniken zur URL-Verschleierung beobachtet. Der Missbrauch von CAPTCHAs zur Erkennungsvermeidung trat in 43 Prozent aller Fälle auf.
mit Zahlungen und Rechnungen. Bildquelle: Barracuda Networks
Polymorphe Techniken und schädliche QR-Codes fanden sich jeweils in rund 20 Prozent der Angriffe, während schädliche Anhänge in 18 Prozent der Fälle verwendet wurden. Der Missbrauch vertrauenswürdiger Online-Plattformen sowie die Nutzung generativer KI-Tools wie Zero-Code-Entwicklungsplattformen wurden jeweils bei zehn Prozent aller Angriffe festgestellt.
Bewährte Themen, neue Qualität
Die Themen der Phishing-E-Mails orientieren sich weiterhin an bekannten Mustern, haben sich durch den Einsatz generativer KI jedoch qualitativ deutlich verbessert. Jede fünfte Phishing-E-Mail (19 Prozent) bezog sich 2025 auf Zahlungen und Rechnungen. Betrugsversuche rund um digitale Signaturen und Dokumentenüberprüfungen machten 18 Prozent aus, HR-bezogene Dokumente waren in 13 Prozent der Fälle das Thema. Dabei ahmen die Angreifer legitime Markennamen, Websites und Logos mit zunehmender Präzision nach.
Mehrschichtige Strategien erforderlich
“Phishing-Kits haben im Jahr 2025 sowohl in ihrer Anzahl als auch in ihrer Komplexität zugenommen”, erklärt Ashok Sakthivel, Director of Software Engineering bei Barracuda. “Dadurch stehen nun auch weniger erfahrene Cyberkriminelle fortschrittliche Full-Service-Angriffsplattformen zur Verfügung, mit denen sie ausgefeilte Angriffe in großem Maßstab durchführen können.”
Die integrierten Erkennungsvermeidungs-Techniken erschweren es Nutzern und Sicherheitsverantwortlichen zunehmend, Betrugsversuche zu identifizieren. Sakthivel zufolge können sich Unternehmen nicht länger auf statische Schutzmaßnahmen verlassen. Stattdessen seien mehrschichtige Strategien erforderlich, die Benutzerschulungen, phishing-resistente Multi-Faktor-Authentifizierung und kontinuierliche Überwachung kombinieren. E-Mail-Sicherheit müsse dabei den Mittelpunkt einer integrierten, ganzheitlichen Sicherheitsstrategie bilden.
(lb/Barracuda)
