Thought Leadership
Das Cybersecurity-Unternehmen Proofpoint hat in seinem „Human Factor Report 2025“ alarmierende Entwicklungen im Bereich Phishing und Social Engineering dokumentiert.
Die Analyse zeigt, dass Angriffe mit schädlichen Links mittlerweile die dominierende Bedrohung darstellen – weit vor klassischen Dateianhängen. Grundlage der Untersuchung sind Daten aus der eigenen Threat-Intelligence-Plattform.
Cyberkriminelle setzen zunehmend auf URLs, die in E-Mails, SMS oder Dokumente eingebettet sind. Laut Proofpoint kommen bösartige Links viermal häufiger zum Einsatz als Anhänge. Sie sind schwerer zu erkennen, können in Buttons oder PDFs versteckt werden und führen direkt zu Phishing-Seiten oder Schadsoftware-Downloads.
ClickFix-Kampagnen auf dem Vormarsch
Eine besonders perfide Technik ist das sogenannte ClickFix-Phishing: Nutzer sehen gefälschte Fehlermeldungen oder CAPTCHA-Abfragen und werden dadurch verleitet, schädlichen Code auszuführen. Innerhalb eines Jahres stiegen solche Angriffe um fast 400 Prozent. Verbreitet werden damit unter anderem Remote-Access-Trojaner und Infostealer.
Auch QR-Codes haben sich zu einem beliebten Werkzeug entwickelt. In den ersten sechs Monaten 2025 registrierte Proofpoint über 4,2 Millionen QR-Phishing-Versuche. Diese Angriffe umgehen Schutzsysteme, indem sie auf privaten Mobilgeräten landen. Ein Scan genügt, um auf täuschend echt gestaltete Phishing-Seiten weitergeleitet zu werden.
Phishing-Ziel Nummer eins: Zugangsdaten
Die Studie zeigt zudem: Es geht den Angreifern in erster Linie um Anmeldedaten. Mit insgesamt 3,7 Milliarden URL-basierten Attacken waren Credential-Phishing-Kampagnen 2025 die häufigste Angriffsform. Oft nutzen die Täter fertige Baukästen wie CoGUI oder Darcula, sodass auch wenig erfahrene Akteure glaubwürdige Betrugsseiten aufsetzen können. Selbst Multi-Faktor-Authentifizierung wird dabei zunehmend umgangen.
Besonders stark gestiegen ist die Zahl von Smishing-Kampagnen – also SMS-Phishing. Proofpoint verzeichnete hier einen Zuwachs von über 2.500 Prozent. Mehr als die Hälfte der untersuchten Nachrichten enthielten Links zu betrügerischen Seiten. Typische Maschen sind fingierte Benachrichtigungen von Lieferdiensten oder Behörden, die durch ihre vermeintliche Dringlichkeit besonders wirkungsvoll sind.
Die zentrale Botschaft des Reports: Cyberkriminelle zielen nicht primär auf Systeme, sondern auf die menschliche Schwachstelle. Ob über QR-Codes, gefälschte CAPTCHA-Seiten oder mobile Nachrichten – die Täuschung wird immer ausgefeilter und schwerer zu erkennen. Proofpoint empfiehlt daher mehrschichtige Sicherheitsmaßnahmen, die KI-gestützte Erkennung mit einer stärker menschenorientierten Abwehrstrategie verbinden.
