Alle 14 Tage aktuelle News aus der IT-Szene >
Die Analysten von Barracuda Networks haben einen detaillierten Blick auf die Entwicklung von Phishing-Angriffsmethoden geworfen und präsentieren Trends, die Unternehmen im Jahr 2025 erwarten. Von Phishing-as-a-Service über KI-gestützte Angriffe bis hin zu QR-Code-basierter Erpressung – die Bedrohungen werden zunehmend raffinierter. Unternehmen müssen ihre Sicherheitsstrategien überdenken, um sich vor den neuen Tricks der Angreifer zu schützen.
Foto: Adobe Stock / TarikVision Phishing bleibt eine der erfolgreichsten und vielfältigsten Cyberangriffsmethoden. Angreifer nutzen diese Technik nicht nur, um Anmeldedaten zu stehlen, sondern auch, um Zugang zu sensiblen Informationen zu erhalten, Erpressungskampagnen zu starten oder Unternehmen finanziell zu schädigen. 2024 zeigte bereits einen Anstieg komplexer Phishing-Angriffe, die von neuen Technologien wie KI und Phishing-as-a-Service (PhaaS) profitieren. Die Sicherheitsanalysten von Barracuda Networks prognostizieren, dass sich diese Bedrohung im Jahr 2025 weiterentwickeln wird. Unternehmen müssen diese Trends verstehen, um ihre Abwehrstrategien anzupassen.
Von Barracuda erhobene Daten zeigen, dass im Jahr 2024 mehr als 85 Prozent der Phishing-Angriffe auf Kunden darauf abzielten, Anmeldedaten zu stehlen. Dabei erleichtern bereits jetzt Phishing-as-a-Service-Kits (PhaaS) den Angreifern, ohne tiefgreifendes technisches Wissen hochgradig effektive Phishing-Kampagnen zu starten. Barracuda geht davon aus, daß 2025 mehr als die Hälfte aller Phishing-Angriffe mit PhaaS-Kits ausgeführt werden. Diese Kits bieten Funktionen, um selbst Multifaktor-Authentifizierungsdaten (MFA) zu kompromittieren, was die Verteidigungsstrategien vieler Unternehmen herausfordert.
Die Einfachheit und Kosteneffizienz von PhaaS macht diese Methode besonders attraktiv. Unternehmen sollten daher verstärkt auf MFA-Lösungen setzen, die kontinuierliche Überwachung und Verhaltensanalyse nutzen, um verdächtige Zugriffe zu erkennen.
Ein Trend, der sich bereits 2024 abzeichnete, ist die Nutzung legitimer Dienste für böswillige Zwecke. URL-Schutzdienste werden manipuliert, um bösartige Links zu tarnen, während Content-Plattformen für die Verbreitung von Phishing-Inhalten genutzt werden. Diese Taktik erschwert die Erkennung erheblich, da herkömmliche Sicherheitsmechanismen oft davon ausgehen, dass Inhalte von bekannten Plattformen vertrauenswürdig sind.
Angreifer setzen zunehmend auf QR-Codes und Blob-URLs, um die frühzeitige Erkennung durch Sicherheitssoftware zu umgehen. ASCII-basierte QR-Codes sind eine der neuesten Innovationen, die eine maschinelle Analyse der Angriffsvektoren erschweren.
QR-Code- und Voicemail-basierte Phishing-Angriffe machen bereits 20 Prozent der erkannten Kampagnen aus und dürften laut dem Threat-Analysten-Team von Barracuda 2025 weiter zunehmen. Unternehmen sollten ihre Mitarbeitenden für die Risiken sensibilisieren und Sicherheitsrichtlinien zur Verwendung von QR-Codes implementieren.
Mit Hilfe von KI-Tools analysieren Angreifer die Social-Media-Profile und Kommunikationshistorien ihrer Opfer. Dadurch entstehen personalisierte Phishing-Nachrichten, die äußerst glaubwürdig wirken. Eine neue Dimension erreichen diese Angriffe, wenn sie Erpressungskampagnen beinhalten. Im Jahr 2024 wurden bereits Google-Street-View-Bilder genutzt, um Opfer einzuschüchtern.
Für 2025 wird eine Zunahme solcher Angriffe erwartet, einschließlich höherer finanzieller Forderungen. Unternehmen sollten hier auf umfassende Mitarbeiterschulungen und simulierte Angriffe setzen, um das Bewusstsein zu schärfen.
KI wird nicht nur zur Verteidigung, sondern auch zunehmend für Angriffe genutzt. Angreifer erstellen äußerst authentische E-Mails mit emotionalen Call-to-Actions, die oft Grammatik- und Stilfehler vermeiden. Diese Nachrichten basieren auf tiefgreifenden Analysen des individuellen Verhaltens und der Vorlieben der Empfänger.
Phishing ist nach wie vor eine signifikante Cyberbedrohung. Angriffe können relativ kostengünstig, schnell und einfach ausgeführt werden. Aufgrund der potenziell hohen Erfolgschancen haben sie sich im Jahr 2024 rasant weiterentwickelt. Aus den Beobachtungen im laufenden Jahr schließt das Threat-Analysten-Team von Barracuda, dass Phishing-Attacken im kommenden Jahr vielfältiger, opportunistischer und ausgefeilter werden, mit noch höherem Potenzial, traditionelle Sicherheitsmaßnahmen zu umgehen.
Unternehmen wird empfohlen, agile und innovative mehrstufige Sicherheitslösungen einzusetzen, eine starke Sicherheitskultur zu implementieren und sich kontinuierlich über neue Angriffstechniken zu informieren.