Phishing im Jahr 2025: Sind die Verteidigungsmaßnahmen Ihrer Kunden bereit für die nächste Welle?

Phishing-Angriffe bleiben eine der am weitesten verbreiteten und schädlichsten Bedrohungen für die Cybersecurity. Diese Angriffe verleiten Einzelpersonen dazu, vertrauliche Informationen wie E-Mail-Zugangsdaten preiszugeben. Dadurch entstehen nicht nur direkte finanzielle Verluste, sondern sie ebnen auch den Weg für raffiniertere Cyberkriminalität.

Allein im Jahr 2023 erhielt das U.S. Internet Crime Complaint Center (IC3) 880.418 Beschwerden von der amerikanischen Öffentlichkeit, und die potenziellen Verluste beliefen sich auf über 12,5 Milliarden US-Dollar. Mittlerweile haben weltweit führende Cybersecurity-Unternehmen wie Barracuda einen besorgniserregenden Anstieg der Phishing-Aktivitäten beobachtet. Immer ausgeklügeltere Taktiken machen diese Angriffe schwerer zu erkennen und für die Opfer verheerender.

So stellte Barracuda beispielsweise Anfang des Jahres die Weiterentwicklung von Tycoon 2FA fest, einem Phishing-as-a-Service-Toolkit (PhaaS), mit dem hochwirksame Angriffe durchgeführt werden können. Tycoon 2FA kann nicht nur die Multifaktor-Authentifizierung (MFA) vereiteln, sondern nutzt auch legitime E-Mail-Konten, hinderlichen Quellcode und die Fähigkeit, automatisierte Security-Skripte zu erkennen und zu blockieren.

Phishing-Trends, die Sie kennen sollten

Im Jahr 2025 gibt es fünf wichtige Phishing-Trends, die MSPs kennen und auf die sie sich vorbereiten müssen.

Phishing-as-a-Service (PhaaS)-Kits werden immer üblicher werden, wie das oben beschriebene. Den Daten von Barracuda zufolge nutzten 30 % der Angriffe auf Zugangsdaten im Jahr 2024 PhaaS, was 2025 auf 50 % ansteigen könnte. Darüber hinaus werden diese Tools weiterentwickelt, um MFA-Codes zu stehlen.

Gezielte Erpressungsangriffe werden zunehmen. Diese gezielten Angriffe werden stärker personalisierte emotionale Appelle beinhalten, die auf einer Analyse der sozialen Medien und des Kommunikationsverlaufs des Empfängers basieren. Erpressungs-/Sextortion-Angriffe werden zunehmen und Zahlungen mit höherem Geldwert fordern. Bei diesen Angriffen werden auch zunehmend öffentliche Informationen aus sozialen Medien genutzt, darunter Google Street View und persönliche Fotos, die auf verschiedenen anfälligen Plattformen geteilt werden. Dadurch lassen sie sich mit Hilfe von generativer KI leichter skalieren und personalisieren.

Angriffe werden schwieriger zu erkennen und zu stoppen sein. MSPs können mit einer breiteren Implementierung von Ausweichtechniken wie ASCII-basierten QR-Codes, Blob-URIs und der Verlagerung des Phishing-Inhalts aus dem Text der E-Mail in einen Anhang rechnen. QR-Codes und Voicemail-Phishing machen bereits 20 % der Phishing-Erkennungen aus, und diese Taktiken werden zunehmen, wenn Kriminelle damit Erfolg haben. Darüber hinaus betten Angreifer Phishing-Inhalte in HTML- oder PDF-Anhänge ein, wodurch der E-Mail-Text leer bleibt oder zumindest sehr wenig Text enthält, der per maschineller Lernanalyse eine Sicherheitswarnung auslösen würde.

Angreifer werden Plattformen zur Inhaltserstellung und digitalen Veröffentlichung nutzen. Laut Barracuda wurden etwa 10 % der im Jahr 2024 entdeckten Phishing-Angriffe auf CCP- (Content Creation Platform) oder DDP-Sites (Digital Document Publishing) gehostet. Angreifer nutzten diese Plattformen auch, um legitim aussehende Spoofing von Filesharing-Plattformen zu erstellen. Dies wird bis 2025 so bleiben, da Angreifer diese Tools verwenden, um die Kosten und Komplexität der Erstellung von Phishing-Seiten zu reduzieren.

KI wird eingesetzt, um den Erfolg von Phishing-Angriffen zu verbessern. Untersuchungen des Harvard Business Review aus dem Jahr 2024 ergaben, dass 60 % der Teilnehmer Opfer von KI-automatisierten Phishing-Angriffen geworden waren. KI kann die Erkennung dieser Angriffe erheblich erschweren, indem sie die Qualität des Textes in der bösartigen Nachricht verbessert. Mit KI können Angreifer Nachrichten mit personalisierten Inhalten, präziser Grammatik und menschenähnlichen emotionalen Appellen erstellen, die auf einer Analyse der sozialen Medien und des Kommunikationsverlaufs des Empfängers basieren. KI kann auch Deepfake-Bilder, Voicemails und Nachrichten generieren, um Opfer zu täuschen. Das FBI warnte im vergangenen Jahr vor KI-basierten Angriffen und Harvard Business Review berichtete, dass KI-basiertes Phishing die Opfer zu 60 % täuscht und gleichzeitig die Kosten der Angriffe um 95 % senkt.

Phishing-Schutz muss sich weiterentwickeln

Da Phishing nach wie vor eine relativ kostengünstige, einfache, schnelle und erfolgreiche Methode ist, Benutzer und Netzwerke zu kompromittieren, die wenig Fachwissen erfordert, müssen MSPs und ihre Kunden auf diese neuen Trends vorbereitet sein.

Phishing-Angriffe werden vielfältiger, opportunistischer und ausgefeilter. Es ist unerlässlich, agile, innovative, vielschichtige Verteidigungsstrategien zu haben und eine starke Sicherheitskultur zu fördern, um dieser sich ständig weiterentwickelnden Bedrohung einen Schritt voraus zu sein.

Diese Lösungen sollten MFA, erweiterte E-Mail-Authentifizierungsprotokolle wie DMARC und erweiterte KI-basierte Analysetools umfassen, die die von Angreifern verwendeten Taktiken „erlernen“ und ihre Fähigkeit verbessern können, bösartige E-Mails zu erkennen. Unternehmen müssen außerdem regelmäßige Schulungen zur Stärkung des Risikobewusstseins mit aktualisierten Inhalten durchführen, um die Mitarbeiter über die neuesten Bedrohungen aufzuklären und einen klaren Meldeprozess zu bieten, wenn sie eine verdächtige E-Mail entdecken.