Das sind die Phishing-Trends des Jahres 2025
Phishing gilt nach wie vor als erhebliche Cyberbedrohung – kostengünstig, leicht umsetzbar und mit hohem Erfolgspotenzial. Welches die diesjährig meist genutzten Phishing-Methoden sind und wie sich diese voraussichtlich im kommenden Jahr entwickeln, zeigt ein Bericht von Barracuda Networks.
Phishing-Methoden haben sich im Jahr 2024 rapide weiterentwickelt. Im kommenden Jahr werden Phisher ihre Vorgehensweisen vermutlich noch weiter verfeinern, wie Threat-Analysten von Barracuda Networks prognostizieren. Die Analysten haben mehrere Phishing-Angriffsmethoden beobachtet, welche sich Angreifer zunehmend zunutze machen. Da Phishing kostengünstig ist, potenziell hohe Erfolgschancen bietet und keine speziellen Vorkenntnisse dafür notwendig sind, gilt Phishing nach wie vor als signifikante Bedrohung durch Cyberkriminelle. Das Barracuda-Team sieht insbesondere acht Phishing-Trends für das Jahr 2025:
Diebstahl von Anmeldedaten
Über 85 Prozent der Phishing-Angriffe im Jahr 2024 zielten laut Barracuda auf den Diebstahl von Anmeldedaten ab. Dieser Anteil könne im Jahr 2025 auf über 90 Prozent ansteigen. Phishing-as-a-Service (PhaaS) sei dabei besonders relevant. Neue, fortschrittliche PhaaS-Kits sollen in den nächsten zwölf Monaten auch Multifaktor-Authentifizierungsdaten angreifen können. Derzeit machen PhaaS-basierte Angriffe laut Analyse rund 30 Prozent der Cyberattacken mit dem Ziel eines Datendiebstahls aus. Barracuda prognostiziert für das kommende Jahr ein Wachstum dieses Anteils auf über 50 Prozent.
Versteckte Phishing-Links
Dieses Jahr habe Barracuda zunehmend Phishing-Angriffe durch die missbräuchliche Nutzung legitimer URL-Schutzdienste festgestellt. Ziel sei dabei das Verbergen betrügerischer Links. Auch bekannte Sicherheitsanbieter dienen der Prognose zufolge häufig dieser nach wie vor oft genutzten Betrugsmasche.
QR-Phishing
QR-Code- und Voicemail-basiertes Phishing machen aktuell rund 20 Prozent aller erkannten Phishing-Angriffe aus, wie es weiter heisst. Im Oktober habe Barracuda bereits eine Zunahme solcher aus textbasierten ASCII/Unicode-Zeichen erstellten QR-Codes identifiziert. Die QR-Codes wie auch die Nutzung von speziell gestalteten Blob-URL-Links verhindern eine frühzeitige Erkennung von Cyberangriffen. Barracuda rechnet auch bei diesem Trend mit einer Zunahme im kommenden Jahr.
Hacker im HR-Kostüm
Weiter erwartet Barracuda einen Anstieg von Phishing-Angriffen, bei welchen sich Angreifer als Mitarbeitende der Personalabteilung des eigenen Unternehmens ausgeben. Zurzeit würden Attacken dieser Art 10 Prozent aller registrierten Phishing-Versuche ausmachen. Im Jahr 2025 soll auch diese Betrugsmethode zunehmen - insbesondere zu Zeiten wichtiger Steuerfristen.
Webseiten als Phishing-Drehscheibe
Weitere 10 Prozent der diesjährig von Barracuda identifizierten Phishing-Angriffe seien auf das Hosting von CCP-(Content Creation Platform) oder DDP-Webseiten (Digital Document Publishing) zurückzuführen. Ebenfalls dieser Trend wird sich den Analysten zufolge fortsetzen. Grund sei eine immer grössere Auswahl entsprechender Webseiten.
E-Mail-Anhänge als Köder
E-Mails mit Phishing-Inhalten in einem HTML- oder PDF-Anhang: Zahlreiche solcher Fälle konnten die Barracuda-Analysten laut Mitteilung bereits feststellen. Dabei enthalte der jeweilige E-Mail-Textkörper keinen oder nur wenig Text. Dieser Ansatz ziele darauf ab, Machine-Learning-Analysen von E-Mail-Texten zu umgehen. Auch die Fortsetzung dieses Trends ist gemäss Barracuda absehbar.
Erpressung noch personalisierter
Barracuda konnte auch einen zunehmenden Trend beobachten, bei dem Kriminelle ihre Opfer mithilfe von Google Street View-Aufnahmen und Fotos ihres Hauses oder ihrer Strasse zu erpressen versuchen. Diese Taktik wird den Analysten zufolge im kommenden Jahr weiterhin eingesetzt - und dies vermutlich in noch stärker personalisierter Form sowie mit höheren Erpressungsgeldforderungen.
Phishing mit KI
Um die Phishing-Angriffe täuschend echt aussehen zu lassen, nutzen Angreifer zunehmend künstliche Intelligenz (KI). Dadurch können die Betrüger noch glaubhaftere Phishing-E-Mails erstellen, die wie jene eines legitimen Absenders wirken: die Gestaltung von personalisierten E-Mails, präzise Grammatik und emotional ansprechende Call-to-Actions seien mithilfe von KI noch einfacher zu erstellen.
Die Barracuda-Analyse prognostiziert im kommenden Jahr demnach einen Anstieg und eine Weiterentwicklung der acht genannten Phishing-Methoden. Es empfehlen sich daher "innovative und mehrstufige" Sicherheitsmassnahmen. Auch rät Barracuda zur Implementierung einer starken Sicherheitskultur im Unternehmen.
Erst Anfang November hat Barracuda eine neue Phishing-Kampagne entdeckt, welche weltweit die Runde machte und auf Bezahlkunden von ChatGPT abzielte. Lesen Sie hier mehr darüber.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.