10 wilde Phishing- (und Phish-nahe) Geschichten aus den Jahren 2024-2025 - inklusive wichtiger Lessons Learned
QR-Codes werden zu Logins. KI gab sich auf Zoom als dein CFO aus. "Interne" E-Mails kamen aus dem Jenseits. Die letzten zwei Jahre waren eine ununterbrochene Parade erfinderischer Betrügereien - zu gleichen Teilen dreist und brillant. Im Folgenden gehen wir auf zehn reale Vorfälle ein, die diese Ära geprägt haben, und - was noch wichtiger ist - wir übersetzen jeden einzelnen in klare Regeln, die du einführen kannst. Die Quellen sind durchgehend verlinkt, sodass du jederzeit nachschlagen kannst.
1) Change Healthcare: ein Portal, keine MFA und eine sehr teure Lektion (Feb 2024)
Im Februar 2024 traten Angreifer mit gestohlenen Anmeldedaten durch die digitale Eingangstür von Change Healthcare - kein Alarm, kein zweiter Faktor, nur ein Remote-Portal ohne MFA. Der Einbruch führte schließlich zu ALPHV/BlackCat Ransomware und landesweiten Störungen bei der Abrechnung im Gesundheitswesen. Später sagten Führungskräfte aus, dass der kompromittierte Zugangspunkt keine MFA aktiviert hatte - ein Versäumnis, das sich wie eine Wendung der Geschichte liest, die man schon aus einer Meile Entfernung kommen sieht (Reuters; Kontext über Cybersecurity Dive; Branchenzusammenfassungen von AHA und HHS OCR).
Warum hat es funktioniert? Weil eine App ohne MFA ein Notschlüssel in einer Welt ist, die von Infostealer-Protokollen und der Wiederverwendung von Passwörtern durchtränkt ist. Die Gegenmaßnahme ist glorreich unsexy: Phishing-resistente MFA (FIDO2) überall dort, wo die Öffentlichkeit dich sehen kann, idealerweise hinter SSO + Conditional Access, mit deaktivierten Legacy-Protokollen. Füge grundlegende Anomalie-Warnungen hinzu - unmögliche Reisen, seltsame ASNs, seltsame Uhrzeiten - und du hast zumindest eine Chance, die ersten Schritte zu erkennen.
2) Pepco Group: klassisches BEC, geschliffen wie ein Diamant (Feb 2024)
Das ungarische Unternehmen Pepco verlor etwa 15,5 Millionen Euro durch eine klassische, aber extrem gut ausgeführte Kompromittierung von Geschäftsmails**. Keine Malware-Extravaganz, sondern überzeugende Botschaften, Autorität, Dringlichkeit und ein Zahlungsprozess, der dem Posteingang zu sehr vertraut (Unternehmensmitteilung / PDF; Berichterstattung über Reuters und Help Net Security).
Die Lösung ist sowohl kulturell als auch technisch: Behandle Geldbewegungen wie eine Checkliste im Cockpit. Doppelte Genehmigungen, Rückrufverifizierung zu bekannten Nummern, Lieferantenportale mit 2FA und eine Sperrfrist für erstmalige Änderungen der Bankverbindung verwandeln "bitte dringend bezahlen" in "sicher, nachdem wir den Prozess befolgt haben."
3) Der Arup Deepfake Boardroom: Wenn Gesichter lügen (Jan-Mai 2024)
Ein Finanzmitarbeiter bei Arup nahm an einem Videogespräch mit dem "CFO" und Kollegen teil. Sie sahen richtig aus, hörten sich richtig an, bewegten sich richtig - und waren AI Deepfakes. Rund 25 Millionen Dollar verließen das Gebäude, bevor die Realität sie einholte (Financial Times; CFO Dive; Hintergrundinformationen über CNN/Yahoo).
Wir haben die Menschen darauf trainiert, "dem Gesicht zu vertrauen" Deepfakes zerstören diesen Instinkt. Die pragmatische Lösung ist Politik, nicht Paranoia: Keine Freigabe von Geldern nur bei Live-Anrufen. Verlangt eine mit einem Ticket versehene Genehmigung und einen mündlichen Rückruf an eine Nummer, die aus einem internen Verzeichnis stammt - niemals aus einer E-Mail oder einer Einladung zu einem Treffen. Bringe den Teams bei, wie man Signale erkennt (Lippensynchronität, seltsame Latenzen) und wie man Rückkanäle nutzt, wenn etwas nicht stimmt.
4) Paris 2024: die Olympiade der gefälschten Tickets (Mitte 2024)
Hype, Knappheit und ein makelloses Branding sind ein hervorragendes Phishing-Wetter. Im Vorfeld von Paris 2024 haben Strafverfolgungsbehörden und Forscher hunderte von betrügerischen Websites aufgespürt, die Tickets, Bewirtung und "bevorzugten Zugang" anpreisen In einem Fall zählte die französische Gendarmerie 338 verdächtige Domains. Die Masche war einfach: SEO-Vergiftung, geklonte Logos und eine Dringlichkeit, die selbst versierte Käufer dazu bringt, ihre Regeln zu vergessen (Proofpoint; Verbraucherwarnungen über CBS News; offizielle Hinweise auf Olympics.com).
Wenn dein Personal reist oder Zugang zu Veranstaltungen kauft, solltest du die Sicherheitsanweisungen vorwegnehmen: Tippen, nicht klicken, und nur auf offizielle URLs. Achte im Hintergrund auf Typosquats und sperre brandneue Domains in Hochrisikokategorien für eine Abkühlungsphase. Ein bisschen Reibung ist besser als teure FOMO.
5) Snowflake-Linked Breaches: Ein Passwort für alle (Frühjahr-Sommer 2024)
Ticketmaster, Santander und andere meldeten Daten, auf die über Kunden-Snowflake-Umgebungen zugegriffen wurde, mit einem bekannten Bösewicht: gestohlene Anmeldedaten und fehlende MFA. Snowflake selbst gab an, dass die Plattform nicht angegriffen wurde, sondern dass die Angreifer mit echten Schlüsseln in die Kundeninstanzen eingedrungen sind und dort Daten abfragen konnten (Dark Reading; The Verge; Google Threat Intelligence; Push Security).
Wenn sich deine Daten in SaaS befinden, behandle die Identität wie deine neue Netzwerkgrenze. Setze SSO/SAML + MFA ein, füge IP-Zulassungslisten/VPN hinzu und achte auf ungewöhnliches Anfragevolumen oder plötzliche Rollenwechsel. Schlüssel und Token sollten so gewechselt werden, wie du die Batterien in einem Rauchmelder wechselst: regelmäßig, bevor es brennt.
6) Der WhatsApp-Pivot von Star Blizzard: Dein QR-Code ist ein Session-Token (Ende 2024-Jan 2025)
Das mit dem FSB verbundene Unternehmen Star Blizzard hat damit begonnen, Diplomaten und Politiker dazu zu bringen, WhatsApp QR-Codes zu scannen und so eine einfache Übergabe in eine Kontoübernahme zu verwandeln. Auf diese Weise wurden E-Mail-Kontrollen geschickt umgangen und die Konversation auf eine kompromittierte App verlagert, in der das Vertrauen groß und die Kontrolle gering ist (Microsoft; BleepingComputer; The Guardian).
Das Umdenken ist entscheidend: QR-Codes sind oft eine Authentifizierung. Bringe deinen Mitarbeitern bei, Scans wie Passwörter zu behandeln, schränke die Verlinkung auf nicht verwalteten Geräten über MDM ein und verlange MFA mit Nummernabgleich, wo verfügbar. Achte außerdem auf neue verknüpfte Geräte und verdächtige Ortswechsel - beides sind erste Anzeichen.
7) Quishing im großen Stil: Microsoft Sway als Köderfabrik (Aug 2024)
Die Angreifer nutzten Microsoft Sway, um raffinierte QR-Code-Phishing-Seiten zu hosten, die dank Halo-Effekten von Erstanbietern an den Filtern vorbeigingen. Das QR-Bild verbarg das wahre Ziel, und Scanner, die nicht für die Dekodierung von Bildern ausgelegt waren, sahen nur eine schöne, saubere Datei, die von einer vertrauenswürdigen Marke gehostet wurde (BleepingComputer; ursprüngliche Forschung von Netskope).
Die Verteidiger können in gleicher Weise antworten: Füge QR-Decodierung zur E-Mail-/Web-Sicherheit hinzu, überprüfe neue Sway/Formulare/Seiten-Links und sperre die Identität mit passwortloser MFA, bedingtem Zugang und kontinuierlicher Zugriffsbewertung. Bringe den Menschen auf dem Handy bei, wie sie URLs in der Vorschau anzeigen können, bevor sie sie öffnen - eine winzige Fähigkeit, die sich sehr auszahlt.
8) Trezor: Wenn dein Support Desk zum Social Engineer wird (Jan 2024 & Jun 2025)
Im Januar 2024 enthüllte ein Supportportal eines Drittanbieters, das mit Trezor verbunden ist, die Kontaktdaten von ~66.000 Nutzern - Treibstoff für nachfolgendes Phishing. Im Juni 2025 gingen die Angreifer noch einen Schritt weiter und missbrauchten das Support-Formular von Trezor, um überzeugende Auto-Antworten zu versenden, die so offiziell aussahen, dass selbst Veteranen blinzelten (BleepingComputer; BleepingComputer).
Dein Support Stack ist ein Teil deiner Sicherheitszone. Behandle ihn entsprechend: Begrenze die Anzahl der automatischen Antworten, erzwinge einen strikten DKIM/DMARC-Abgleich, überprüfe Antwortvorlagen auf riskante Formulierungen (vor allem in Bezug auf "Wiederherstellung" und Verschlüsselung) und veröffentliche klare Sicherheitsanweisungen, damit deine Kunden wissen, worum du sie niemals bitten wirst.
9) "Intern" ohne Kompromisse: M365 Direct Send wird frech (Jun-Aug 2025)
Kampagnen, die Microsoft 365 Direct Send missbrauchen, ermöglichen es, interne Benutzer vorzutäuschen, ohne tatsächlich ein Konto zu übernehmen. Dieses kleine Detail ist wichtig, denn "von IT@IhrerFirma" hat immer noch psychologisches Gewicht - selbst wenn die Authentifizierungsgeschichte schwammig ist (Varonis; Zusammenfassungen über Dark Reading und Arctic Wolf).
Verschärfe deine Verbindungsregeln, schränke den Umfang von Direct Send ein und bevorzuge authentifiziertes SMTP, wo du kannst. Bringt euren Leuten bei, dass "intern" kein Zauberwort ist. Wenn eine E-Mail versucht, Geld oder Zugangsdaten zu übertragen, sollte die Verifizierung in einem Portal oder über einen bekannten Backchannel erfolgen - und nicht über einen bequemen blauen Link.
10) KI-Site-Builder, die in der Phishing-Fabrik eingesetzt werden: In großem Maßstab liebenswert (2025)
Zum Schluss noch ein Handlungsstrang aus dem Jahr 2025: Angreifer nutzen KI-Website-Builder - vor allem Lovable** - um zehntausende Phishing- und Malware-Seiten mit markengerechtem Design und fast sofortiger Umsetzung zu erstellen. Frische Domains plus hübsche Vorlagen ergeben einen stetigen Tropf an Klicks, bevor die Reputationssysteme aufholen (Proofpoint; Berichterstattung über BleepingComputer und TechRadar).
Erweitere deine URL-Intelligenz um die Zeit seit der Registrierung und die Reputation des Anbieters/Hostings und setze nicht reflexartig neue Domains auf die Whitelist, nur weil sie professionell aussehen. Kriminelle können jetzt auch professionell aussehen - das ist ihr Ding.
Das Muster, das du nicht ignorieren kannst
In allen zehn Berichten tauchen immer wieder die gleichen Themen auf. Referenzdaten und Session-Token sind Gold wert. MFA-Lücken sind fatal. "Intern" ist ein Gefühl, keine Kontrolle. Und KI ist sowohl Beschleuniger als auch Feuerlöscher - sie beschleunigt Angreifer und überwältigt Verteidiger, aber sie gibt uns auch bessere Trainings- und Erkennungsmöglichkeiten, wenn wir sie nutzen wollen.
Wenn du in diesem Quartal nur ein paar Dinge tust, dann nimm dir diese vor: Führe phishing-resistente MFA ein und stelle die alte Authentifizierung ein; füge QR-Decodierung zu deinem E-Mail-/Web-Stack hinzu; führe realistische BEC- und Deepfake-Übungen für die Finanzabteilung und Führungskräfte durch (mit obligatorischen Rückrufen); und integriere Support-, Marketing- und Event-Workflows in dein Bedrohungsmodell mit Ratenbegrenzungen, DMARC-Abgleich und präventiven Warnungen.
Und wenn du sicher üben willst, ist das unser Ding. AutoPhish kann die Trends nachstellen, über die du gerade gelesen hast - Querlesen, KI-ähnliche Köder, "internes" Spoofing und akribisches BEC - und dann mit mundgerechtem Training nacharbeiten, das tatsächlich hängen bleibt. Denn wenn du den Trick einmal in einer sicheren Umgebung gesehen hast, kannst du ihn stoppen, wenn es wirklich zählt.