Zurück zum Blog

Wie Phishing im Jahr 2025 funktioniert: Die moderne Kill Chain (E-Mail, QR, Deepfakes und SaaS)

Von Autophish Team|Veröffentlicht am 9/6/2025
Cover image for Wie Phishing im Jahr 2025 funktioniert: Die moderne Kill Chain (E-Mail, QR, Deepfakes und SaaS)

TL;DR

  • KödernFangenSession/Token-DiebstahlSeitwärtsbewegungAuswirkung
  • Identitäts- und Sitzungsschutz ist alles - und der schnellste Weg zu dauerhafter Widerstandsfähigkeit ist häufiges, realistisches Üben, das den Instinkt schult.

**Einführung

Wenn du dich fragst, wie Phishing im Jahr 2025 funktioniert, hier ist die ehrliche Antwort: Angreifer machen selten bei Passwörtern halt - sie wollen deine Session. Und wenn sie dich nicht per E-Mail erreichen können, versuchen sie es mit einem QR-Code auf deinem Handy, einem glatten SaaS-Zustimmungsbildschirm oder sogar einem gefälschten Videoanruf mit deinem "CFO" Spaß (für sie).

Nachfolgend siehst du die moderne Kill Chain, der die meisten Vorfälle folgen - und wo AutoPhish es viel schwieriger macht, dich zu täuschen.

1) Der Köder: E-Mail, QR und erschreckend überzeugende "Menschen"

Phishing kommt immer noch per E-Mail, aber URLs sind der Star. Die neueste Untersuchung von Proofpoint zum Human Factor 2025 zeigt, dass URLs in böswilligen E-Mails etwa viermal häufiger verwendet werden als Anhänge - und 4,2 Millionen QR-Code (Quishing)-Bedrohungen wurden allein in der ersten Jahreshälfte 2025 gemeldet (Blog-Übersicht, Vol. 2 Berichtsseite).

Und dann ist da noch die menschliche Ebene: Gefälschte Videos/Stimme. Der Fall Arup, bei dem nach einem gefälschten Gruppenanruf 25 Millionen Dollar verloren gingen, zeigt, dass Social Engineering heute wie eine ganz normale Einladung zu einem Treffen aussieht (Guardian, World Economic Forum). Maßnahmen, die eine zweite Überprüfung erfordern, schlagen "Vibes" jedes Mal.

Willst du einen Leitfaden, um die Tricks in einer einzigen Nachricht zu erkennen? Beginne mit The Anatomy of a Modern Phishing Email auf unserem Blog.

2) Erfassen: Anmeldedaten oder Zustimmung - beides öffnet die Tür

Angreifer fragen nicht immer nach deinem Passwort. Zunehmend präsentieren sie einen legitim aussehenden SaaS/OAuth-Zustimmungsbildschirm ("Darf diese App deine Mails lesen?"). Wenn du auf Zulassen klickst, erhalten sie dauerhaften API-Zugang - kein Passwort erforderlich. Microsofts Anleitung zu unzulässigen Einwilligungen erklärt die Erkennung und Abhilfe (Microsoft Learn Microsoft Learn 2; siehe auch das app-consent incident response playbook).

Herkömmliche Credential Harvester funktionieren immer noch. Sie werden oft hinter seriösen Diensten gehostet (Formulare/Speicher/View-Only-Dateien), um Filter zu umgehen. Die Serie Human Factor von Proofpoint und die Bedrohungsmeldungen von Microsoft verdeutlichen den Wandel hin zu URL-zentrierter Bereitstellung (Proofpoint, Microsoft).

3) Session/Token-Diebstahl: Umgehung von MFA mit einem kleinen Man-in-the-Middle

Hier ist der Twist des Jahres 2025: Adversary-in-the-Middle (AiTM) Toolkits setzen sich zwischen dich und Microsoft/Google, vermitteln die Anmeldung und stehlen dein Sitzungs-Cookie, nachdem du MFA erfolgreich bestanden hast. Der Angreifer spielt dann dieses Cookie ab und kommt direkt rein - kein Passwort, kein zweiter Faktor. Siehe die Analysen und Playbooks von Microsoft sowie die Berichte von Proofpoint und Talos (MSFT Security Blog; siehe auch:

4) Seitliche Bewegung: Einmal drinnen, machen es sich die Angreifer gemütlich

Mit Mailbox- oder Token-Zugang legen Angreifer Inbox-Regeln fest, registrieren bösartige OAuth-Apps und schwenken um, um BEC durchzuführen - manchmal wochenlang, bevor es jemand bemerkt (siehe Microsofts Anleitung zu Warnungen vor Session-Cookie-Diebstahl: learn.microsoft.com). Mehr über die reale Welt (und schnelle Schutzmaßnahmen) findest du in [10 wilde Phishing- (und Phish-verwandte) Geschichten aus den Jahren 2024-2025](https://autophish.io/blog/10-wild-phishing-and-phish-adjacent-stories-from-2024-2025-including-important-lessons-learned from-2024-2025-including-important-lessons-learned).

5) Was hält das eigentlich auf? (Praktische Kontrollen)

  • Phishing-resistente MFA (Passkeys/FIDO2) und Begrenzung schwacher Fallbacks (SMS/Sprachcodes). CISA- und NIST-konforme Richtlinien: CISA-Erfolgsgeschichte (USDA), CISA HISG on passkeys, und das Phishing-Resistant Authenticator Playbook (IDManagement.gov). Eine leicht verständliche Erklärung findest du in WIREDs Überblick über how passkeys work.
  • Zustimmungssteuerung: Blockiere riskante OAuth-App-Zustimmungen, verlange die Zustimmung des Administrators und kläre die Nutzer/innen darüber auf, was eine App verlangt (Microsoft Learn.
  • Anti-AiTM-Kontrollen: bedingter Zugriff mit Token-Bindung, wo möglich, aufmerksamer Widerruf von Sitzungen und Warnungen bei ungewöhnlichen Posteingangsregeln (MSFT Token Theft Playbookicrosoft.com/en-us/security/operations/token-theft-playbook)).
  • Benutzerverhalten: Behandle QR-Codes wie Links; scanne nicht aus unaufgeforderten Nachrichten. Die Daten von Proofpoint aus dem Jahr 2025 zeigen, dass Quishing mittlerweile zum Mainstream gehört (Proofpoint Blog).

Wo AutoPhish einen messbaren Unterschied macht

AutoPhish wurde genau für diese Fehlerpunkte entwickelt (und ist von vornherein EU/GDPR-freundlich):

  • Rollenbewusster Realismus Wir generieren immer neue Köder für jede Rolle und Branche (Finanzen, HR, Führungskräfte), die E-Mails, QR-Kampagnen und SaaS-Zustimmungsaufforderungen umfassen. So entwickeln wir ein Gespür für die Angriffe, denen die Menschen tatsächlich ausgesetzt sind. Wie wir das machen, erfährst du in Phishing Simulations-as-a-Service Explained.
  • **Wir hören nicht bei einem Klick auf, sondern zeigen, wie ein Zustimmungsbildschirm aussieht, warum er riskant ist und wie man darauf reagiert (siehe auch unseren Anatomie einer modernen Phishing-E-Mail Leitfaden).
  • Just-in-time-Schulung + klare Berichte, die du zu Audits mitnehmen kannst (NIS2/ISO-freundlich). Wenn du Formate abwägst, vergleiche Automatisierte vs. Manuelle Kampagnen.
  • Mitarbeiterfreundlich & GDPR-kompatibel Optionen für Anonymisierung/Pseudonymisierung, kurze Aufbewahrungsfristen und betriebsratskompatible Leitplanken - denn Kultur und Compliance sind wichtig. Details: Privacy-Friendly Phishing Training.

Bist du neugierig auf die Kompromisse zwischen Open-Source und SaaS? Wir haben sie in Open-Source-Tools vs. Managed Solutions miteinander verglichen.

FAQ: Wie Phishing funktioniert

**Kann ein Phishing-Link Malware installieren? Ja. Ein Link kann einen drive-by-Download auslösen oder zu einer Seite führen, die Malware verbreitet - oder er kann einfach deine Anmeldedaten stehlen. Sorge dafür, dass deine Software gepatcht ist, verwende einen seriösen Endpunktschutz und vermeide es, Links/Anhänge von Unbekannten zu öffnen (Emsisoft explainer, Kaspersky).

Kann man Phishing auch per Telefon betreiben? Auf jeden Fall. Vishing (per Sprache) und Smishing (per SMS) sind weit verbreitet und werden oft durch KI-Stimmenklone ergänzt. Vergewissere dich über einen bekannten Kanal, bevor du handelst (Definitionen des FBI und der FCC).

Was ist "Quishing"? QR-Code-Phishing: Eine Nachricht/ein Plakat enthält einen QR-Code, der dich auf eine bösartige Website schickt - oft auf deinem Telefon, weit weg vom Schutz des Unternehmens. Behandle QR-Codes wie Links; scanne keine unaufgeforderten Nachrichten (siehe Proofpoints Daten zu QR-Bedrohungen aus dem Jahr 2025: Überblick).

**Hält MFA alle Phishing-Attacken auf? MFA ist wichtig, aber AiTM kann den Sitzungscookie nach MFA stehlen. Bevorzuge phishing-resistente MFA (Passkeys/FIDO2) und deaktiviere schwache Fallbacks (SMS/Stimme), wo du kannst ([MSFT on AiTM](https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/; siehe auch https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/; Cisco Talos IR: https://blog.talosintelligence.com/ir-trends-q2-2025/)); CISA playbooks.

Was ist OAuth Consent Phishing in einem Satz? Eine bösartige App bittet um die Erlaubnis, auf deine Daten zuzugreifen; wenn du auf Zulassen klickst, erhält sie den API-Zugang bis zum Widerruf - auch ohne dein Passwort (Microsoft Learn).

Willst du, dass dies deinem ganzen Team erklärt wird - mit praktischer Übung? Starte mit AutoPhish in wenigen Minuten ein monatliches, rollenbasiertes Programm. Mach deine Mitarbeiter zur Firewall.

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen