Phishing-Angriff täuscht Spam-Filter vor: Neue Bedrohungswelle rollt

Eine hochprofessionelle Phishing-Kampagne täuscht Nutzer mit gefälschten Spam-Filter-Benachrichtigungen. Die Masche: Betrüger geben sich als interne Sicherheitssysteme aus und locken ihre Opfer auf täuschend echte Login-Seiten. Was diese Angriffswelle so gefährlich macht? Sie verwandelt vertraute Sicherheitstools in Waffen gegen die Nutzer selbst.

Erstmals identifiziert wurde die Kampagne Anfang dieser Woche von Cybersecurity-Forschern. Ihre Besonderheit: Die Angreifer nutzen einen extrem hohen Personalisierungsgrad und ausgeklügelte Techniken, um Mitarbeiter zur Preisgabe ihrer E-Mail-Zugangsdaten zu bewegen. Ausgerechnet ein vermeintlich schützendes System wird so zum Einfallstor für Kriminelle.

Der Angriff startet mit einer professionell gestalteten E-Mail, die vorgibt, eine automatische Benachrichtigung des firmeneigenen Spam-Filters oder „Secure Message”-Systems zu sein. Die betrügerische Nachricht behauptet, mehrere ausstehende Nachrichten seien aufgrund eines kürzlichen Sicherheitsupdates unter Quarantäne gestellt und nicht zugestellt worden. Um Authentizität vorzutäuschen, listet die E-Mail häufig allgemeine Betreffzeilen und Zeitstempel der angeblich blockierten Nachrichten auf. Ein prominenter Button „In Posteingang verschieben” fordert zum Handeln auf.

Viele Android-Nutzer übersehen diese 5 Grundschutzmaßnahmen – und werden so zu leichten Zielen für Phishing- und Datendiebstahl-Angriffe. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie automatische App-Prüfungen, sichere Einstellungen, Passwort-Manager, MFA-Empfehlungen und verdächtige Weiterleitungen erkennen und schließen. Ideal, wenn Sie WhatsApp, Banking oder E‑Mail mobil nutzen und sich vor Echtzeit-Exfiltration und bösartigen JavaScript-Tricks schützen wollen. Gratis-Sicherheitspaket für Android anfordern

Trickreiche Umleitung über vertrauenswürdige Domains

Was diesen Phishing-Angriff von herkömmlichen Betrugsversuchen unterscheidet: seine technische Raffinesse und geschickte Social-Engineering-Strategie. Klickt ein Nutzer auf den täuschenden Link, landet er nicht direkt auf einer betrügerischen Seite. Stattdessen nutzen die Angreifer eine Kette von Weiterleitungen – teilweise über legitime, renommierte Domains wie cbssports.com.

Warum dieser Umweg? Standard-Sicherheitsfilter erkennen direkte Links zu bekannten Phishing-Seiten meist problemlos. Durch das Ausnutzen vertrauenswürdiger Domains umgehen die Betrüger diese Barriere und senken gleichzeitig die Skepsis aufmerksamer Nutzer. Eine clevere Taktik, die selbst erfahrene Anwender täuschen kann.

Das Endziel: ein hochrealistisches Phishing-Portal zum Abgreifen von Zugangsdaten. Forscher von Palo Alto Networks’ Unit 42 und Malwarebytes berichten, dass diese Zielseiten häufig individuell angepasst werden – etwa durch Vorbefüllung der E-Mail-Domain oder unternehmensspezifisches Branding. Diese Personalisierung erfolgt über Parameter im Phishing-Link und macht die gefälschte Login-Seite nahezu vom Original ununterscheidbar.

Datendiebstahl in Echtzeit – während der Eingabe

Anders als klassische Phishing-Attacken, die lediglich übermittelte Formulardaten sammeln, nutzt diese neue Kampagne fortschrittlichere Methoden zur Datenextraktion. Sicherheitsforscher von Malwarebytes entdeckten, dass neuere Varianten stark verschleierten Code und WebSocket-Verbindungen einsetzen.

Was bedeutet das konkret? Ein WebSocket etabliert einen dauerhaften, offenen Kommunikationskanal zwischen dem Browser des Opfers und dem Server der Angreifer. So können Zugangsdaten bereits während der Eingabe – buchstäblich in Echtzeit – gestohlen werden. Diese Echtzeit-Fähigkeit ermöglicht es Kriminellen, die erbeuteten Credentials sofort zu testen und das Opfer bei Bedarf direkt um weitere Informationen zu bitten, etwa Zwei-Faktor-Authentifizierungs-Codes.

Herkömmliche Netzwerk-Monitoring-Tools haben es schwer, diese Methode zu erkennen und abzufangen. Einige Versionen des Angriffs nutzen zusätzlich eine JavaScript-Datei, die gestohlene Daten über einen API-Endpunkt an den Telegram-Bot der Angreifer sendet – ein weiterer versteckter Exfiltrationskanal. Die rasante Weiterentwicklung des Kampagnen-Codes deutet darauf hin, dass die Angreifer aktiv an der Verfeinerung ihrer Methoden arbeiten.

Wenn Sicherheitsmaßnahmen zur Gefahr werden

Diese Kampagne verdeutlicht einen besorgniserregenden Trend: Cyberkriminelle missbrauchen genau jene Sicherheitsmaßnahmen, die Nutzer eigentlich schützen sollen. Indem sie sich als vertrauenswürdige Funktion wie einen Spam-Filter ausgeben, nutzen Angreifer die Gewissenhaftigkeit der Anwender aus. Eine routinemäßige administrative Aufgabe wird so zur Sicherheitslücke.

Die Verwendung legitimer Domains für Weiterleitungen und das hochwertige Design der Phishing-Seiten machen diesen Angriff besonders gefährlich – selbst für Nutzer mit Security-Awareness-Training. Die zunehmende Leichtigkeit, mit der Angreifer personalisierte und überzeugende Phishing-Kampagnen erstellen können, möglicherweise unterstützt durch generative KI, bereitet Unternehmen wachsende Sorgen.

Der menschliche Faktor bleibt bei der überwiegenden Mehrheit von Sicherheitsverletzungen das primäre Ziel. Attacken wie diese sind speziell darauf ausgelegt, Vertrauen und Vertrautheit auszunutzen. Sobald Angreifer Kontrolle über ein E-Mail-Konto erlangen, können sie auf sensible Daten zugreifen, interne Phishing-Angriffe starten, andere Passwörter zurücksetzen und das Opfer für weiteren Betrug imitieren.

Verteidigungsstrategien: Mehrschichtiger Schutz gefragt

Cybersecurity-Experten erwarten, dass Bedrohungsakteure diese Taktiken weiter verfeinern werden – mit noch ausgefeilterem Social Engineering und Verschleierungstechniken. Während Organisationen ihre technischen Abwehrmaßnahmen verstärken, konzentrieren sich Angreifer zunehmend auf die menschliche Ebene. Nutzerbildung und Wachsamkeit werden dadurch wichtiger denn je.

Um sich gegen diese Bedrohung zu schützen, empfehlen Sicherheitsexperten einen mehrschichtigen Ansatz. Unternehmen sollten robuste E-Mail-Sicherheitslösungen implementieren, die fortgeschrittene Bedrohungen mit raffinierten Verschleierungstechniken erkennen können. Ebenso unverzichtbar: kontinuierliche Mitarbeiterschulungen, die gezielt auf diese spezifischen Taktiken aufmerksam machen.

Nutzer sollten lernen, mit dem Cursor über Links zu fahren, um die tatsächliche Ziel-URL vor dem Klick zu überprüfen. Skepsis ist angebracht bei unerwarteten Sicherheitsbenachrichtigungen, die nach Zugangsdaten fragen. Multi-Faktor-Authentifizierung (MFA) bietet eine entscheidende Verteidigungsebene, ebenso wie Passwort-Manager – diese füllen Credentials auf gefälschten Websites nicht automatisch aus.

Besteht der Verdacht, Zugangsdaten auf einer verdächtigen Seite eingegeben zu haben? Dann gilt: Sofort das Passwort ändern und den Vorfall der IT-Abteilung melden. Denn Schnelligkeit kann im Ernstfall den entscheidenden Unterschied machen.

PS: Sie haben gerade gelesen, wie Angreifer sogar Telegram-Bots und verschleierte WebSockets zur Datenentnahme nutzen können. Dieser kostenlose Ratgeber zeigt kompakt, welche 5 Schutzmaßnahmen Ihr Android spürbar sicherer machen – von richtigen App-Rechten über Updates bis zu Passwort-Managern und MFA. Praktische Checklisten helfen beim Umsetzen, damit Login-Daten nicht unterwegs abgegriffen werden. Jetzt das kostenlose Android-Sicherheitspaket sichern