Callback Scams überholen klassische Phishing-Vektoren, Low-Tech-Methoden unterlaufen Sicherheitsmaßnahmen, XRed Malware dominiert. [...]
Cyberkriminelle nehmen verstärkt die Anwender ins Visier und umgehen mit Low-Tech-Methoden selbst ausgefeilte Sicherheitsmechanismen. Dies belegt der aktuelle Email Threat Trends Report Q1 2025 von VIPRE. Die Analyse beruht auf 1,45 Milliarden untersuchten E-Mails weltweit. Im ersten Quartal 2025 wurden 92 Prozent aller E-Mails als Spam eingestuft, über zwei Drittel (67 Prozent) von ihnen enthielten eindeutig bösartige Inhalte.
Spam-Mails sind nicht nur lästig und kosten Zeit, sondern sind mittlerweile für Unternehmen zu einer ernsthaften Gefahr geworden. Bösartige E-Mails setzten sich zu 35 Prozent aus Phishing, zu 20 Prozent aus Scams und zu 12 Prozent aus Malware zusammen. Kommerzieller Spam beläuft sich auf 30 Prozent. Spitzenreiter beim weltweiten Spam-Traffic sind mit einem Anteil von 57 Prozent die USA, wo auch drei Viertel der bösartigen E-Mails empfangen wurden. Großbritannien und Irland folgen mit weitem Abstand und jeweils acht Prozent.
Fertigungssektor im Fokus
36 Prozent aller registrierten Angriffe richten sich gegen den Fertigungssektor, der damit erneut die am stärksten betroffene Branche ist, gefolgt von Einzelhandel und Finanzdienstleistern mit jeweils 15 Prozent. Der Einsatz von Industrial Internet of Things (IIoT) und Cloud-Technologien eröffnet innerhalb der Industrie neue Angriffsflächen, die oft nicht ausreichend abgesichert sind.
Callback Scams auf dem Vormarsch
Ein augenfälliger Trend sind Callback Scams, die andere Arten von Phishing inzwischen überholt haben. Im ersten Quartal machten sie 16 Prozent aller Phishing-Versuche aus. Callback Scams sind eine spezielle Form von Social-Engineering-Angriffen. Die Opfer erhalten eine E-Mail oder SMS, in der sie beispielsweise vor einer angeblich nicht autorisierten Zahlung oder einem Problem mit einem Konto gewarnt werden. Um das zu klären, soll der Anwender eine Telefonnummer anrufen. In dem nun folgenden Gespräch versuchen Cyberkriminelle sensible Daten wie Passwörter, Bankdaten oder Zugangsdaten abzugreifen oder das Opfer dazu zu bringen, Malware auf sein Gerät zu laden.
Was diese Art der Angriffe so problematisch macht: Die Nachricht enthält keinen direkten schädlichen Link oder einen Anhang und ist so in der Lage, viele E-Mail-Sicherheitsfilter zu umgehen. Der eigentliche Angriff erfolgt via Telefon. Die wachsende Zahl von Callback Scams zeigt, dass Angreifer zunehmend wieder auf Interaktion und menschliche Fehlentscheidungen setzen, um Schutzmechanismen erfolgreich zu umgehen.
Schädliche Links machten im zurückliegenden Jahr noch 75 Prozent der Phishing-Angriffe aus, sind aber inzwischen auf 32 Prozent zurückgefallen. Innerhalb der Link-Angriffe entfallen 47 Prozent auf URL-Weiterleitungen, 20 Prozent auf File Hosting/Sharing-Plattformen und 16 Prozent auf kompromittierte Websites. Ganz offensichtlich gehen Cyberkriminelle also dazu über legale Infrastrukturen für illegitime Zwecke zu nutzen. In der Hälfte der Phishing-Fälle nutzen die Angreifer bösartige Anhänge. Die bei Cyberkriminellen lange Zeit beliebten QR-Codes, spielen mit lediglich zwei Prozent nur noch eine untergeordnete Rolle.
Angreifer missbrauchen SVG-Dateien
PDF-Dateien bleiben mit einem Anteil von 36 Prozent die häufigste Form bösartiger Anhänge. Sie haben allerdings Konkurrenz bekommen. Mit stolzen 34 Prozent liegen SVG (Scalable Vector Graphics) -Dateien auf dem zweiten Platz. SVG-Formate werden kaum überprüft, und Angreifer nutzen sie, um JavaScript-Code einzubetten und die Nutzer so auf gefälschte Websites umzuleiten. Solche Angriffe lassen sich vor allem in den USA und Europa beobachten.
SVG gilt als Web-freundliches Vektorformat. Anders als pixelbasierte Rastergrafiken wie JPEG oder PNG handelt es sich bei Vektorgrafiken um mathematisch definierte Bilder, die sich aus Punkten und Linien in einem Raster zusammensetzen. Diese Art von Dateien lässt sich skalieren, ohne dass die Qualität leidet. Dadurch sind sie ideal für Logos und komplexe Online-Grafiken. SVG-Dateien sind in XML geschrieben. Darin werden Textinformationen als tatsächlicher Text gespeichert, und nicht als Formen.
Was Phishing-Angriffe anbelangt liegt die Gefahr darin, dass SVG-Dateien aktiven Code enthalten können. Angreifer missbrauchen das Format, um im XML-Text JavaScript-Befehle oder schädliche Links einzubetten. Beim Öffnen der Datei im Browser wird das Skript ausgeführt und der Nutzer auf manipulierte Websites weitergeleitet. Dort lassen sich Login-Daten oder andere sensible Informationen abfangen. Etliche Sicherheitslösungen klassifizieren SVGs als harmlose Bilder und überprüfen den eingebetteten Code nur unzureichend.
HTML-Anhänge rückläufig, Business Email Compromise weiterhin präsent
Business Email Compromise (BEC) machte im ersten Quartal über ein Drittel (37 Prozent) aller Betrugsversuche aus. Mitte 2024 lag der Anteil bei etwa 50 Prozent, im vierten Quartal 2024 sogar bei 70 Prozent. In drei Viertel (73 Prozent) der aktuellen BEC-Fälle haben sich die Angreifer als CEOs oder andere hochrangige Führungskräfte ausgegeben. Microsoft bleibt die meistgefälschte Marke, gefolgt von Google auf Platz zwei und PayPal auf drei.
Noch vor zwei Jahren kamen HTML-Dateien in 88 Prozent aller Malspam-Kampagnen zum Einsatz. Heute machen sie lediglich 12 Prozent aus. Bösartige Anhänge sind zwar leicht rückläufig, bleiben aber dennoch die beliebteste Methode beim Malspam. 2023 machten sie noch 97 Prozent aller Malspam-Angriffe aus, 2024 brachten sie es auf 78 Prozent und aktuell auf rund 73 Prozent. Angreifer haben sich offensichtlich schnell an veränderte Sicherheitsstandards und die gestiegene Wachsamkeit der Nutzer angepasst und zudem ihre Angriffstechniken diversifiziert.
XRed Malware dominiert
Im ersten Quartal 2025 dominiert die XRed Malware-Familie. Sie tritt dreimal häufiger auf als der zweitplatzierte Lumma-Trojaner. XRed fungiert als Backdoor und wird überwiegend als Malware-as-a-Service über Marktplätze im Darknet vertrieben. Weiterhin beobachteten die Sicherheitsforscher StealC, AgentTesla und Redline.
Fazit: Die Schwachstelle Mensch ist und bleibt ein Risiko
Der aktuelle Report von VIPRE zeigt, dass klassische Abwehrmechanismen allein nicht mehr ausreichen. Wenn der Faktor Mensch in den Fokus rückt, dann sollten praxisnahe Security Awareness Trainings zukünftig eine noch wichtigere Rolle spielen. Gerade was den Schutz vor ausgefeilten Social Engineering-Angriffen anbelangt. Parallel dazu gilt es, die gefährdeten Infrastrukturen wie Rechenzentren in den Hochrisikoregionen besser als bislang zu härten.
*Der Autor Usman Choudhary ist Chief Product & Technology Officer der VIPRE Security Group.
Be the first to comment