Zwischen Dezember 2024 und Januar 2025 haben Forscher des KnowBe4 Threat Labs einen 98-prozentigen Anstieg von Phishing-Kampagnen festgestellt, die über russische Top-Level-Domains (TLDs) gehostet wurden. Das Besondere daran: betrieben werden diese Domains von so genannten ‚bullet-proof‘ Domain-Hosts. Sie sind dafür bekannt, gemeldete bösartige Webseiten, die für Phishing-Angriffe missbraucht werden, weiterlaufen zu lassen und Missbrauchsmeldungen zu ignorieren. Für 2025 rechnen die Forscher mit einem weiteren Anstieg der Nutzung solcher Domains für Phishing-Angriffe.

Hauptziel der Angreifer scheint – wie so häufig – das Sammeln von Microsoft-Credentials zu sein. Per E-Mail werden Links und QR-Codes versendet, um Opfer auf eine Fake-Microsoft-Landingpage zu locken, auf der sie dann ihre Anmeldedaten eingeben sollen. Um einer raschen Entdeckung zu entgehen, versenden die Angreifer die Links und QR-Codes über E-Mail-Anhänge. Umleitungslinks, oftmals eingebettet in mehrschichtige HTML-Anhänge, sowie polymorphe und dynamisch generierte URLs erschweren eine frühzeitige Aufspürung zusätzlich.

Doch selbst wenn es gelingt, einen Angriff zu erkennen, so ist ein rascher Takedown doch weitgehend ausgeschlossen, da die Fake-Webseiten und -Emails über ‚bullet-proof‘ Domains betrieben werden. Missbrauchsmeldungen werden hier von den Anbietern oft absichtlich ignoriert. Ihre Heimat haben sie in aller Regel in Staaten, in denen die Gesetze zur Cyberkriminalität nur schwach entwickelt oder einfach nicht durchgesetzt werden. Die Folge: Angreifer können von hier aus groß angelegte Angriffskampagnen initiieren und bei allenfalls minimalen Störungen – eine Abschaltung droht ja nur in den seltensten Fällen – zu einem erfolgreichen Abschluss bringen.

Rund 1.500 .ru-Domains konnten die Forscher im Rahmen ihrer knapp zweimonatigen Ermittlungen den Kampagnen zuordnen. 377 dieser Domains waren allein bei der ‚bullet-proof‘ Registrierungsstelle R01-RU angemeldet. Mehr als 13.000 bösartige E-Mails wurden von hier versandt. 2,2 Prozent der beobachteten E-Mails von .ru-Domänen waren Phishing-E-Mails. Das Erschreckende: viele der vom KnowBe4-Forscherteam identifizierten und analysierten Phishing-E-Mails hatten professionelle E-Mail-Sicherheitslösungen, wie die Exchange Online Protection, den Barracuda Email Security Gateway, Mimecast und Cisco Ironport, erfolgreich überwinden können.

Die neue Untersuchung des KnowBe4 Threat Labs zeigt: einfache Anti-Phishing-Tools und -Schulungen reichen längst nicht mehr aus, um Angriffe, die den Menschen als Risikofaktor ins Visier nehmen, rechtzeitig zu erkennen und erfolgreich abzuwehren. Unternehmen müssen mehr tun – und dies strukturierter, umfassender und kontinuierlicher als bisher. Sie werden die Human Risks, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, endlich umfassend in den Blick nehmen und zu managen beginnen müssen. Menschliche Risiken müssen kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, können selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren. Nur mit solchen und ähnliche Maßnahmen wird es gelingen, der wachsenden Phishing-Gefahr Herr zu werden.