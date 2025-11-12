Während Unternehmen traditionelle, technische Schutzmaßnahmen verstärken, finden Angreifer immer neue Wege, sie mit alltäglichen Methoden zu umgehen.
Der Bericht »Q3 Email Threat Landscape Report« identifiziert die wichtigsten E-Mail-Bedrohungstrends des dritten Quartals 2025 [1]. Die VIPRE Security Group hat dazu 1,8 Millionen E-Mails verarbeitet und analysiert. Ziel ist es, Firmen dabei zu unterstützen, ihre E-Mails besser zu schützen. Denn Angreifer setzen kreative, ausgeklügelte und gezielte Taktiken ein, um herkömmliche Sicherheitsmaßnahmen zu umgehen.
Werbeflut – die perfekte Tarnung für Cyberbedrohungen
Echte, aber unerwünschte Werbenachrichten (Spam) machen in diesem Quartal 60 % aus. Das ist ein Anstieg von 34 Prozent gegenüber dem Vorjahr. Der Anteil von Phishing-Nachrichten stieg auf 23 %, während die Zahl der Scam-E-Mails von 34 % auf lediglich 10 % gesunken ist. Diese Flut alltäglicher Werbe-Nachrichten sorgt dafür, dass selbst die vorsichtigsten Nutzer abstumpfen. Bösartig manipulierte E-Mails fallen in dieser Masse kaum noch auf. Wenn der Posteingang von echt wirkenden Nachrichten überquillt, achten die Nutzer weniger darauf, was genau sie anklicken.
Insgesamt wurde mehr als ein Drittel aller Spam-E-Mails entwickelt, um direkt Schaden anzurichten. Dazu gehören Phishing-Versuche, Scams und Malware.
Cold Outreach Marketing und List Bombing dominieren bei kommerziellem Spam
In der oben genannten kommerziellen Spam-Kategorie (60 %), entfallen 72 % der Fälle auf Cold Outreach Marketing. Weitere 16 % auf das sogenannte List Bombing. Bei dieser Taktik melden Angreifer ihre Opfer bei Hunderten oder Tausenden von Mailinglisten, Newslettern oder Werbeträgern gleichzeitig an. Dadurch fluten Unmengen unerwünschter Nachrichten das E-Mail-Postfach. Das frustriert nicht nur die Benutzer, sondern ist der perfekte Deckmantel, um echte Bedrohungen zu verbergen.
Neu registrierte Domains werden immer häufiger bei Phishing-Angriffen verwendet, aber Open Redirects bevorzugt
Angreifer gehen verstärkt dazu über, eine große Anzahl von Domains als temporäre Phishing-Sites zu registrieren. Wenn sie entdeckt werden, deaktivieren die Angreifer sie sofort, um selbst nicht erkannt zu werden oder auf einer Black List zu landen. Dieser Trend zeigt, dass herkömmliches Black Listing von Domains und eine signaturbasierte Erkennung allein nicht ausreichen. Neu registrierte Domains sind bei Phishing-Angriffen eine erfolgreiche Methode. Trotzdem nutzen die Angreifer in 80 % aller Fälle weiterhin kompromittierte URLs oder Open Redirect (offene Weiterleitung) in ihren Phishing-Kampagnen. Lediglich 20 % entfallen auf neu registrierte Domains. Dennoch ist das ein Trend, den man im Auge behalten sollte.
Angriffe auf Zugangsdaten nehmen zumeist Outlook- und Google-Postfächer ins Visier
Die Angreifer konzentrieren sich auf die beiden weltweit größten E-Mail-Plattformen für Unternehmen und Privatpersonen: Outlook und Google. Auf sie entfallen 90 % der aktuell beobachteten Phishing-Angriffe. Dieser strategische Fokus macht die Angriffe sehr effizient. Der Rechercheaufwand ist geringer als bei individuellen Kampagnen und es sind weniger Anpassungen nötig.
Fetch API entwickelt sich zur bevorzugten Methode für Datendiebstahl
Ein Drittel der Phishing-Angriffe nutzt die Fetch API, eine moderne JavaScript-Technik für Netzwerkanfragen, um gestohlene Zugangsdaten zu versenden. Im Vergleich dazu verwenden weniger als 10 % der Angriffe POST-Anfragen – die herkömmliche HTTP-Methode zur Übermittlung von Daten an einen Server. Dieser Trend zeigt, dass Angreifer dazu übergehen, fortschrittlichere Techniken einzusetzen. Die neuen Methoden umgehen oft herkömmliche Sicherheitssysteme, da diese meist nur die bekannten Datenübertragungen mit POST überwachen.
Apple-TestFlight-Exploits verbreiten bösartige iOS-Apps
Cyberkriminelle missbrauchen die TestFlight-Plattform von Apple, um malwareverseuchte iOS-Anwendungen an ihre Opfer zu verteilen. Normalerweise nutzen Entwickler das Beta Test Framework TestFlight, um Apps vor der Veröffentlichung im AppStore zu testen. Diese Funktion nutzen die Angreifer aus und verbreiten ihre schädlichen Programme über Einladungen oder öffentliche Links. Auf diese Weise umgehen sie die üblichen AppStore-Sicherheitsprüfungen von Apple, und die Schadsoftware landet direkt auf den Geräten der Benutzer.
Geografische Verbreitung hilft Malware dabei, Blocklisten zu umgehen
Über 60 % der Spam-E-Mails stammen aus den Vereinigten Staaten, 9 % aus Hongkong (mit einem Anstieg von 5 % im ersten Quartal 2025 und 8 % im zweiten Quartal 2025), 6 % kommen aus Großbritannien und insgesamt 25 % aus anderen Industrieländern. Diese Streuung beim Versenden von Spam erschwert ein IP-basiertes geografisches Blockieren. Letzteres ist wenig ratsam, denn man kann nicht einfach alle E-Mails aus einem bestimmten Land sperren. Diese Tatsache nutzen die Angreifer aus.
Quellen der Spam-Versender offenbaren die kreativen Techniken der Angreifer
Angreifer nutzen vielfältige Methoden, um nicht entdeckt zu werden und möglichst viele Spam-Mails zu versenden. Besonders häufig verwenden Cyberkriminelle kompromittierte E-Mail-Konten (33 %). Sie missbrauchen bekannte Adressen, um Reputationsüberprüfungen und Filter zu umgehen. Das funktioniert sogar dann, wenn bei der E-Mail-Authentifizierung (SPF/DKIM) Anomalien auftreten. In 32 % der Fälle nutzen die Angreifer beliebte kostenlose Dienste wie Gmail, Yahoo und Outlook. Daneben verwenden sie auch weniger verbreitete Anbieter wie GMX, ProtonMail, Zoho oder Yandex. Zudem missbrauchen Kriminelle auch den guten Ruf von Diensten für den Massenversand von E-Mails wie SendGrid, Mailgun und Amazon SES. Auf dieser Basis erstellen die Angreifer gefälschte Konten oder hacken Kundenkonten.
»Die aktuellen Cybersicherheitsbedrohungen sind so erfolgreich, weil die Methoden kreativ, zielgerichtet und strategisch raffiniert sind«, bestätigt Usman Choudhary, General Manager der VIPRE Security Group. »Angreifer manipulieren vertrauenswürdige Plattformen, kombinieren verschiedene Tricks, damit man ihre Angriffe nicht bemerkt und bauen sie in nahtlos funktionierende Angriffsketten ein. Kommerzieller Spam dient als gut funktionierende Deckung. Um sich zu schützen, brauchen Unternehmen eine Abwehr, die genauso anpassungsfähig ist und auf mehreren Ebenen wirkt. Die Frage ist nicht, ob der Schutz jetzt funktioniert. Wichtiger ist, ob er sich schnell genug an zukünftige Entwicklungen anpasst.«
[1] Der komplette Bericht steht Ihnen hier zum Download zur Verfügung: Email Threat Trends Report: Q3 2025
https://vipre.com/wp-content/uploads/2025/11/VIPRE_2025_Q3_Email-Threat-Report.pdf
VIPRE nutzt sein umfassendes Verständnis von E-Mail-Sicherheit, um Unternehmen mit den notwendigen Informationen zu ihrer Sicherheit zu versorgen. Der Bericht basiert auf firmeneigenen Erhebungen und Analysen der Cybersicherheitslandschaft – rund um die Uhr.
