15. Dezember 2025
Phishing-Ökosystem erreicht industriellen Reifegrad
Eine Untersuchung des CTI-Teams von SicuraNext offenbart beunruhigende Entwicklungen: Bei der Analyse von über 42.000 validierten URLs und Domains, die aktiv Phishing-Kits, Command-and-Control-Server oder Malware-Downloads bereitstellten, zeigte sich eine hochgradig professionalisierte Angriffsinfrastruktur. Die Daten kombinieren Feeds von hunderten Quellen mit Echtzeit-Überwachung verdächtiger SSL/TLS-Zertifikate.
Cloudflare als bevorzugte Plattform
Der auffälligste Befund: 68 Prozent sämtlicher untersuchter Phishing-Infrastrukturen operieren über Cloudflare, konzentriert auf das Autonomous System AS13335. Das kostenlose Cloudflare-Angebot bietet Angreifern strategische Vorteile: keine initialen Kosten, professioneller DDoS-Schutz und Proxy-Funktionen, die Origin-Server vollständig verschleiern.
| Provider | Domains | % of Total |
|---|---|---|
| Cloudflare | 17,202 | 68.0% |
| GCP | 3,414 | 13.5% |
| AWS | 2,185 | 8.6% |
| Azure | 1,355 | 5.4% |
Quelle: SicuraNext
Zweigeteilte Angriffsstrategie
Die Analyse der 12.635 IP-Adressen offenbart eine Aufspaltung in zwei Ansätze: 51,54 Prozent setzen auf Wegwerf-Infrastruktur mit kurzen Lebenszyklen, 48,46 Prozent auf CDN-geschützte Langfrist-Setups – zu 92 Prozent über Cloudflare.
Die Konsequenz: IP-basierte Blockierung erfasst bestenfalls die Hälfte der Bedrohung. Mit einer DNS-Auflösungsrate von 96,16 Prozent demonstrieren die Betreiber zudem Enterprise-Niveau-Zuverlässigkeit.
Missbrauch vertrauenswürdiger Domains
Angreifer setzen verstärkt auf hochwertige Domain-Endungen wie .dev und .app, um Entwickler ins Visier zu nehmen. 72 Prozent der untersuchten Domains verschleierten sich über legitime Hosting-Dienste:
- Vercel: 1.942 Domains
- GitHub Pages: 1.540 Domains
- GoDaddy Sites: 734 Domains
- Webflow: 669 Domains
Plattformen wie github.io oder vercel.app lassen sich nicht pauschal blockieren, ohne legitime Prozesse zu behindern. Domain-Reputationssysteme versagen, wenn Phishing-Inhalte unter vertrauenswürdigen Parent-Domains gehostet werden.
| TLD | Count | Why They Use It |
|---|---|---|
| .com | 11,324 | Universal legitimacy |
| .dev | 7,389 | Targets developers |
| .app | 2,992 | Mobile/SaaS impersonation |
| .io | 2,425 | Tech sector credibility |
| .cc | 1,745 | Cheap, minimal oversight |
Quelle: SicuraNext
Phishing-as-a-Service als Geschäftsmodell
Dienste wie das abgeschaltete Caffeine oder W3LL bieten abonnementbasiert komplette Angriffsinfrastrukturen. Toolkits wie EvilProxy oder Tycoon 2FA implementieren Adversary-in-the-Middle-Techniken (AitM): Sie positionieren sich zwischen Opfer und legitimem Dienst und extrahieren Session-Cookies – unabhängig von Multi-Faktor-Authentifizierung.
Eingesetzte Verschleierungstechniken umfassen Geofencing, User-Agent-Cloaking, DevTools-Erkennung und Cloudflare-CAPTCHAs. In vier Monaten identifizierte das Team 20 Phishing-Cluster mit gemeinsamen Infrastruktur-Signaturen. Fast 60 Prozent der Indikatoren lassen sich PhaaS-Plattformen zuordnen.
Meta als Hauptziel
Mit 10.267 Erwähnungen und 42 Prozent aller Markenimitationen dominiert Meta die Zielliste. Die Präsenz von Stripe und PayPal unterstreicht die Verschiebung zu direktem Finanzbetrug.
| Brand | Mentions | Attack Type |
|---|---|---|
| Meta | 10,267 | Facebook/Instagram/WhatsApp creds |
| Amazon | 2,617 | Payment data, account takeover |
| Netflix | 2,450 | Subscription scams |
| PayPal | 1,993 | Financial fraud, redirects |
| Stripe | 1,571 | Merchant account compromise |
Quelle: SicuraNext
Implikationen für die Verteidigung
Moderne Phishing-Abwehr erfordert CDN-bewusste Erkennung, Verhaltensanalyse mit Fokus auf Session-Anomalien, TLS-Fingerprinting, PhaaS-Identifikation durch Clustering und praxisnahe Schulungen statt generischer Awareness-Trainings.
Die 42.000 aktiven Phishing-URLs repräsentieren die operative Realität einer industrialisierten Angreiferökonomie. SicuraNext kündigt eine weiterführende Analyse zur technischen Infrastruktur moderner PhaaS-Plattformen an.
Lesen Sie auch:
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
