15. Dezember 2025
Phishing-Ökosystem erreicht industriellen Reifegrad
Eine Untersuchung des CTI-Teams von SicuraNext offenbart beunruhigende Entwicklungen: Bei der Analyse von über 42.000 validierten URLs und Domains, die aktiv Phishing-Kits, Command-and-Control-Server oder Malware-Downloads bereitstellten, zeigte sich eine hochgradig professionalisierte Angriffsinfrastruktur. Die Daten kombinieren Feeds von hunderten Quellen mit Echtzeit-Überwachung verdächtiger SSL/TLS-Zertifikate.
Cloudflare als bevorzugte Plattform
Der auffälligste Befund: 68 Prozent sämtlicher untersuchter Phishing-Infrastrukturen operieren über Cloudflare, konzentriert auf das Autonomous System AS13335. Das kostenlose Cloudflare-Angebot bietet Angreifern strategische Vorteile: keine initialen Kosten, professioneller DDoS-Schutz und Proxy-Funktionen, die Origin-Server vollständig verschleiern.
| Provider | Domains | % of Total |
|---|---|---|
| Cloudflare | 17,202 | 68.0% |
| GCP | 3,414 | 13.5% |
| AWS | 2,185 | 8.6% |
| Azure | 1,355 | 5.4% |
Quelle: SicuraNext
Zweigeteilte Angriffsstrategie
Die Analyse der 12.635 IP-Adressen offenbart eine Aufspaltung in zwei Ansätze: 51,54 Prozent setzen auf Wegwerf-Infrastruktur mit kurzen Lebenszyklen, 48,46 Prozent auf CDN-geschützte Langfrist-Setups – zu 92 Prozent über Cloudflare.
Die Konsequenz: IP-basierte Blockierung erfasst bestenfalls die Hälfte der Bedrohung. Mit einer DNS-Auflösungsrate von 96,16 Prozent demonstrieren die Betreiber zudem Enterprise-Niveau-Zuverlässigkeit.
Missbrauch vertrauenswürdiger Domains
Angreifer setzen verstärkt auf hochwertige Domain-Endungen wie .dev und .app, um Entwickler ins Visier zu nehmen. 72 Prozent der untersuchten Domains verschleierten sich über legitime Hosting-Dienste:
- Vercel: 1.942 Domains
- GitHub Pages: 1.540 Domains
- GoDaddy Sites: 734 Domains
- Webflow: 669 Domains
Plattformen wie github.io oder vercel.app lassen sich nicht pauschal blockieren, ohne legitime Prozesse zu behindern. Domain-Reputationssysteme versagen, wenn Phishing-Inhalte unter vertrauenswürdigen Parent-Domains gehostet werden.
| TLD | Count | Why They Use It |
|---|---|---|
| .com | 11,324 | Universal legitimacy |
| .dev | 7,389 | Targets developers |
| .app | 2,992 | Mobile/SaaS impersonation |
| .io | 2,425 | Tech sector credibility |
| .cc | 1,745 | Cheap, minimal oversight |
Quelle: SicuraNext
Phishing-as-a-Service als Geschäftsmodell
Dienste wie das abgeschaltete Caffeine oder W3LL bieten abonnementbasiert komplette Angriffsinfrastrukturen. Toolkits wie EvilProxy oder Tycoon 2FA implementieren Adversary-in-the-Middle-Techniken (AitM): Sie positionieren sich zwischen Opfer und legitimem Dienst und extrahieren Session-Cookies – unabhängig von Multi-Faktor-Authentifizierung.
Eingesetzte Verschleierungstechniken umfassen Geofencing, User-Agent-Cloaking, DevTools-Erkennung und Cloudflare-CAPTCHAs. In vier Monaten identifizierte das Team 20 Phishing-Cluster mit gemeinsamen Infrastruktur-Signaturen. Fast 60 Prozent der Indikatoren lassen sich PhaaS-Plattformen zuordnen.
Meta als Hauptziel
Mit 10.267 Erwähnungen und 42 Prozent aller Markenimitationen dominiert Meta die Zielliste. Die Präsenz von Stripe und PayPal unterstreicht die Verschiebung zu direktem Finanzbetrug.
| Brand | Mentions | Attack Type |
|---|---|---|
| Meta | 10,267 | Facebook/Instagram/WhatsApp creds |
| Amazon | 2,617 | Payment data, account takeover |
| Netflix | 2,450 | Subscription scams |
| PayPal | 1,993 | Financial fraud, redirects |
| Stripe | 1,571 | Merchant account compromise |
Quelle: SicuraNext
Implikationen für die Verteidigung
Moderne Phishing-Abwehr erfordert CDN-bewusste Erkennung, Verhaltensanalyse mit Fokus auf Session-Anomalien, TLS-Fingerprinting, PhaaS-Identifikation durch Clustering und praxisnahe Schulungen statt generischer Awareness-Trainings.
Die 42.000 aktiven Phishing-URLs repräsentieren die operative Realität einer industrialisierten Angreiferökonomie. SicuraNext kündigt eine weiterführende Analyse zur technischen Infrastruktur moderner PhaaS-Plattformen an.
Lesen Sie auch:
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
OpenAI präsentiert GPT-5.2-Codex: KI-Revolution für autonome Softwareentwicklung und IT-Sicherheit
Speicherfehler in Live-Systemen aufspüren: GWP-ASan macht es möglich
Geparkte Domains als Einfallstor für Cyberkriminalität: Über 90 Prozent leiten zu Schadsoftware weiter
Umfassender Schutz für geschäftskritische SAP-Systeme: Strategien und Best Practices
Perfide Masche: Wie Cyberkriminelle über WhatsApp-Pairing ganze Konten übernehmen
Studien
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit
49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum
Deutschland im Glasfaserausbau international abgehängt
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
Whitepaper
State of Cloud Security Report 2025: Cloud-Angriffsfläche wächst schnell durch KI
BITMi zum Gutachten zum Datenzugriff von US-Behörden: EU-Unternehmen als Schlüssel zur Datensouveränität
Agentic AI als Katalysator: Wie die Software Defined Industry die Produktion revolutioniert
OWASP veröffentlicht Security-Framework für autonome KI-Systeme
Malware in Bewegung: Wie animierte Köder Nutzer in die Infektionsfalle locken
Hamsterrad-Rebell
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
