Früher waren Phishing-Mails leicht an schlechter Grammatik und fehlerhaften Logos zu erkennen. Diese Zeiten sind vorbei. Willkommen in der Ära von Industrialized Phishing.

Die Rolle der Künstlichen Intelligenz

Angreifer nutzen heute Large Language Models (LLMs), um perfekt formulierte E-Mails in jeder Sprache zu verfassen. Ohne Rechtschreibfehler und perfekt auf den Tonfall des Zielunternehmens abgestimmt, wird die Unterscheidung zwischen Fake und Realität fast unmöglich.

[THREAT LEVEL: HIGH]

"Durch Automatisierung können Angreifer personalisierte Spear-Phishing-Kampagnen gegen tausende Ziele gleichzeitig fahren – ein Prozess, der früher Wochen dauerte, geschieht jetzt in Sekunden."

Phishing-as-a-Service (PaaS)

Man muss kein Hacker mehr sein, um eine Kampagne zu starten. Im Darknet werden fertige Kits vermietet, die alles beinhalten:

# Ein typisches PaaS-Dashboard-Log
[INFO] New Victim connected: 192.x.x.x
[DATA] Capture: user@company.com / P@ssw0rd2024!
[MFA] Intercepting TOTP Code... Success.

Wie man sich schützt

Da technische Merkmale oft nicht mehr ausreichen, rücken FIDO2-Sicherheitsschlüssel (wie YubiKeys) in den Fokus. Diese sind physisch an die Domain gebunden und können im Gegensatz zu SMS-Codes oder App-Bestätigungen nicht per Phishing entwendet werden.