Phishing

Phishing-Kampagne missbraucht EUSurvey-Plattform

, Knowbe4

Phishing-Kampagne missbraucht EUSurvey-Plattform

Von James Dyer und Louis Tiley – KnowBe4 Threat Labs

Das Threat Lab von KnowBe4 hat Anfang Mai 2025 eine gezielte Phishing-Kampagne aufgedeckt, die über den eigentlich seriösen EU-Dienst „EUSurvey“ lief. Obwohl die Aktion relativ klein angelegt war, fiel sie durch ihre technische Raffinesse auf – und verdeutlicht einmal mehr, wie legitime Plattformen von Cyberkriminellen für ihre Zwecke missbraucht werden können.

In diesem Fall nutzten die Angreifer die Vertrauenswürdigkeit offizieller EU-Kommunikation, um Empfänger zu täuschen. Die Phishing-Mails wirkten auf den ersten Blick glaubwürdig, da sie über eine offizielle EUSurvey-Domain verschickt wurden. Dadurch wurden typische Schutzmechanismen wie SPF, DKIM und DMARC umgangen – Protokolle, die normalerweise helfen, betrügerische E-Mails zu erkennen.

EUSurvey Phishing Abbildung 1: Screenshot der EUSurvey Phishing E-Mail (Quelle: KnowBe4 Threat Lab)

Wie der Angriff funktionierte

EUSurvey ist eine Plattform der EU, mit der Behörden und Organisationen (auch außerhalb der EU) Umfragen erstellen und verschicken können . Die Angreifer nutzten diesen Service, um ihre Phishing-Nachrichten zu tarnen. Ihre Mails enthielten vermeintliche Umfrageeinladungen, in die sie jedoch einen schädlichen Link einbauten. Dieser Link führte die Empfänger zu einer gefälschten Website, auf der Anmeldedaten abgegriffen werden sollten.

Besonders perfide: Die Links waren polymorph – also bei jeder E-Mail individuell gestaltet. Dadurch konnten sie herkömmliche Erkennungssysteme, die oft auf bekannten bösartigen URLs oder Signaturen basieren, leicht austricksen.

Täuschung mit psychologischem Druck

Auch psychologisches Kalkül spielte eine Rolle: In der Betreffzeile oder im Mailtext wurde z. B. auf „INV REMIT“ verwiesen – ein Begriff, der an Rechnungszahlungen erinnert. So wollten die Angreifer Stress und Handlungsdruck erzeugen. Denn Mails, die nach einer Zahlung aussehen und vermeintlich von einer offiziellen EU-Adresse kommen, führen oft zu schnellen Reaktionen – meist ohne genaues Hinsehen.

Phishing-E-Mail Abbildung 2: Screenshots des legitimen Teils der Phishing-E-Mail mit verstecktem weißen Text und dem legitimen EUSurvey-Link nebeneinander (Quelle: KnowBe4 Threat Lab)

Versteckte Botschaften und Tarnung

Ein weiteres Element der Kampagne: Der sichtbare Text der Mail wirkte harmlos, doch im unteren Bereich wurde zusätzlicher Inhalt mit weißer Schrift auf weißem Hintergrund versteckt. Wer nicht gezielt danach sucht, sieht ihn nicht – doch er ist da. Der Trick dabei: Während dieser Teil unsichtbar bleibt, sorgt ein gut sichtbarer, echter Link zur EUSurvey-Umfrage dafür, dass viele automatische Scanner die Mail als legitim einstufen.

Fazit

Diese Kampagne zeigt, wie geschickt Angreifer legitime Dienste und die menschliche Psychologie kombinieren, um Sicherheitsmaßnahmen zu umgehen. Auch wenn EUSurvey an sich ein seriöses Tool ist, unterstreicht dieser Vorfall, wie wichtig es ist, Mails nicht nur auf den Absender, sondern auch auf Inhalt und Kontext zu prüfen – und Sicherheitslösungen einzusetzen, die mehr als nur klassische Prüfverfahren nutzen.