PhaaS

Chinesische PhaaS-Plattformen professionalisieren Phishing-Angriffe mit KI und Echtzeit-Tools

, KnowBe4 | Autor: Herbert Wieler

Chinesische PhaaS-Plattformen professionalisieren Phishing-Angriffe mit KI und Echtzeit-Tools

Phishing-as-a-Service: KI, MFA-Bypass und Digital-Wallet-Betrug

Phishing ist längst kein plumper Massenbetrug mehr. Chinesischsprachige Angreifer professionalisieren ihre Methoden rasant – mit KI, Live-Administrationspanels und hochgradig lokalisierten Angriffskampagnen. Für Unternehmen in Deutschland bedeutet das: Klassische Schutzmaßnahmen reichen allein nicht mehr aus.

Chinesische Phishing-Akteure treten zunehmend professionell auf. Darauf weist Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 , mit Blick auf eine aktuelle Analyse der Google Threat Intelligence Group (GTIG) hin. Im Zentrum stehen chinesischsprachige Phishing-as-a-Service-Angebote, kurz PhaaS, die Cyberkriminellen den Einstieg in komplexe Betrugskampagnen immer leichter machen.

Nach Einschätzung der Sicherheitsforscher wächst der Markt für solche Plattformen deutlich. Dadurch sinken die technischen Hürden für Täter, die bislang wenig Erfahrung mit Social Engineering oder internationalen Phishing-Kampagnen hatten. Die Folge: Angriffswerkzeuge, die früher spezialisierten Gruppen vorbehalten waren, stehen heute einem deutlich größeren Täterkreis zur Verfügung.

Phishing-as-a-Service: Professionelle Werkzeuge für Cyberkriminelle

Google hat rund ein Dutzend chinesischsprachige PhaaS-Angebote untersucht. Ein zentrales Ergebnis: Das einfache Sammeln von Passwörtern verliert an Bedeutung. Stattdessen setzen Angreifer zunehmend auf Live-Administrationspanels, über die sie in Echtzeit mit ihren Opfern interagieren können.

Besonders kritisch ist dabei der Umgang mit Einmalpasswörtern. Während Nutzer glauben, sich bei einem legitimen Dienst anzumelden, können Angreifer OTPs abfangen und unmittelbar missbrauchen. Dadurch geraten selbst moderne Multi-Faktor-Authentifizierungsverfahren unter Druck. MFA bleibt wichtig, ist aber kein alleiniger Schutz gegen professionell gesteuerte Phishing-Angriffe.

Digital Wallets rücken in den Fokus

Das Ziel vieler Kampagnen ist laut Analyse nicht mehr nur der Zugriff auf Nutzerkonten. Immer häufiger versuchen Angreifer, mit gestohlenen Zahlungsdaten digitale Geldbörsen wie Apple Pay, Google Pay oder vergleichbare Wallet-Dienste einzurichten.

Damit verschiebt sich der Schaden vom klassischen Konto- oder Identitätsdiebstahl hin zu unmittelbar verwertbaren Zahlungsbetrugsmodellen. Für Unternehmen, Banken, Zahlungsdienstleister und Endnutzer steigt dadurch der Druck, verdächtige Aktivitäten schneller zu erkennen und Mitarbeitende besser zu sensibilisieren.

KI macht Phishing dynamischer und schwerer erkennbar

Ein besonders relevanter Trend ist der Einsatz von Künstlicher Intelligenz. PhaaS-Plattformen wie „Darcula“ arbeiten nicht mehr nur mit statischen Phishing-Vorlagen. Stattdessen nutzen sie KI-gestützte Seitengeneratoren und Browser-Automatisierung, um legitime Websites dynamisch zu klonen.

Das erschwert klassische Erkennungsmethoden erheblich. Sicherheitslösungen, die vor allem auf bekannte Muster, statische Seiten oder wiederverwendete Vorlagen reagieren, stoßen schneller an Grenzen. Angriffe werden flexibler, glaubwürdiger und besser an das Verhalten potenzieller Opfer angepasst.

Lokalisierte Angriffe: Phishing wird kulturell angepasst

Ein weiterer gefährlicher Entwicklungsschritt ist die sogenannte „Localization-as-a-Service“. Plattformen wie „YY Lai Yu“ ermöglichen es Angreifern, Phishing-Kampagnen kulturell und regional anzupassen. Dabei geht es nicht nur um Sprache, sondern auch um lokale Marken, Verbrauchergewohnheiten, typische Sorgen und Erwartungen der Opfer.

Angreifer können dadurch Kampagnen erstellen, die für Nutzer in bestimmten Ländern oder Regionen besonders glaubwürdig wirken. Mehr als 400 angepasste Vorlagen sollen die Imitation lokaler Marken, Transportunternehmen und digitaler Ökosysteme ermöglichen.

Hinzu kommen weitere professionelle Funktionen:

  • Anti-Bot-Maßnahmen: Vorgeschaltete Interaktionsseiten sollen automatisierte Sicherheitsanalysen blockieren.
  • Erweiterte Administrationspanels: Täter können gestohlene Daten gezielt durchsuchen, Kartentypen nach Bank Identification Number filtern und bestimmte Länderzugriffe blockieren.
  • Kulturelle Tarnung: Lokale Designs, Markenbezüge und Nutzererwartungen werden genutzt, um Phishing-Seiten glaubwürdiger erscheinen zu lassen.

Warum Awareness-Training jetzt wichtiger wird

Die Analyse zeigt deutlich: Technische Schutzmaßnahmen allein reichen nicht aus. Unternehmen müssen ihre Mitarbeitenden kontinuierlich über aktuelle Phishing-Methoden, Social Engineering und KI-gestützte Betrugsversuche aufklären.

Gerade weil Angriffe dynamischer, lokaler und glaubwürdiger werden, bleibt der Mensch eine zentrale Verteidigungslinie. Wer verdächtige Nachrichten, gefälschte Login-Seiten oder ungewöhnliche Zahlungsaufforderungen schneller erkennt, kann Schäden verhindern, bevor sie entstehen.

Moderne Digital-Workforce-Security-Systeme können dabei helfen, Sicherheitsbewusstsein gezielt aufzubauen. KI-gestützte Phishing-Trainings, personalisierte Schulungen und kontinuierliche Tests machen Awareness-Maßnahmen wirksamer und praxisnäher. Ergänzend können Anti-Phishing-Technologien, die KI und Crowdsourcing kombinieren, neue Zero-Day-Bedrohungen schneller erkennen.

Für Unternehmen in Deutschland lautet die wichtigste Botschaft: Phishing entwickelt sich weiter – und die Verteidigung muss Schritt halten. Wer Mitarbeitende regelmäßig schult, technische Schutzmechanismen modernisiert und aktuelle Angriffsmuster ernst nimmt, kann das Risiko deutlich senken.