KnowBe4 warnt vor großangelegter Umfrage-Betrugsmasche

Ein angebliches iPhone, eine Apple Watch oder AirPods für wenige Minuten Zeit: Genau mit diesem Versprechen treiben Cyberkriminelle derzeit massenhaft Menschen in eine gefährliche Falle. Was wie eine harmlose Kundenzufriedenheitsumfrage aussieht, ist in Wahrheit ein hochprofessioneller Phishing-Funnel zur Erbeutung von Kreditkartendaten und personenbezogenen Informationen.

Die Angreifer setzen nicht auf eine einzelne gefälschte Marke, sondern rotieren in großem Stil durch zahlreiche täuschend echte Marken-Templates und neu registrierte Domains. Die KnowBe4 Threat Labs haben eine neue großvolumige Phishing-Kampagne aufgedeckt , die Verbraucher und Organisationen weltweit ins Visier nimmt. Im Zentrum steht eine klassische, aber technisch und psychologisch stark weiterentwickelte Betrugsmasche: Opfer erhalten per E-Mail oder SMS die Nachricht, sie könnten nach einer kurzen Umfrage ein hochwertiges Geschenk erhalten. Die vermeintliche Belohnung dient jedoch nur als Köder, um sensible persönliche Daten und Zahlungsinformationen abzugreifen.

Phishing mit Markenvertrauen: Warum die Kampagne so gefährlich ist

Besonders gefährlich ist der flexible „Spray and Pray“-Ansatz der Angreifer. Statt eine einzige bekannte Marke nachzuahmen, nutzen sie ein breites Portfolio an pixelgenauen Fake-Templates. Dadurch steigt die Wahrscheinlichkeit, dass ein Opfer auf eine Marke trifft, die es kennt, der es vertraut oder mit der es kürzlich interagiert hat.

Zu den missbrauchten Marken zählen nach Angaben der KnowBe4 Threat Labs unter anderem bekannte Namen aus dem Einzelhandel, der Logistik, der Reisebranche, dem Finanzsektor und dem Gesundheitswesen. Beobachtet wurden Imitationen von Costco, Kroger, Harbor Freight, Tractor Supply Co., Sam’s Club, Dick’s Sporting Goods, Marriott, AAA, FedEx, EquityFirst Financial und BlueCross BlueShield.

Für Sicherheitsteams ist das ein klares Warnsignal: Die Kampagne lebt nicht nur von bekannten Phishing-Mustern, sondern von Skalierung, Variation und Geschwindigkeit. Hunderte neu registrierte Domains, sogenannte Newly Registered Domains oder NRDs, werden im Rahmen einer „Churn and Burn“-Strategie eingesetzt. Domains werden schnell registriert, aktiv genutzt und wieder aufgegeben, bevor klassische Sicherheitsmechanismen zuverlässig greifen können.

Der Köder: Premium-Geschenke gegen angebliche Umfrage-Teilnahme

Der Angriff beginnt meist unspektakulär. Eine E-Mail oder SMS verspricht ein hochwertiges Produkt wie ein iPhone, eine Apple Watch, AirPods oder Beats by Dre-Kopfhörer. Die Bedingung wirkt harmlos: Nutzer sollen eine kurze Kundenzufriedenheitsumfrage ausfüllen.

Genau hier beginnt das Social Engineering. Die Angreifer erzeugen künstlichen Zeitdruck, etwa durch Countdown-Timer, Hinweise auf knappe Lagerbestände oder Formulierungen wie „nur noch wenige verfügbar“. Das Ziel ist klar: Das Opfer soll nicht in Ruhe prüfen, sondern schnell handeln.

Diese psychologische Technik ist besonders wirksam, weil sie Alltagserfahrungen aus echten Online-Shops imitiert. Limitierte Angebote, Aktionszeiträume und exklusive Belohnungen sind vielen Nutzern vertraut. Die gefälschte Umfrage wirkt dadurch weniger wie ein Angriff und mehr wie eine normale Marketingaktion.

Der Phishing-Funnel: Kleine Schritte, große Wirkung

Die Kampagne arbeitet mit einem mehrstufigen psychologischen Funnel. Zunächst beantworten die Opfer zehn bis fünfzehn scheinbar legitime Fragen. Diese „Micro-Commitments“ sind entscheidend: Wer bereits Zeit investiert hat, empfindet die versprochene Belohnung zunehmend als verdient.

Anschließend verstärken gefälschte Social-Media-Kommentarspalten den Eindruck von Glaubwürdigkeit. Dort berichten angebliche Gewinner begeistert, sie hätten ihren Preis bereits erhalten. Für Nutzer entsteht dadurch soziale Bestätigung: Wenn andere erfolgreich teilgenommen haben, muss das Angebot doch echt sein. Erst am Ende schnappt die Falle zu. Den Opfern wird mitgeteilt, dass sie lediglich eine geringe Liefergebühr zahlen müssen, meist zwischen fünf und zehn US-Dollar. Diese Summe ist bewusst niedrig gewählt. Sie wirkt plausibel, reduziert Misstrauen und senkt die Hemmschwelle, Kreditkartendaten einzugeben.

Das eigentliche Ziel: Kreditkartendaten und personenbezogene Informationen

Sobald das Opfer auf der gefälschten Zahlungsseite seine Daten eingibt, haben die Angreifer ihr Ziel erreicht. Neben Kreditkarteninformationen können auch Name, Adresse, Telefonnummer, E-Mail-Adresse und weitere personenbezogene Daten abgegriffen werden.

Diese Informationen sind für Cyberkriminelle besonders wertvoll. Sie können für Kreditkartenbetrug, Identitätsdiebstahl, Folgeangriffe, personalisierte Phishing-Mails oder den Weiterverkauf in Untergrundforen genutzt werden. Besonders kritisch ist, dass die Daten laut Analyse in Echtzeit an die Infrastruktur der Angreifer übermittelt werden können. Damit handelt es sich nicht um einen einfachen Fake-Gewinnspiel-Betrug, sondern um eine skalierbare, professionelle Phishing-Operation mit klarer technischer und psychologischer Architektur.

Warum klassische E-Mail-Sicherheit allein nicht ausreicht

Die Kampagne zeigt, warum statische Abwehrmechanismen zunehmend an Grenzen stoßen. Wenn Angreifer ständig neue Domains registrieren, Marken-Templates austauschen und Landingpages variieren, reichen Blocklisten allein nicht aus. Auch Nutzer, die auf offensichtliche Rechtschreibfehler oder simple Fake-Seiten achten, können getäuscht werden, wenn Design, Tonalität und Ablauf professionell wirken. Sicherheitsverantwortliche sollten deshalb stärker auf verhaltensbasierte Erkennung, DNS-Filtering und risikobasierte Awareness setzen. Besonders wichtig ist die Erkennung von ungewöhnlichem NRD-Churn, hochgradiger Markenimpersonation und verdächtigen Weiterleitungsketten.

Was Unternehmen jetzt tun sollten

Unternehmen sollten ihre Perimeter Defense so ausrichten, dass neue und schnell wechselnde Angreifer-Infrastruktur frühzeitig erkannt wird. Dazu gehören Sicherheitskontrollen, die neu registrierte Domains, auffällige Domain-Rotationen und verdächtige Marken-Imitationen nicht isoliert, sondern im Kontext bewerten. Ein weiterer zentraler Schritt ist striktes DNS-Filtering. Newly Registered Domains, die jünger als 30 Tage sind, sollten standardmäßig markiert, geprüft oder blockiert werden. Gerade bei

Kampagnen, die auf kurzfristig registrierte Domains setzen, kann diese Maßnahme den Angriffspfad erheblich stören. Ebenso wichtig bleibt der menschliche Faktor. Mitarbeitende sollten wissen, dass seriöse Unternehmen keine Kreditkartendaten über Links aus Drittanbieter-Umfragen abfragen, nur um angebliche Gratis-Geschenke zu versenden. Dieser einfache Grundsatz kann im Ernstfall entscheidend sein.

Risk-First Security Awareness wird zum Pflichtprogramm

Die Kampagne macht deutlich, dass klassische jährliche Awareness-Schulungen nicht mehr ausreichen. Gefragt ist ein Risk-First-Ansatz, der individuelles Verhalten, aktuelle Bedrohungslagen und konkrete Angriffsmuster zusammenführt.

KI-gestützte, personalisierte Trainings können dabei helfen, Nutzer genau dort abzuholen, wo ihr Risiko am größten ist. Dynamische Risk Scores, Just-in-Time-Coaching und realistische Phishing-Simulationen stärken die Fähigkeit, Manipulationstechniken zu erkennen, bevor echte Angreifer erfolgreich sind.

Indicators of Compromise: Infrastruktur verändert sich laufend

Da die Angreifer ihre Domains und Landingpages schnell austauschen, verändern sich auch die Indicators of Compromise fortlaufend. Sicherheitsteams sollten aktuelle IOCs, Domains und Verhaltenssignaturen regelmäßig prüfen und in ihre Erkennungs- und Abwehrsysteme integrieren.

Fazit

Die neue Phishing-Kampagne zeigt, wie stark sich Social Engineering professionalisiert hat. Cyberkriminelle kombinieren bekannte Belohnungsversprechen mit Markenvertrauen, psychologischem Druck, gefälschter sozialer Bestätigung und schnell wechselnder Infrastruktur. Für Unternehmen bedeutet das: Wer Phishing wirksam abwehren will, muss Technik, DNS-Schutz, Threat Intelligence und menschliche Resilienz konsequent zusammendenken.