Webformulare als Phishing-Einfallstor

Redaktion Redaktion  |
  • Phishing, Social Engineering, Zero Trust
  • Einsteiger
Webformulare als Phishing-Einfallstor

Webformulare als Phishing-Einfallstor.

 Cyberkriminelle entwickeln ihre Methoden stetig weiter, um Phishing-Angriffe glaubwürdiger zu gestalten und Sicherheitsmechanismen zu umgehen. Der jüngste Bericht des KnowBe4 Threat Lab zeigt, wie Angreifer zunehmend legitime Kommunikationskanäle missbrauchen, von kompromittierten E-Mail-Konten bis hin zu Webformulare auf seriösen Websites.

Zusammenfassung (TL; DR):

  • Von BEC zu CBC: Wenn ganze Unternehmen kompromittiert werden
  • Neue Angriffswelle: Phishing über Webformulare

Business Email Compromise (BEC) zählt seit Jahren zu den effektivsten Formen des Phishings. Dabei nutzen Angreifer kompromittierte, also echte E-Mail-Konten, um Nachrichten an interne oder externe Kontakte zu versenden. Durch diese Übernahme gelingt es ihnen, Sicherheitsmechanismen wie DMARC zu passieren und verdächtige Merkmale, etwa falsche Absendernamen oder untypische Domains, zu eliminieren.

So entstehen täuschend echte Nachrichten und Webformulare, die kaum noch als betrügerisch erkennbar sind. Besonders gefährlich wird dies, wenn innerhalb bestehender Geschäftsbeziehungen kommuniziert wird. Das Vertrauen ist bereits vorhanden und der Angriff erscheint dadurch umso glaubwürdiger.

Laut KnowBe4 Defend stammten im Jahr 2025 rund 59,1 Prozent aller erkannten Phishing-Angriffe aus kompromittierten Konten, was einen Anstieg um fast 35 Prozent gegenüber 2024 bedeutet. Damit entwickelt sich BEC zunehmend zum „Complete Business Compromise“ (CBC): Angriffe, die sich schneller ausbreiten, mehr Systeme betreffen und noch schwerer zu erkennen sind.

Eine neue Angriffswelle: Phishing über Webformulare

Seit September 2025 beobachtet das Threat Lab eine neue, besonders ausgeklügelte Taktik: Angreifer nutzen legitime Kontakt- oder Terminformulare auf Unternehmenswebsites, um automatisierte Antwortmails für ihre Zwecke zu missbrauchen.

Dazu erstellen sie ein kostenloses „onmicrosoft“-Konto, wählen einen bekannten Markennamen als Absender, etwa eine Bank oder einen Bezahldienst, und füllen das Formular im Namen dieser Organisation aus. Wird das Formular abgeschickt, erzeugt die Website automatisch eine Bestätigungs-E-Mail, die von der echten Domain des Unternehmens stammt und somit alle Authentifizierungsprüfungen besteht. Diese E-Mail wird anschließend mithilfe eingerichteter Weiterleitungsregeln an Hunderte oder Tausende Empfänger verschickt. Da sie aus einem legitimen System stammt und formal korrekt aufgebaut ist, gilt sie für viele Sicherheitslösungen als unbedenklich.

Social Engineering über den Umweg „Telefonnummer“

In die Formularfelder, etwa Name, Telefonnummer und Nachricht, fügen die Angreifer manipulative Inhalte ein. Häufig wird ein finanzieller Vorwand genutzt, um Panik auszulösen, etwa eine vermeintliche PayPal-Transaktion über mehrere Hundert Dollar. Die Nachricht enthält eine Telefonnummer, über die das Opfer angeblich den Vorfall klären kann.

Tatsächlich führt der Anruf direkt zu den Angreifern. In emotional aufgeladenen Gesprächen werden dann persönliche oder finanzielle Informationen abgefragt, ein Beispiel für perfektes Social Engineering, das technische Sicherheitssysteme vollständig umgeht.

Wenn Vertrauen zur Schwachstelle wird

Besonders häufig betroffen sind Organisationen aus den Bereichen Finanzen, Recht, Gesundheitswesen und Versicherungen. In diesen Branchen spielt Vertrauen und Legitimität eine zentrale Rolle. Das KnowBe4 Threat Lab geht davon aus, dass die Zahl dieser Angriffe weiter zunehmen wird, da sie weder den direkten Zugriff auf ein E-Mail-Konto noch Malware erfordern.

Die Taktik zeigt einen klaren Trend: Cyberkriminelle kapern zunehmend legitime Systeme, um von deren Domain-Autorität und Markenvertrauen zu profitieren. Damit verlieren klassische Authentifizierungsverfahren ihre Schutzwirkung und eine scheinbar routinemäßige E-Mail kann längst Teil eines groß angelegten Angriffs sein.

Sicherheit neu denken: Zero Trust als Gegenstrategie

KnowBe4 empfiehlt Unternehmen, ihre E-Mail-Sicherheitsstrategien auf einen Zero-Trust-Ansatz auszurichten. Dabei wird jede eingehende Nachricht ganzheitlich bewertet und das unabhängig von Absender, Domain oder Authentifizierungsergebnissen. Ergänzend sollten Echtzeit-Bedrohungsinformationen genutzt werden, um Mitarbeitende gezielt auf aktuelle Angriffsmuster hinzuweisen und sie im Erkennen von Social-Engineering-Techniken zu schulen.

Nur ein ganzheitlicher Ansatz schützt Unternehmen, Daten und Mitarbeitende zuverlässig, gerade jetzt, da Cyberkriminelle legitime Systeme in ihre gefährlichste Waffe verwandeln.

Die komplette Untersuchung des KnowBe4 Threat Lab Teams finden Sie hier.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content