KnowBe4 News und Wissenswertes

Was passiert, wenn Cyberkriminelle eine große Sportbekleidungsmarke angreifen?

Geschrieben von KnowBe4 Threat Lab | Jan 26, 2026 8:00:00 AM

Leitende Analysten: Louis Tiley, Lucy Gee und James Dyer

Zwischen 13:48 Uhr ET am 29. Oktober und 18:53 Uhr ET am 30. Oktober 2025 beobachteten die Bedrohungsanalysten von KnowBe4 eine hohe Anzahl von Phishing-E-Mails, die von KnowBe4 Defend entdeckt wurden und von der legitimen Domain einer der weltweit größten Sportbekleidungsmarken versendet wurden.

Die Phishing-Kampagne zeigte, wie schnell Angreifer ein kompromittiertes geschäftliches E-Mail-Konto nutzen können, um weitere Phishing-E-Mails zu versenden, in der Hoffnung, weitere Opfer zu finden. Mit Phishing-Kits, Vorlagen und KI haben Angreifer gezeigt, wie einfach es ist, große Phishing-Kampagnen zu entwickeln und zu verbreiten, die wandlungsfähige Elemente verwenden, um nicht nur den Empfänger zu täuschen, sondern auch traditionelle E-Mail-Abwehrmaßnahmen zu umgehen. Diese Kampagne nutzte eine Vielzahl von Social-Engineering-Taktiken, insbesondere Identitätsdiebstahl, um ihre Opfer zu manipulieren, und änderte ständig die Nutzlast selbst, um die signaturbasierte Erkennung zu umgehen. 

Dieses Beispiel sticht natürlich besonders hervor, da es von der kompromittierten (legitimen) Domain einer der weltweit größten Sportbekleidungsmarken stammt. Obwohl diese Unternehmen in der Regel über robustere Abwehrmechanismen verfügen, sind diese großen, bekannten Namen attraktive Ziele für Cyberkriminelle. Durch die Kompromittierung der Domain einer dieser Marken können Angreifer:

  • … sich innerhalb des Unternehmens lateral bewegen, um andere Systeme und Daten zu kompromittieren, was potenziell lukrative Ergebnisse mit sich bringen kann.
  • … ihre Reichweite erweitern, indem sie das kompromittierte Konto für weitere Phishing-Angriffe nutzen, Opfer durch Social Engineering manipulieren, indem sie die Autorität der Marke ausnutzen und deren Domain verwenden, um Sicherheitsmaßnahmen zu umgehen.
  • … sich auch nach Beendigung des Vorfalls weiterhin als die kompromittierte Marke ausgeben, indem sie Taktiken wie Domain-Spoofing einsetzen.

Wie die Flut von groß angelegten Angriffen auf etablierte Einzelhändler durch Scattered Spider und verbündete Banden zeigt, können diese Angriffe für das betroffene Unternehmen kostspielig sein und zu Identitätsdiebstahlprozessen führen, die Wochen oder sogar Monate andauern. (Weitere Informationen hierzu finden Sie in unserem Bericht zu Phishing-Bedrohungstrends.)

Zusammenfassung der Phishing-Angriffe

Vektor und Typ: E-Mail-Phishing

Umgang mit Authentifizierungsprotokollen: SPF, DKIM und DMARC

Umgang mit SEG-Erkennung: Ja

Primäre Techniken: Kompromittierung von Geschäfts-E-Mails, Identitätsdiebstahl, polymorphe Inhalte und Payloads

Ziele: Globale Organisationen (mit Sitz in 80 verschiedenen Ländern)

Die Angriffe wurden zwischen 13:48 Uhr ET am 29. Oktober und 18:53 Uhr ET am 30. Oktober 2025 (als die Marke wahrscheinlich die Kontrolle über das kompromittierte Konto zurückerlangte) durchgeführt. Die Kampagne zeichnete sich durch ein hohes Maß an Raffinesse und Koordination aus, da sie auf bestimmte Regionen ausgerichtet war und eine Vielzahl von Angriffsmethoden und Mechanismen zur Übertragung der Schadsoftware einsetzte.

Interessanterweise nutzten die Cyberkriminellen zwar die kompromittierte Domain, um einige E-Mail-Sicherheitsmaßnahmen zu umgehen, doch bis heute gab sich keine der im Rahmen dieser Kampagne analysierten Phishing-E-Mails als die Sportbekleidungsmarke selbst aus. 

Wie Cyberkriminelle kompromittierte Domains ausnutzen

Wir wissen nicht, wann und wie die Domain der Sportbekleidungsmarke kompromittiert wurde, aber es ist ziemlich sicher anzunehmen, dass die nachfolgenden Angriffe schnell begannen, sobald dies geschehen war. Zu diesem Zeitpunkt eines Angriffs sind sich Cyberkriminelle bewusst, dass die Zeit wahrscheinlich gegen sie arbeitet, bis das Cybersicherheitsteam der Organisation auf die Kompromittierung aufmerksam gemacht wurde und es geschafft hat, den Zugriff des Angreifers zu blockieren. 

Während die Uhr tickte, machten sich die Cyberkriminellen, die diesen Angriff durchführten, an die Arbeit. Der Angriff dauerte zwei Tage (29. und 30. Oktober), wobei unsere Analysten den größten Anstieg an E-Mails955am 29. Oktober 2025 beobachteten. Wie bereits erwähnt, gaben sich diese nicht als die kompromittierte Sportbekleidungsmarke aus, sondern konzentrierten sich stattdessen auf andere Organisationen wie die britische Einwanderungsbehörde und Microsoft. 

Zu den in dieser Kampagne beobachteten Absendernamen und Absenderadressen gehörten:

  • UK VISA An& Immigration <no-reply@[marke].com></no-reply@[marke].com>
  • <noreply@[marke].co></noreply@[marke].co>
  • eSc@n_@[40-stelliger Hexadezimalcode]<cdp.monitoring@[marke].com< li=""> </cdp.monitoring@[marke].com<>
  • [Kundenname] <cdp.monitoring@[marke].com< li=""> </cdp.monitoring@[marke].com<>
  • HelpSystem.Server
  • SignRequests

Betreffzeilen enthielten:

  • Wichtig: Angebot [Kundenname] REF:[40-stelliger Hexadezimalcode]
  • ***Systemwartung:***-Passwortauthentifizierung läuft heute ab ID:[10-stelliger Code]
  • AW: [Kundenname] Zahlungsaufforderung – Ref: [6-stelliger Code]-[32-stelliger Hexadezimalcode]/[Datum]
  • Überprüfung: Sponsoring-Management Ref.: [40-stelliger Hexadezimalcode]
  • Bitte überprüfen und unterschreiben: ETF-Dokument zur Verteilung – [Name des Empfängers] – [Datum]
  • Füllen Sie jetzt das EFT-/Überweisungsdokument aus – [Kundenname]
  • Bereit für Ihre Unterschrift! Überprüfen Sie das ETF-Dokument zur Ausschüttung noch heute, [Name des Empfängers]
  • Überprüfen Sie [Kundenname] Ref.: [40-stelliger Hexadezimalcode]
  • Zertifikate für [Kundenname] am [Datum], [Datum].

Die E-Mails verwendeten wandlungsfähige Betreffzeilen und Phishing-Hyperlink-Payloads, wodurch sie die signatur- und reputationsbasierte Erkennung durch sichere E-Mail-Gateways (SEGs) leichter umgehen konnten. Einige Payloads wurden in Anhängen verschleiert, was ihre Erkennung durch diese herkömmlichen Mechanismen ebenfalls erschwerte. 

Die Angriffe richteten sich gegen Organisationen in 80 Ländern weltweit, wobei die Cyberkriminellen spezifische Phishing-E-Mails auf die jeweiligen Zielländer abstimmten. So wurden beispielsweise E-Mails, die sich als britische Visa- und Einwanderungsbehörde ausgaben, ausschließlich an Organisationen im Vereinigten Königreich verschickt.

Phishing-E-Mail, die von der Domain einer Sportbekleidungsmarke versendet wurde und sich als britische Visums- und Einwanderungsbehörde ausgibt, mit sichtbaren KnowBe4 Defend-Bannern.

In diesem Beispiel enthält die E-Mail einen Phishing-Hyperlink, der das Ziel beim Anklicken auf eine Website weiterleitet, die Anmeldedaten sammelt und sich als britische Visums- und Einwanderungsbehörde ausgibt. Tatsächlich haben die Cyberkriminellen den ursprünglichen HTML-Code der offiziellen Website auf ihre eigene Domain kopiert, um eine exakte Kopie zu erstellen und die Wahrscheinlichkeit zu erhöhen, dass das Ziel den Unterschied nicht bemerkt und Opfer des Angriffs wird. 

Webseite zum Sammeln von Anmeldedaten, die sich als britische Visums- und Einwanderungsbehörde ausgibt.

Wie bei allen Angriffen zum Sammeln von Anmeldedaten kann das Ziel nicht durch Eingabe seiner Anmeldedaten auf das legitime System zugreifenStattdessen werden sein Benutzername und sein Passwort an die Cyberkriminellen gesendet, die sie möglicherweise verwenden können, um auf sensible Informationen, Systeme oder Konten zuzugreifen oder sie im Dark Web zu verkaufen. In diesem Fall könnte das Ziel, wenn es über ein Konto bei der britischen Visa- und Einwanderungsbehörde verfügt, Zugriff auf eine Fülle von persönlichen Informationen gewähren.

In einem weiteren Beispiel gaben sich die Cyberkriminellen als Microsoft aus, um die Opfer dazu zu verleiten, auf ein Sharepoint-Dokument zuzugreifen. 

Phishing-E-Mail, die sich als Microsoft ausgibt, mit sichtbaren KnowBe4 Defend-Bannern.

So erkennen Sie fortgeschrittene Phishing-Angriffe

Wie bereits erwähnt, weist diese Kampagne eine Reihe ausgeklügelter Taktiken auf, die darauf abzielen, die SEG-Erkennung zu umgehen und die Ziele durch Social Engineering zu einer Handlung zu bewegen. 

Durch die Verwendung der kompromittierten Domain der Marke zum Versenden der Angriffe stellten die Cyberkriminellen sicher, dass die Phishing-E-Mails die Authentifizierungsmechanismen umgehen konnten. Jeder von uns analysierte Angriff durchlief SPF, DMARC und DKIM. Durch die Verwendung unterschiedlicher Absenderadressen und das Hinzufügen wandlungsfähiger Elemente zu Betreffzeilen und Nutzdaten erschwerten die Cyberkriminellen zudem die Erkennung der Angriffe durch signatur- und reputationsbasierte Sicherheitsmaßnahmen. Ohne die Absenderdomain auf die Sperrliste zu setzen, führten diese Änderungen dazu, dass alle Ergänzungen der Definitionsbibliothek schnell veraltet waren. 

Schließlich hofften die Cyberkriminellen, durch regionale Ausrichtung bei der Imitation anderer Marken, einschließlich auf den Seiten zum Sammeln von Anmeldedaten, ihre Opfer durch Social Engineering dazu zu bringen, ihre Anmeldedaten preiszugeben. 

Angriffe werden zunehmend so konzipiert, dass sie SEGs umgehen. Sie gelten als „erste Hürde" für die Zustellung von Phishing-E-Mails, und daher ist es für Cyberkriminelle einfach Teil der Kosten ihrer Geschäftstätigkeit, diese Hürde zu überwinden. 

Daher ist es von entscheidender Bedeutung, dass Unternehmen eine weitere Verteidigungsebene in Form eines integrierten Cloud-E-Mail-Sicherheitsprodukts (ICES) wie KnowBe4 Defend implementieren. Wichtig ist, dass das ausgewählte Produkt einen Zero-Trust-Ansatz für die Erkennung eingehender E-Mails verfolgt, d. h. jede E-Mail wird ganzheitlich analysiert, unabhängig davon, ob sie von einer legitimen Domain gesendet wurde oder nicht. ICES-Produkte verwenden außerdem KI-gestützte Erkennungsmechanismen wie Natural Language Processing (NLP) und Natural Language Understanding (NLU), um sprachliche Merkmale von Phishing-Angriffen wie ungewöhnliche Anfragen und Drucktaktiken zu erkennen. Schließlich kann die Nutzung von Echtzeit-Hinweisen wie kontextbezogenen Bannern den Empfängern helfen, die Angriffe, denen sie ausgesetzt sind, besser zu verstehen und ihr Bewusstsein für Phishing zu schärfen. 

Da Phishing-E-Mails in der sich ständig weiterentwickelnden Bedrohungslandschaft immer raffinierter werden, ist es für Unternehmen wichtiger denn je, ihre E-Mail-Sicherheit mehrschichtig zu gestalten, um ihre Mitarbeiter, Kunden, Daten und Systeme zu schützen.

Zurück zum KnowBe4-Sicherheitsblog

Stoppen Sie fortgeschrittene Phishing-Angriffe mit KnowBe4 Defend

KnowBe4 Defend verfolgt einen neuen Ansatz für die E-Mail-Sicherheit, indem es die Lücken in M365 und Secure Email Gateways (SEGs) schließt. Defend hilft Ihnen, schneller auf Bedrohungen zu reagieren, die Sicherheit dynamisch zu verbessern und fortgeschrittene Phishing-Bedrohungen zu stoppen. Es reduziert den Verwaltungsaufwand, verbessert die Erkennung und motiviert die Benutzer, eine stärkere Sicherheitskultur aufzubauen.

Mit KnowBe4 Defend können Sie:

  • das Risiko von Datenverletzungen reduzieren, indem Sie Bedrohungen erkennen, die von M365 und SEGs übersehen wurden
  • Administrative Ressourcen freisetzen, indem Sie E-Mail-Sicherheitsaufgaben automatisieren
  • Benutzer mit farbcodierten Bannern aufklären, um Risiken in lehrreiche Momente zu verwandeln
  • die Sicherheitserkennung kontinuierlich bewerten und dynamisch anpassen, um den Verwaltungsaufwand zu reduzieren
  • Live-Bedrohungsinformationen nutzen, um Schulungen und Simulationen zu automatisieren
Demo anfragen

 

PS: Sie möchten nicht auf Weiterleitungsschaltflächen klicken? Kopieren Sie diesen Link und fügen Sie ihn in Ihren Browser ein:

https://www.knowbe4.com/products/defend-demo
Vollständigen Beitrag anzeigen