Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies hat sein „Brand Phishing Ranking” für das 4. Quartal 2025 veröffentlicht. Die neuesten Ergebnisse zeigen, dass Microsoft mit 22 Prozent aller Phishing-Versuche im vergangenen Quartal erneut die am häufigsten imitierte Marke war. Damit setzt sich ein quartalsübergreifender Trend fort, bei dem Angreifer systematisch die Namen bekannter Unternehmens- und Verbraucherplattformen missbrauchen, um Anmeldedaten zu stehlen und sich Zugriff zu verschaffen.

Google (13 Prozent) und Amazon (9 Prozent) folgten auf den Plätzen zwei und drei. Der Anstieg von Amazon ist vor allem auf den Black-Friday und die Aktivitäten in der Weihnachtszeit zurückzuführen. Erstmals steht nach mehreren Quartalen Facebook (Meta) wieder in der globalen Top 10 und landete auf Platz fünf. Dies deutet auf ein gesteigertes Interesse der Angreifer an der Übernahme von Social-Media-Konten und Identitätsdiebstahl hin.

Omer Dembinsky, Data Research Manager bei Check Point Research, kommentiert die Funde: „Phishing-Kampagnen werden immer gewiefter. Sie nutzen ausgefeilte Grafiken, KI-generierte Inhalte und äußerst überzeugende Domain-Lookalikes. Die Tatsache, dass Microsoft und Google nach wie vor die Hauptziele sind, zeigt, wie wertvoll identitätsbasierte Zugänge für Angreifer geworden sind. Gleichzeitig unterstreicht die Rückkehr von Marken wie Facebook und PayPal, wie schnell sich Cyberkriminelle anpassen und ihre Aktivitäten auf Plattformen verlagern, auf denen Vertrauen und Dringlichkeit ausgenutzt werden können. Um diesen sich weiterentwickelnden Taktiken entgegenzuwirken, müssen Unternehmen einen präventiven Ansatz verfolgen, der KI-gestützte Erkennung mit starker Authentifizierung und kontinuierlicher Sensibilisierung der Benutzer kombiniert.“

 

Top 10 der am häufigsten nachgeahmten Marken im vierten Quartal 2025:

  1. Microsoft – 22 %
  2. Google – 13 %
  3. Amazon – 9 %
  4. Apple – 8 %
  5. Facebook (Meta) -3 %
  6. PayPal – 2 %
  7. Adobe – 2 %
  8. Booking – 2 %
  9. DHL – 1 %
  10. LinkedIn – 1 %

 

Im vierten Quartal 2025 beobachtete Phishing-Kampagnen
Roblox: Phishing-Angriffe auf Kinder und Gamer.

Im vierten Quartal 2025 identifizierte CPR eine Phishing-Kampagne zum Thema Roblox, die anhand der Browsing-Aktivitäten von Benutzern beobachtet wurde. Die bösartige Website wurde auf der ähnlichen Domain robiox[.]com[.]af gehostet, die sich durch eine subtile Buchstabenersetzung von der legitimen Domain roblox.com unterschied.

Die Landingpage präsentierte ein gefälschtes Roblox-Spiel mit dem Titel „SKIBIDI Steal a Brainrot“, komplett mit realistischen Grafiken, Bewertungen und einem auffälligen „Play“-Button. Der Inhalt ahmt eines der derzeit beliebtesten Spiele auf der Roblox-Plattform genau nach und war eindeutig darauf ausgelegt, Kinder anzusprechen – eine Kernzielgruppe der Plattform.

Wenn Nutzer auf das Spiel zugreifen wollten, wurden sie auf eine zweite Phishing-Seite weitergeleitet, die die offizielle Roblox-Anmeldeseite nachahmte. Die auf dieser Seite eingegebenen Anmeldedaten wurden unbemerkt erfasst, während die Nutzer auf demselben Bildschirm blieben und keine sichtbaren Anzeichen für einen Angriff bemerkten.

 

Netflix: Kontowiederherstellung als Köder

CPR identifizierte auch eine Phishing-Website, die sich als Netflix ausgab und unter netflix-account-recovery[.]com (derzeit inaktiv) gehostet wurde. Die Domain wurde im Jahr 2025 registriert – im Gegensatz zur legitimen Website netflix.com, die bereits seit 1997 existiert.

Die Phishing-Seite ähnelte stark der offiziellen Seite für Anmeldung und Kontowiederherstellung von Netflix. Sie forderte die Benutzer dazu auf, ihre E-Mail-Adresse oder Handynummer und ihr Passwort einzugeben. Das Ziel war klar: das Sammeln von Anmeldedaten, um Konten zu übernehmen und diese möglicherweise weiterzuverkaufen oder um weitere Betrügereien zu begehen.

 

Facebook (Meta): Diebstahl von Anmeldedaten

In einer weiteren Kampagne, die im vierten Quartal 2025 beobachtet wurde, entdeckte CPR eine per E-Mail versendete Phishing-Seite mit Facebook als vermeintlichem Absender, die auf facebook-cm[.]github[.]io gehostet wurde. Die Seite gab sich als Login-Portal von Facebook aus, war vollständig in Spanisch verfasst und verwendete bekannte Markenzeichen, Layouts und Authentifizierungsaufforderungen. Die Benutzer wurden aufgefordert, ihre E-Mail-Adresse, Telefonnummer und ihr Passwort einzugeben. Diese Daten wurden anschließend von den Angreifern gesammelt, um einen unbefugten Zugriff auf das Konto und potenziellen Missbrauch zu ermöglichen.

 

Warum Marken-Phishing weiterhin erfolgreich ist

Marken-Phishing ist nach wie vor effektiv, weil das Vertrauen der Nutzer in bekannte digitale Dienste ausgenutzt wird. Angreifer setzen zunehmend auf folgende Taktiken, denen sich Benutzer bewusst sein sollten:

  • Ähnliche Domains mit subtilen Zeichenänderungen.
  • Professionell gestaltete Seiten, die echte Anmeldeabläufe imitieren.
  • Mehrstufige Täuschungswege, die legitim erscheinen.
  • Emotionale Auslöser wie Dringlichkeit, Belohnung oder Markenbekanntheit.

Nutzer und Unternehmen sollten gleichermaßen auf der Hut sein. Da in den heutigen cloudbasierten Umgebungen die digitale Identität zum zentralen Angriffspunkt wird, dient Phishing weiterhin als wichtiger erster Zugangspunkt für Betrug im Verbraucherbereich sowie für Sicherheitsverletzungen in Unternehmen.

Info: Weitere Details finden sich hier: https://blog.checkpoint.com/research/microsoft-remains-the-most-imitated-brand-in-phishing-attacks-in-q4-2025/

#CheckPoint