Wie sich KI-gestütztes Phishing erkennen lässt
Das KnowBe4 Threat Lab-Team hat neue Erkenntnisse zu KI-gestützten Phishing-Kampagnen veröffentlicht. Laut dem aktuellen Phishing Trends Report von KnowBe4 enthielten 86 Prozent der in den vergangenen sechs Monaten beobachteten Phishing-Angriffe ein gewisses Maß an KI-Unterstützung. Die Folge: Phishing-Mails sind heute häufig grammatikalisch fehlerfrei, korrekt gebrandet, hochpersonalisiert und deutlich schwerer über klassische Warnsignale wie Tippfehler oder holprige Formulierungen zu erkennen.
Die Analyse zeigt jedoch auch: KI-generierte Angriffe sind nicht unsichtbar. Sie hinterlassen wiederkehrende Spuren: von typischen LLM-Formulierungen über auffällige Design- und Code-Muster bis hin zu versteckten Fülltexten, die dazu dienen, Sicherheitsscanner zu täuschen.
KI verändert die Qualität des Phishings
Lange war Phishing ein Spiel der kleinen Fehler. Awareness-Schulungen konzentrierten sich darauf, schlechte Grammatik, unpassende Formulierungen oder fehlerhafte Logos zu erkennen. Dieses Modell reicht jedoch nicht mehr aus. KI-generierte Phishing-Kampagnen erzielen den im Bericht genannten Daten zufolge Klickraten von rund 54 Prozent, während es bei traditionell erstellten Kampagnen nur 12 Prozent sind. Gleichzeitig ist Phishing wieder zum wichtigsten Vektor für Initial Access geworden.
Untersucht wurden E-Mail-Phishing-Kampagnen mit KI-gestützter Content-Erstellung, No-Code-Phishing-Infrastruktur und Anti-Analyse-Techniken. Dabei wurden SEG-Erkennungen umgangen und Organisationen weltweit über mehrere Branchen hinweg ins Visier genommen.
Welche Spuren KI trotzdem hinterlässt
Ein besonders deutliches Beispiel war eine Phishing-Mail, die mit einer typischen KI-Ausgabeformulierung begann: „Hier ist die Nachricht formatiert und in Abschnitte unterteilt.“ Offensichtlich hatte der Angreifer die automatisch erzeugte Einleitung nicht entfernt. In derselben Kampagne fanden sich außerdem versteckte Anti-Fingerprinting-Elemente sowie Unicode-Homoglyphen, die optisch wie normale Zeichen wirken, aber die technische Erkennung erschweren sollen.
Sogar die Phishing-Infrastruktur zeigt KI-Spuren. Die Angreifer nutzten No-Code-Plattformen wie Base44, Beacons.ai und Retool, um täuschend echte Credential-Harvesting-Seiten zu erstellen, darunter Imitationen von Microsoft 365, Meta Business und SharePoint. Weil diese Seiten auf legitimen Plattformen gehostet werden, profitieren sie von deren Reputation. URL-Scanner und automatisierte Vertrauenssignale können dadurch ins Leere laufen.
Zusätzlich fanden Analysten auf Phishing-Seiten ausführliche, teils mehrsprachige Kommentare, die die eigene Anti-Bot-Logik erklärten, sowie typische KI-Artefakte wie eine emoji-lastige Gestaltung und überkonstruierte CSS-Strukturen. In einer Walmart-Reward-Kampagne wurden außerdem unsichtbare, KI-generierte Büro-Konversationen eingebettet, um Scanner mit scheinbar harmloser Sprache zu täuschen.
Was Sicherheitsteams jetzt tun sollten
Visuelle Qualität darf nicht mit Legitimität verwechselt werden. Eine fehlerfreie, korrekt gebrandete E-Mail ist kein Beweis für Echtheit. Deshalb sollten Awareness-Trainings den Fokus von Tippfehlern auf belastbare Vertrauenssignale wie korrekte URLs, die Prüfung der Adressleiste auf Login-Seiten und Out-of-Band-Bestätigungen sensibler Anfragen verlagern. Zudem sollten Unternehmen reputationsbasierte Filter neu bewerten. Wenn Phishing-Seiten auf legitimen No-Code-Plattformen gehostet werden, reichen Domain-Reputation und klassische URL-Bewertungen nicht aus. Die Detection-Logik sollte gezielt um LLM-Artefakte, ungewöhnliche Inhaltsstrukturen und versteckte Textmuster erweitert werden.
Fazit
KI macht Phishing professioneller, skalierbarer und schwerer erkennbar. Doch auch KI-generierte Angriffe hinterlassen Spuren. Sie hinterlassen typische Formulierungen, strukturelle Muster, auffällige Design- und Code-Merkmale sowie versteckte Fülltexte. Für Unternehmen bedeutet das: Security Awareness und technische Erkennung müssen sich weiterentwickeln: weg vom reinen Blick auf schlechte Grammatik, hin zur Prüfung von URLs, zur Bewertung des Kontexts und zur Erkennung von KI-Artefakten. Mehr erfahren Sie hier: https://blog.knowbe4.com/what-ai-cant-hide-when-it-writes-a-phishing-email
Wie sich KI-gestütztes Phishing erkennen lässt
Das KnowBe4 Threat Lab-Team hat neue Erkenntnisse zu KI-gestützten Phishing-Kampagnen veröffentlicht. Laut dem aktuellen Phishing Trends Report von KnowBe4 enthielten 86 Prozent der in den vergangenen sechs Monaten beobachteten Phishing-Angriffe ein gewisses Maß an KI-Unterstützung. Die Folge: Phishing-Mails sind heute häufig grammatikalisch fehlerfrei, korrekt gebrandet, hochpersonalisiert und deutlich schwerer über klassische Warnsignale wie Tippfehler oder holprige Formulierungen zu erkennen.
Die Analyse zeigt jedoch auch: KI-generierte Angriffe sind nicht unsichtbar. Sie hinterlassen wiederkehrende Spuren: von typischen LLM-Formulierungen über auffällige Design- und Code-Muster bis hin zu versteckten Fülltexten, die dazu dienen, Sicherheitsscanner zu täuschen.
KI verändert die Qualität des Phishings
Lange war Phishing ein Spiel der kleinen Fehler. Awareness-Schulungen konzentrierten sich darauf, schlechte Grammatik, unpassende Formulierungen oder fehlerhafte Logos zu erkennen. Dieses Modell reicht jedoch nicht mehr aus. KI-generierte Phishing-Kampagnen erzielen den im Bericht genannten Daten zufolge Klickraten von rund 54 Prozent, während es bei traditionell erstellten Kampagnen nur 12 Prozent sind. Gleichzeitig ist Phishing wieder zum wichtigsten Vektor für Initial Access geworden.
Untersucht wurden E-Mail-Phishing-Kampagnen mit KI-gestützter Content-Erstellung, No-Code-Phishing-Infrastruktur und Anti-Analyse-Techniken. Dabei wurden SEG-Erkennungen umgangen und Organisationen weltweit über mehrere Branchen hinweg ins Visier genommen.
Welche Spuren KI trotzdem hinterlässt
Ein besonders deutliches Beispiel war eine Phishing-Mail, die mit einer typischen KI-Ausgabeformulierung begann: „Hier ist die Nachricht formatiert und in Abschnitte unterteilt.“ Offensichtlich hatte der Angreifer die automatisch erzeugte Einleitung nicht entfernt. In derselben Kampagne fanden sich außerdem versteckte Anti-Fingerprinting-Elemente sowie Unicode-Homoglyphen, die optisch wie normale Zeichen wirken, aber die technische Erkennung erschweren sollen.
Sogar die Phishing-Infrastruktur zeigt KI-Spuren. Die Angreifer nutzten No-Code-Plattformen wie Base44, Beacons.ai und Retool, um täuschend echte Credential-Harvesting-Seiten zu erstellen, darunter Imitationen von Microsoft 365, Meta Business und SharePoint. Weil diese Seiten auf legitimen Plattformen gehostet werden, profitieren sie von deren Reputation. URL-Scanner und automatisierte Vertrauenssignale können dadurch ins Leere laufen.
Zusätzlich fanden Analysten auf Phishing-Seiten ausführliche, teils mehrsprachige Kommentare, die die eigene Anti-Bot-Logik erklärten, sowie typische KI-Artefakte wie eine emoji-lastige Gestaltung und überkonstruierte CSS-Strukturen. In einer Walmart-Reward-Kampagne wurden außerdem unsichtbare, KI-generierte Büro-Konversationen eingebettet, um Scanner mit scheinbar harmloser Sprache zu täuschen.
Was Sicherheitsteams jetzt tun sollten
Visuelle Qualität darf nicht mit Legitimität verwechselt werden. Eine fehlerfreie, korrekt gebrandete E-Mail ist kein Beweis für Echtheit. Deshalb sollten Awareness-Trainings den Fokus von Tippfehlern auf belastbare Vertrauenssignale wie korrekte URLs, die Prüfung der Adressleiste auf Login-Seiten und Out-of-Band-Bestätigungen sensibler Anfragen verlagern. Zudem sollten Unternehmen reputationsbasierte Filter neu bewerten. Wenn Phishing-Seiten auf legitimen No-Code-Plattformen gehostet werden, reichen Domain-Reputation und klassische URL-Bewertungen nicht aus. Die Detection-Logik sollte gezielt um LLM-Artefakte, ungewöhnliche Inhaltsstrukturen und versteckte Textmuster erweitert werden.
Fazit
KI macht Phishing professioneller, skalierbarer und schwerer erkennbar. Doch auch KI-generierte Angriffe hinterlassen Spuren. Sie hinterlassen typische Formulierungen, strukturelle Muster, auffällige Design- und Code-Merkmale sowie versteckte Fülltexte. Für Unternehmen bedeutet das: Security Awareness und technische Erkennung müssen sich weiterentwickeln: weg vom reinen Blick auf schlechte Grammatik, hin zur Prüfung von URLs, zur Bewertung des Kontexts und zur Erkennung von KI-Artefakten. Mehr erfahren Sie hier: https://blog.knowbe4.com/what-ai-cant-hide-when-it-writes-a-phishing-email