Gen Q4 2025 Threat Report

Die vierteljährliche Analyse im Gen Q4 2025 Threat Report zeigt, dass etwa 90 % der abgewehrten Angriffe auf Social Engineering statt auf technische Exploits beruhten. Kalendereinladungen ersetzten E-Mail-Spam als Verbreitungsmechanismus für Tech-Support-Betrug, wobei innerhalb eines einzigen Monats Zehntausende davon abgefangen wurden. Gefälschte Tutorial-Websites veranlassten Benutzer dazu, QR-Codes mit ihren Smartphones zu scannen, wodurch Angriffsketten über Gerätegrenzen hinweg verlagert wurden, wo die Sicherheitsvorkehrungen schwächer sind.

Die Erkennung von mobiler Spyware erreichte im November ihren Höhepunkt, angeführt von den Android-Familien Tambir und SpyMax. In diesem Quartal wurde auch Landfall bekannt, eine kommerzielle Spyware, die eine Zero-Day-Sicherheitslücke von Samsung ausnutzte, um Galaxy-Geräte durch bösartige Bilder zu kompromittieren, die über Messaging-Apps versendet wurden. Apple reagierte darauf mit einer Verdopplung seiner höchsten Bug-Bounty-Prämie auf 2 Millionen US-Dollar für Exploit-Ketten, die einen Zugriff auf dem Niveau von Söldner-Spyware ermöglichten.

Finanzbetrug zielt auf alltägliche Transaktionen ab

Die Muster des Zahlungsbetrugs näherten sich dem routinemäßigen Finanzverhalten an. Die Analyse von Daten aus Banking-Apps ergab, dass gestohlene Identitätsdaten in erster Linie für hochwertige Kontoanträge und nicht für Brute-Force-Anmeldeversuche verwendet wurden. Angreifer nutzten Funktionen zur Nachverrechnung aus und wandelten Autorisierungstests im Wert von einem Dollar in fünfstellige Abbuchungen um. Streitigkeiten über Mikrotransaktionen in Gaming- und sozialen Plattformen verursachten durch koordinierten Missbrauch von Rückbuchungen monatliche Verluste in Höhe von Zehntausenden.

SMS-Phishing blieb der Hauptgrund für direkte Verluste durch Kontoübernahmen, wobei Angreifer Telefonnummern aus Datenlecks erhielten und lokalisierte Nachrichten versendeten, die legitime Warnmeldungen imitierten. Die Kampagnen zeigen, wie kompromittierte Telefonnummern aus früheren Datenlecks zu dauerhaften Werkzeugen für Betrug über mehrere Dienste hinweg werden.

KI-Integration wird zur Standardpraxis

Künstliche Intelligenz hat sich auf beiden Seiten des Konflikts vom experimentellen zum operativen Einsatz entwickelt. Eine mit China verbundene Gruppe nutzte jailbroken KI-Modelle, um Spionage gegen etwa 30 Organisationen zu orchestrieren, wobei die KI 80 bis 90 % des Arbeitsablaufs von der Aufklärung bis zur Datenaufbereitung übernahm. Sicherheitsforscher dokumentierten Malware, die Sprachmodelle zur Laufzeit aufruft, um Verschleierungstechniken neu zu schreiben und Umgehungstechniken anzupassen.

Auf sozialen Plattformen unterstützten KI-generierte Inhalte Liebesbetrug, bei dem zunächst eine dauerhafte emotionale Beziehung aufgebaut wurde, bevor finanzielle Forderungen gestellt wurden. Durch Stimmklonen konnten überzeugende Notrufe mithilfe von wenigen Sekunden Audioaufnahmen aus sozialen Medien getätigt werden. Erkennungssysteme identifizierten im Quartal 159.378 einzigartige Fälle von manipulierten Videos in Verbindung mit finanziellen Lockangeboten, die sich vor allem auf YouTube und Facebook konzentrierten.

Ein als „GhostPairing” bezeichnetes Angriffsmuster, bei dem Geräte miteinander verbunden wurden, zeigte, wie legitime Funktionen zu Angriffsvektoren werden. Benutzer erhielten Nachrichten, die scheinbar von vertrauenswürdigen Kontakten stammten und sie auf gefälschte Seiten weiterleiteten, die den Gerätepaarungsprozess von WhatsApp missbrauchten. Opfer, die den angezeigten Code eingaben, verbanden unwissentlich die Browser der Angreifer mit ihren Konten und gewährten ihnen uneingeschränkten Zugriff auf Unterhaltungen und Kontakte, ohne dass offensichtliche Sicherheitswarnungen ausgelöst wurden.

Erosion der Privatsphäre durch Schwächen in der Infrastruktur

Verstöße durch Drittanbieter deckten Schwachstellen in der ausgelagerten Datenverarbeitung auf. Ein Kundendienstanbieter gab 70.000 für die Altersüberprüfung gesammelte Fotos von amtlichen Ausweisen weiter. Forscher zeigten, dass das Kontaktfindungssystem von WhatsApp die Auflistung von 3,5 Milliarden Konten ermöglichte, bevor Meta strengere Ratenbeschränkungen einführte. Datenbroker lieferten Standortproben, die genaue Bewegungsmuster europäischer Beamter offenbarten.

Identitätsüberwachungssysteme verzeichneten im vierten Quartal einen starken Anstieg in mehreren Alarmkategorien. Die Warnmeldungen zu immobilienbezogenen Datensätzen stiegen im Vergleich zum Vorquartal um 252 %, während die Warnmeldungen zu Sicherheitsverletzungen um 222 % zunahmen. Die Warnmeldungen zu Bankkontoaktivitäten stiegen um 112 %. Die Gesamtzahl der Sicherheitsverletzungen stieg im Vergleich zum Vorquartal um 175 %, wobei die Anzahl der offengelegten Datensätze um 157 % zunahm.

Die Zahl der Ransomware-Angriffe ging im Jahresvergleich um 6,8 % zurück, wobei die Zahlungsquote auf etwa 23 % der Opfer sank, da Unternehmen bessere Backup- und Wiederherstellungsverfahren implementierten. Erpressungskampagnen verlagerten ihren Fokus jedoch auf Unternehmensplattformen und nutzten Schwachstellen in Oracle E-Business Suite und Salesforce aus, um Daten für Lösegeld zu exfiltrieren, anstatt Endpunkte zu verschlüsseln.

Plattformbasierte Betrugsversuche blieben während der gesamten Weihnachtssaison auf hohem Niveau. Facebook war für 78 % der auf sozialen Netzwerken basierenden Betrugsversuche auf Desktop-Computern verantwortlich, wobei E-Commerce-Betrug 65 % der Betrugsarten ausmachte. Interne Dokumente deuteten darauf hin, dass eine große Plattform jährliche Einnahmen in Milliardenhöhe aus betrügerischer Werbung erzielte, die von internen Systemen als risikoreich eingestuft, aber dennoch zugelassen wurde.

Die Bedrohungslage spiegelt wider, dass Kriminelle eher auf menschliches Verhalten als auf technische Raffinesse setzen. Angriffe sind erfolgreich, wenn sie sich in vertrauenswürdige Umgebungen einfügen und die kleinen Entscheidungen ausnutzen, die Menschen im Rahmen ihrer digitalen Routinen treffen.

The quarterly analysis in the Gen Q4 2025 Threat Report shows that approximately 90% of blocked attacks relied on social engineering rather than technical exploits. Calendar invites replaced email spam as a delivery mechanism for tech support scams, with tens of thousands intercepted in a single month. Fake tutorial websites drove users to scan QR codes with their phones, moving attack chains across device boundaries where security protections are weaker.

Mobile spyware detections peaked in November, led by Android families Tambir and SpyMax. The quarter also saw disclosure of Landfall, commercial spyware that exploited a Samsung zero-day vulnerability to compromise Galaxy devices through malicious images sent via messaging apps. Apple responded by doubling its top bug bounty to $2 million for exploit chains achieving mercenary-spyware-level access.

Financial fraud targets everyday transactions

Payment fraud patterns shifted closer to routine financial behavior. Analysis of banking app data revealed stolen identity credentials being used primarily for high-quality account applications rather than brute-force login attempts. Attackers exploited post-settlement adjustment features, converting one-dollar authorization tests into five-figure debits. Microtransaction disputes in gaming and social platforms created losses in the tens of thousands monthly through coordinated chargeback abuse.

SMS phishing remained the primary driver of direct account takeover losses, with attackers obtaining phone numbers from data breaches and sending localized messages that mimic legitimate alerts. The campaigns demonstrate how compromised phone numbers from earlier breaches become persistent tools for fraud across multiple services.

AI integration becomes standard practice

Artificial intelligence moved from experimental to operational use on both sides of the conflict. A China-linked group used jailbroken AI models to orchestrate espionage against approximately 30 organizations, with AI handling 80-90% of the workflow from reconnaissance to data staging. Security researchers documented malware that calls language models at runtime to rewrite obfuscation and adjust evasion techniques.

On social platforms, AI-generated content supported romance scams that build sustained emotional relationships before pivoting to financial requests. Voice cloning enabled convincing emergency calls using seconds of audio from social media. Detection systems identified 159,378 unique instances of manipulated video paired with financial lures in the quarter, concentrated heavily on YouTube and Facebook.

A device-linking attack pattern labeled „GhostPairing“ demonstrated how legitimate features become attack vectors. Users received messages appearing to come from trusted contacts, directing them to fake pages that misused WhatsApp’s device pairing flow. Victims entering the displayed code unknowingly linked attackers‘ browsers to their accounts, granting full access to conversations and contacts without triggering obvious security alerts.

Privacy erosion through infrastructure weaknesses

Third-party service breaches exposed vulnerabilities in outsourced data handling. A customer support vendor leaked 70,000 government ID photos collected for age verification. Researchers demonstrated that WhatsApp’s contact discovery system allowed enumeration of 3.5 billion accounts before Meta implemented tighter rate limiting. Data brokers provided location samples that revealed precise movement patterns of European officials.

Identity monitoring systems tracked sharp increases in several alert categories during Q4. Property-related record alerts rose 252% quarter over quarter, while breach alerts increased 222%. Bank account activity alerts climbed 112%. Total breach events grew 175% compared to the previous quarter, with exposed records increasing 157%.

Ransomware encounters declined 6.8% year over year, with payment rates falling to approximately 23% of victims as organizations implemented better backup and recovery procedures. However, extortion campaigns shifted focus to business platforms, exploiting vulnerabilities in Oracle E-Business Suite and Salesforce to exfiltrate data for ransom rather than encrypting endpoints.

Platform-based scams maintained high volumes throughout the holiday shopping period. Facebook accounted for 78% of social-origin scam blocks on desktop, with e-commerce fraud representing 65% of scam types. Internal documents suggested that one major platform generated billions in annual revenue from fraudulent advertising that internal systems flagged as high-risk but allowed to run.

The threat landscape reflects criminals optimizing for human behavior rather than technical sophistication. Attacks succeed when they blend into trusted environments and exploit the small decisions people make throughout their digital routines.