Cyberkriminelle nutzen soziale Anliegen aus, um das Nutzerverhalten zu manipulieren
10. Februar 2026
Von dem Mimecast Threat Research Team
- Phishing-Kampagnen, die Themen des Pride-Monats ausnutzen, um emotionale Reaktionen auszulösen und das Sicherheitsbewusstsein zu umgehen
- Die Kampagne verlief in zwei unterschiedlichen Phasen: Im Dezember 2025 waren 504 Ziele betroffen, gefolgt von einer Ausweitung auf 4.768 Ziele im Januar 2026, was insgesamt 5.272 Organisationen in den USA, Großbritannien, Deutschland, Australien, Südafrika, Kanada und anderen Regionen ergab.
- Die Angriffstechniken entsprechen den Methoden, die von den Bedrohungsakteuren „Scattered Spider“, „CryptoChameleon“ und „PoisonSeed“ angewendet werden
- Die Kampagne im Dezember richtete sich auf Finanzdienstleistungen und Beratung; die Kampagne im Januar verlagerte den Schwerpunkt auf IT, SaaS und den Einzelhandel, behielt jedoch die Ausrichtung auf Finanzdienstleistungen bei, was entweder auf eine Optimierung der Zielgruppenausrichtung oder auf mehrere koordinierte Maßnahmen hindeutet.
Kampagnenübersicht
Das Mimecast Threat Research Team hat festgestellt, dass Angreifer gesellschaftliche Anliegen – insbesondere den Pride-Monat und Initiativen zur Förderung der Vielfalt – instrumentalisieren, um Unternehmen zu übereilten Maßnahmen zu verleiten. Diese Kampagnen missbrauchen bewusst legitime Unternehmenswerte, um das Gefühl der Dringlichkeit zu erzeugen, das Angreifer für einen erfolgreichen Diebstahl von Zugangsdaten benötigen.
Diese Taktik ist besonders wirksam, da sie das echte Engagement des Unternehmens für Vielfalt und Inklusion ausnutzt. Unabhängig davon, ob die Empfänger die Initiative befürworten oder ablehnen – die Angreifer setzen darauf, dass beide Reaktionen dazu führen, dass die Empfänger ohne ausreichende Prüfung auf bösartige Links klicken.
Bemerkenswert ist, dass diese Kampagne Mitte Dezember gestartet wurde – bereits Monate vor dem Pride-Monat im Juni. Dies deutet darauf hin, dass die Angreifer vorausplanen oder Botschaften testen, die bei künftigen Kampagnen Anklang finden werden. Der Zeitpunkt fällt zudem mit den Feiertagen zum Jahresende zusammen, in denen viele Unternehmen mit reduzierter IT-Personalbesetzung und eingeschränkter Sicherheitsüberwachung arbeiten – Bedingungen, die den Erfolg von Phishing-Angriffen begünstigen.
Kampagnenphasen und Eskalation
Die Kampagne wurde in Form von zwei getrennten Maßnahmen durchgeführt. Die Angriffswelle im Dezember 2025 richtete sich gegen 504 Organisationen, vor allem in den USA (62%) und im Vereinigten Königreich (20%), wobei der Schwerpunkt auf Finanzdienstleistern, freiberuflichen Dienstleistern und Beratungsunternehmen lag. Dies scheint eine Erkundungs- oder Testphase gewesen zu sein.
Die Angriffswelle im Januar 2026 stellte eine 9,5-fache Zunahme dar und richtete sich gegen 4.768 Organisationen in einem erweiterten geografischen Gebiet. Zwar blieben die USA und Großbritannien die Hauptziele (57% bzw. 21% ), doch traf die Kampagne nun auch Deutschland, Australien, Südafrika und Kanada in nennenswertem Umfang. Auch die Zielbranchen haben sich verschoben: Die Zahl der Angriffe auf IT- und SaaS-Unternehmen stieg von 6% auf 13%, im Einzelhandel von 4% auf 7%, während Finanzdienstleistungen mit 13% weiterhin oberste Priorität hatten. Dies deutet entweder auf mehrere koordinierte Maßnahmen oder auf eine aktive Optimierung der Zielauswahl auf der Grundlage der Ergebnisse vom Dezember hin.
Die Angriffsmethode
In den E-Mails wird behauptet, dass E-Mail-Kopf- und Fußzeilen zum Thema „Pride“ gemäß einer Anweisung der Geschäftsleitung auf der Grundlage der Unternehmenswerte automatisch auf Unternehmenskonten angewendet werden. Den Empfängern wird eine Opt-out-Möglichkeit angeboten, wodurch ein trügerisches Gefühl der Selbstbestimmung erweckt wird, während sie gleichzeitig auf bösartige Links geleitet werden.
Dies ist Social Engineering, das bewusst so konzipiert wurde. Empfänger, die die Initiative unterstützen, klicken hier, um mehr zu erfahren. Wer dagegen ist, klickt hier, um sich abzumelden. Beide Reaktionen sind für den Angreifer erfolgreich, da die Interaktion mit dem Link der genauen Prüfung vorausgeht.
Die E-Mails im Januar wurden dahingehend weiterentwickelt, dass sie persona-basierte Präfixe in der Betreffzeile enthielten, was darauf hindeutet, dass sich die Angreifer als bestimmte Personen ausgeben, um die wahrgenommene Legitimität zu erhöhen und auf dem Absender basierende Filter zu umgehen.
Nach dem Anklicken gelangen die Nutzer auf eine CAPTCHA-Verifizierungsseite (eine gängige Taktik von Angreifern, um einer Erkennung zu entgehen und Nutzer herauszufiltern), bevor sie auf Seiten weitergeleitet werden, die der Erfassung von Anmeldedaten dienen und die Anmeldeoberflächen von SendGrid imitieren.
Nutzung von Infrastruktur und Lieferketten
Angreifer nutzen kompromittierte SendGrid-Konten – eine legitime Plattform für Massen-E-Mails – aus, um Nachrichten im Unternehmensmaßstab zu versenden. Schädliche URLs leiten über die SendGrid-Infrastruktur auf vom Angreifer kontrollierte Domains weiter, darunter lgbtsendgrid[.]com und lgbt-sg[.]com.
Dieser Ansatz ist ein Beispiel für ein allgemeineres Angriffsmuster in der Lieferkette, das in zahlreichen Bedrohungskampagnen beobachtet wurde. Durch Angriffe auf CRM- und E-Mail-Dienstleister wie SendGrid, Mailchimp, HubSpot und andere verschaffen sich Angreifer Zugang zu etablierten Infrastrukturen und Kontaktlisten, die ihren Phishing-Nachrichten Glaubwürdigkeit verleihen. Diese Taktik ist besonders wirksam, da die Empfänger E-Mails von vertrauenswürdigen Diensten oder von internen Unternehmenskonten erhalten, wodurch anfängliche Vertrauensbarrieren umgangen werden. Unternehmen überwachen Konten von Drittanbietern häufig weniger streng als ihre eigene Infrastruktur, was Angreifern zusätzliche Möglichkeiten eröffnet, ihre Aktivitäten nahezu unentdeckt durchzuführen.
Sobald Anmeldedaten gestohlen und API-Schlüssel zur dauerhaften Nutzung erstellt wurden, dienen diese kompromittierten Konten als Mittel zur groß angelegten Verbreitung von Phishing-Angriffen. Andere Angriffskampagnen haben dieselbe Infrastruktur genutzt, um Kryptowährungsplattformen anzugreifen, Mailinglisten zu sammeln und groß angelegte Spam-Aktionen durchzuführen, was zeigt, dass E-Mail-Dienstleister mittlerweile ein vorrangiges Ziel in den Strategien der Angreifer sind.
Kampagnen-Attribution
Zwar ist eine eindeutige Zuordnung schwierig, doch weisen die beobachteten Techniken Gemeinsamkeiten mit den Bedrohungsoperationen „Scattered Spider“, „CryptoChameleon“ und „PoisonSeed“ auf:
- Ausnutzung der Infrastruktur legitimer E-Mail-Dienstanbieter
- Konventionen für die Vergabe von Domainnamen, die vertrauenswürdige Dienste nachahmen
- Der Schwerpunkt liegt auf dem Sammeln von Anmeldedaten, um nachfolgende Angriffe zu ermöglichen
- Ausrichtung auf Unternehmen aus verschiedenen Branchen
Das umfassendere Bedrohungsspektrum
Diese Kampagnen sind Teil eines umfassenderen Angriffsmusters, bei dem Angreifer CRM- und E-Mail-Dienstleister kompromittieren, um Phishing-Angriffe in großem Umfang zu verbreiten. Indem sie Zugangsdaten von Plattformen wie Mailchimp, SendGrid und HubSpot stehlen, versenden Angreifer betrügerische Nachrichten, die den Anschein erwecken, als stammten sie von vertrauenswürdigen internen Quellen oder Partnern.
Jüngste Untersuchungen zu Bedrohungen haben mehrere koordinierte Kampagnen identifiziert, die auf dieselbe E-Mail-Infrastruktur abzielen, was darauf hindeutet, dass es sich hierbei um eine etablierte Angriffsstrategie und nicht um einen Einzelfall handelt. Organisationen scheinen systematisch ins Visier genommen zu werden – sowohl wegen ihrer Eignung als Angriffsinfrastruktur als auch wegen ihrer Kontaktlisten, über die sich hochkarätige Ziele erreichen lassen. Dies bedeutet, dass der Schutz von SendGrid, Mailchimp und ähnlichen Plattformen mittlerweile ein wesentlicher Bestandteil der E-Mail-Sicherheitsstrategie eines Unternehmens ist – und nicht mehr nur die Verwaltung der lokalen oder direkten Cloud-Infrastruktur.
Dieser Ansatz befasst sich mit einer anhaltenden Herausforderung für Angreifer: die Empfänger in Unternehmen dazu zu bringen, auf Phishing-Nachrichten einzugehen. Die Nutzung seriöser Dienste und aktueller gesellschaftlicher Themen steigert die Glaubwürdigkeit und die Interaktionsraten im Vergleich zum herkömmlichen Massen-Phishing.
Mimecast-Schutz
Mimecast hat Erkennungsfunktionen implementiert, um Kampagnen zu identifizieren, die die Infrastruktur legitimer E-Mail-Dienste für böswillige Zwecke missbrauchen. Unser Team für Bedrohungsforschung beobachtet weiterhin die sich weiterentwickelnden Taktiken und Domain-Varianten, die von diesen Bedrohungsoperationen genutzt werden.
Primäre Ziele
Organisationen in acht Ländern in Nordamerika, Europa und im südlichen Afrika. Hauptzielmärkte nach Region: USA (58% -Anteil), Großbritannien (21%-Anteil), Australien, Deutschland, Südafrika, Kanada und weitere Länder.
Indikatoren für eine Kompromittierung (IOCs)
LGBTQ-Thematik lockt böswillige Domains an
- lgbtsendgrid[.]com
- gbt-sg[.]com
Themen rund um LGBT-Anziehungskraft
- Aktualisierung zum Thema „Pride-Monat“
- Eine Botschaft von unserem Team
- Aktuelles zum Thema E-Mail-Gestaltung
Ähnliche Kampagnen – Bösartige Domains
- https-sendgrid[.]info
- https-sglogin[.]com
- https-sgpartners[.]info
- https-sgportal[.]com
- id-unlink[.]com
- internal-ssologin[.]com
- legalcompliance-login[.]com
- login-enterprisesso[.]com
- login-request[.]com
- login-sgdashboard[.]com
- loginportalsg[.]com
- manage-sgdashboard[.]com
- myhubservices[.]com
- mysandgrid[.]com
- navigate-sendgrid[.]com
- network-sendgrid[.]com
- open-sglogin[.]com
- >partnerdashboard-sglogin[.]com
- portal-sendgrld[.]com
- establish-sendgrid[.]com
Ähnliche Kampagnenthemen
- API-Endpunkt reagiert nicht
- API-Endpunkt reagiert nicht
- API-Schlüssel generiert
- Problem bei der Übermittlung von API-Anfragen
- Aktualisierung der Richtlinien für API-Anfragen
- API-Anfragen werden nicht übermittelt
- Fehler bei der Callback-URL
- Ablaufende Authentifizierungsdatensätze für Domänen
- Problem bei der Endpunktverbindung festgestellt
- Fehler am Gateway-Endpunkt festgestellt
- Neue Anmeldung erkannt
- Grenzwert für die SendGrid-API-Ratenbegrenzung erreicht
- Sendekapazität erreicht
- Service-Meldung
- Problem bei der Konfiguration der Vorlage
- Webhook-Endpunkt reagiert nicht
- Webhook-Endpunkt, der Fehler zurückgibt
Empfehlungen
Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen
- Klären Sie Ihre Mitarbeiter über Social-Engineering-Taktiken auf, die emotionale Reaktionen auf gesellschaftliche oder politische Themen ausnutzen.
- Betonen Sie, dass legitime Änderungen der Unternehmenspolitik durch die Geschäftsleitung in der Regel über festgelegte interne Kommunikationskanäle erfolgen und nicht über externe E-Mail-Links.
- Schulen Sie die Nutzer darin, unerwartete Benachrichtigungen zu Richtlinien durch direkte Rücksprache mit der Personal- oder IT-Abteilung zu überprüfen
- Führen Sie Phishing-Simulationen durch, die emotional aufgeladene gesellschaftliche Themen beinhalten, um das Erkennungsvermögen zu stärken
Proaktive Bedrohungssuche
- Durchsuchen Sie die E-Mail-Empfangsprotokolle nach Nachrichten von Sendgrid und den aufgeführten Betreffzeilen
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!