Cybersecurity Stop of the Month: Die Lawine im Posteingang – Wie Subscription Bombing den eigentlichen Angriff verbirgt 

In der Blog-Reihe „Cybersecurity Stop of the Month“ untersuchen wir die äußerst dynamischen Taktiken der Cyberkriminellen von heute und zeigen, wie Unternehmen mit Proofpoint ihren Schutz verbessern können, um die Mitarbeiter vor heutigen Bedrohungen zu schützen.   

Stellen Sie sich vor, Sie rufen eines Tages Ihren Posteingang auf und finden 1.500 neue E-Mails vor, bei denen es sich zudem nicht um typischen Spam oder schädliche Phishing-Nachrichten handelt. Stattdessen erhalten Sie legitime „Willkommen zu unserem Newsletter“-Nachrichten von echten Unternehmen, etwa einer französischen Bäckerei, einem japanischen Technik-Blog und einem Möbelgeschäft aus den USA. 

Sie sind nicht über Nacht beliebt geworden, sondern Opfer eines Subscription-Bombing-Angriffs. Und während Sie hektisch tausende Junk-E-Mails löschen, um Ihren Posteingang aufzuräumen, übersehen Sie die einzige wirklich wichtige E-Mail: eine „Kennwort geändert“-Benachrichtigung oder eine „Überweisung veranlasst“-Benachrichtigung Ihrer Bank. 

Hinter diesem lästigen Spam steckt eine raffinierte neue Version einer Denial-of-Service (DoS)-Angriffstaktik, die schnell an Beliebtheit gewinnt.  

Was ist Subscription Bombing?  

Subscription-Bombing-Angriffe erfolgen in kurzen Schüben, bei denen mit Hochgeschwindigkeit tausende E-Mails versendet werden. Dabei werden pro Stunde über 1.500 E-Mails zugestellt, um das Opfer zu überwältigen und den Posteingang innerhalb weniger Minuten vollständig unbrauchbar zu machen. Das eigentliche Ziel dieser unzähligen störenden Nachrichten besteht darin, das Opfer von anderen schädlichen Aktivitäten abzulenken.  

Dabei kann es sich um Kennwortrücksetzungen handeln, die darauf abzielen, das Konto des Anwenders zu übernehmen und ihn von seinem Konto auszusperren. In anderen Fällen versuchen die Angreifer, das Gespräch aus E-Mails in einen anderen Kommunikationskanal (z. B. Teams oder Slack) zu verlagern.  

Das Szenario: Die morgendliche „Lawine“ 

Nachfolgend stellen wir zwei reale Beispiele vor: 

Warnmeldung des Koordinationszentrums des US-Gesundheitsministeriums 

Das Koordinationszentrum für Cybersicherheit im Gesundheitswesen (Health Sector Cybersecurity Coordination Center, HC3) hat eine konkrete Branchenwarnung herausgegeben und davor gewarnt, dass Einrichtungen des Gesundheitswesens und der öffentlichen Gesundheit mit E-Mail-Bombing attackiert werden. Die Warnung weist ausdrücklich darauf hin, wie diese Angriffe die Netzwerkleistung beeinträchtigen und zu direkten Betriebsunterbrechungen führen können, und fordert die Unternehmen auf, zuverlässige Verifikationssysteme zu implementieren. 

„Social Engineering“-Tarnmanöver von Black Basta 

Untersuchungen von Hornetsecurity haben gezeigt, dass die berüchtigte Ransomware-Gruppe Black Basta aktiv Subscription Bombing einsetzt, um durch die Überflutung von Posteingängen Panik und Verwirrung auszulösen. Während der Anwender abgelenkt ist, kontaktiert der Bedrohungsakteur ihn über Microsoft Teams. Dabei gibt er sich als Mitarbeiter des IT-Supports aus und bietet an, „das Spam-Problem zu beheben“. Im nächsten Schritt verleitet er den Anwender, Remote-Zugriffs-Tools wie AnyDesk oder Quick Assist herunterzuladen, mit denen er dann das Netzwerk kompromittieren kann. 

Die Bedrohung: Der Betrug hinter dem Tarnmanöver 

Subscription Bombing ist selten das eigentliche Ziel eines Angriffs, sondern dient vielmehr als Ablenkungsmanöver, das die Kommunikationsfähigkeit des Opfers lähmen und Hinweise auf die Kontokompromittierung verbergen soll. 

Im Gegensatz zu herkömmlichen Angriffen, die auf Schaddaten (z. B. schädliche URLs oder Malware) setzen, machen sich diese Angriffe legitime Marketingautomatisierung zunutze. Bedrohungsakteure verwenden automatisierte Bots, um das Web nach ungeschützten Newsletter-Anmeldeformularen (ohne CAPTCHA-Abfrage) zu durchsuchen. Dann geben sie die E-Mail-Adresse des Opfers gleichzeitig in tausende dieser Formulare ein. 

Da die E-Mails von legitimen Domains wie Mailchimp, HubSpot und echten Unternehmen stammen, verfügen sie über ordnungsgemäße Authentifizierung (SPF/DKIM) und umgehen herkömmliche Spamfilter, die auf Reputationsanalysen basieren. Für herkömmliche E-Mail-Sicherheits-Gateways sieht es einfach so aus, als hätte sich der Anwender hochmotiviert für unzählige Newsletter angemeldet. 

Wie Proofpoint Nexus Angriffe mit Subscription Bombing stoppt 

Während herkömmliche Filter versagen, weil die E-Mails technisch sicher sind, ist unsere KI-gestützte Erkennungstechnologie Proofpoint Nexus® erfolgreich, weil sie die Absicht und Geschwindigkeit der eingehenden E-Mails analysiert. 

Die Proofpoint Nexus-Technologie verwendet eine Kombination mehrerer KI-Module, die diese Angriffe gemeinsam und in Echtzeit identifizieren sowie blockieren. Dadurch werden legitime E-Mails weiterhin zugestellt und das „Bombardement“ abgeblockt. 

So arbeiten die verschiedenen Proofpoint Nexus-Module zusammen, um E-Mail-Bombing zu erkennen und zu blockieren: 

• Proofpoint Nexus LM™ (Language Model): Dieses Modul analysiert Sprachmuster in Nachrichten. Dabei sucht es gezielt nach einer hohen Konzentration von Formulierungen wie „Willkommen bei“ oder „Abonnement-Anmeldung“ sowie nach Identifikationsmerkmalen, die in automatisierten Bestätigungen häufig vorkommen. 
• Proofpoint Nexus RG™ (Relationship Graph): Durch das Verständnis des üblichen Verhaltens Ihrer Anwender erkennt das Nexus RG-Modul Anomalien im Nachrichtenvolumen und in der Geschwindigkeit. Es erkennt bei einem plötzlichen Zustrom von 500 E-Mails pro Sekunde von bisher unbekannten Absendern sofort eine Abweichung von den normalen Aktivitäten des Anwenders. 
• Proofpoint Nexus ML™ (Machine Learning): Wenn diese Signale zusammenlaufen, aktiviert das Proofpoint Nexus ML-Modul den „Bombenschutz“-Modus. Dabei wird die E-Mail-Flut automatisch als Massen-E-Mail mit niedriger Priorität klassifiziert und aus dem Posteingang des Anwenders entfernt. Dadurch wird der Angriff zuverlässig neutralisiert. Die Posteingänge der Anwender bleiben sauber, sodass die kritischen Warnmeldungen, die der Angreifer zu verbergen versucht, gefunden werden. Zudem wird die Produktivität der Anwender nicht beeinträchtigt. 

Neue Trends: Die Bombardierung breitet sich aus 

Subscription Bombing ist Teil eines allgemeinen Trends zu hochvolumigen Ablenkungsangriffen. Wir beobachten, wie Bedrohungsakteure diese Taktiken auf andere Kanäle ausweiten: 

• Form Bombing: Ähnlich wie beim Subscription Bombing zielen diese Angriffe auf Transaktionsformulare ab (z. B. automatisch versendete Formulare von Kontakt- oder Angebotsanfrage-Seiten). Die Opfer erhalten tausende automatische Antworten des Typs „Vielen Dank für Ihre Kontaktaufnahme“. Die Blockierung dieser Angriffe ist oft schwieriger, weil es sich um Transaktions-E-Mails handelt, die keine Aufforderung zum Klicken zur Bestätigung enthalten. 
• SMS Bombing: Auch bekannt als MFA-Überlastung (Multifaktor-Authentifizierung). Bei diesen Angriffen überfluten Bedrohungsakteure das Smartphone eines Anwenders mit Sicherheitscodes oder Textnachrichten. Mit dieser Taktik sollen Opfer häufig dazu verleitet werden, genervt eine betrügerische Anmeldeaufforderung zu akzeptieren – nur damit keine weiteren Benachrichtigungen eingehen. In anderen Fällen sollen Angriffe mit SIM-Austausch verschleiert werden. 

So schützen Sie sich vor Nachrichtenfluten 

In einer Zeit, in der Angreifer ihre Verbrechen mithilfe von legitimem Datenverkehr tarnen, benötigen Unternehmen Schutzmaßnahmen, die Verhaltensweisen und nicht nur schlechte Reputation erkennen. 

Proofpoint Nexus stellt sicher, dass Angriffe zuverlässig gestoppt werden – ganz gleich, wie viel Staub die Angreifer aufwirbeln. Durch die Aktivierung von Schutzmechanismen wie dem „Bombenschutz“-Modus verwandeln wir einen potenziell lähmenden DoS-Angriff in einen Sturm im Wasserglas, sodass Ihre Mitarbeiter und Ihre Geschäftsabläufe geschützt bleiben. 

Wenn Sie mehr darüber erfahren möchten, wie wir Ihr Unternehmen beim Schutz Ihrer Mitarbeiter und Daten vor KI-gestützten Bedrohungen der nächsten Generation unterstützen können, vereinbaren Sie noch heute eine Demo.  

Kontaktieren Sie uns, um mehr darüber zu erfahren, wie Sie sich mit Proofpoint Prime Threat Protection vor Subscription-Bombing-Angriffen und anderen neuen Cybersicherheitsrisiken schützen können.  

Lesen Sie unsere Reihe „Cybersecurity Stop of the Month“     

Wenn Sie mehr darüber erfahren möchten, wie Proofpoint hochentwickelte Angriffe stoppt, lesen Sie die anderen Blog-Beiträge aus dieser Reihe:      

• Wie Bedrohungsakteure KI-Assistenten mit indirekter Prompt-Injection manipulieren (Oktober 2025) 
• BEC-Angriffe auf Behörden (August 2025) 
• Erkennung und Abwehr von Kontoübernahmen (Juli 2025)  
• Adversary-in-the-Middle-Angriffe gegen Microsoft 365 (Juni 2025)  
• Abwehr von Phishing-Angriffen, die von E-Mail zu SMS wechseln (Mai 2025)     
• Wie Cyberkriminelle ihre Opfer mit angeblichen Kryptoguthaben in die Falle locken, um Anmeldedaten und Geld zu stehlen (April 2025)   
• Anmeldedaten-Phishing-Angriff auf Finanzunternehmen (Februar 2025)   
• Phishing mit digitalen Signaturen verursacht fast Katastrophe bei Energieversorger (Januar 2025)   
• So konnte Proofpoint eine Dropbox-Phishing-Kampagne stoppen (Dezember 2024)   
• Proofpoint stoppt Vendor Email Compromise im öffentlichen Sektor (November 2024)   
• SocGholish hält die Gesundheitsbranche in Atem (Oktober 2024)   
• Schutz vor Anbieter-Nachahmungsbetrug (September 2024)    
• Anmeldedaten-Phishing-Angriff auf Anwenderstandort-Daten (August 2024)     
• DarkGate-Malware (Juli 2024)     
• Angriffe durch Nachahmung des CEOs (Juni 2024)    
• Nachahmerangriffe mit Lieferketten als Ziel (Mai 2024)    
• Vereiteln von Angriffen mit speziell erstellten schädlichen Anwendungen (April 2024)     
• Erkennen mehrschichtiger Angriffe mit schädlichen QR-Codes (März 2024)    
• Verhindern von Supply-Chain-Angriffen (Februar 2024)   
• Manipulieren der Multifaktor-Authentifizierung (Januar 2024)       
• Verhaltensbasierte KI zum Stoppen von Umleitung von Gehaltszahlungen (Dezember 2023)      
• Ablauf von Angriffen per Telefon (November 2023)       
• QR-Code-Betrug und Phishing (Oktober 2023)      
• Verhindern von Phishing mit digitalen Signaturen (September 2023)    
• Erkennen und Analysieren von SocGholish-Angriffen (August 2023)    
• Was ist EvilProxy und wie schützen Sie sich? (Juli 2023)   
• Erkennen von BEC- und Supply-Chain-Angriffen (Juni 2023)