Wie Cloaking Phishing-Angriffe tarnt
Klassische E-Mail-Sicherheitslösungen prüfen URLs beim Eingang einer Nachricht. Ist die verlinkte Seite unauffällig, darf die E-Mail den Posteingang erreichen. Doch was, wenn Sicherheitssysteme etwas anderes sehen als die Nutzer, die später auf den Link klicken? Cloaking-Techniken machen genau das möglich – und stellen damit ein grundlegendes Prinzip der URL-Filterung infrage.
Die zwei Gesichter einer Webseite
Cloaking bezeichnet eine Technik, bei der ein Webserver je nach Besucher unterschiedliche Inhalte ausliefert. Im Kontext von Phishing bedeutet das: Sicherheitsscanner sehen eine harmlose Seite, während echte Nutzer beispielsweise auf eine täuschend echte Login-Maske treffen.
Die Entscheidung, welche Version ausgeliefert wird, trifft der Server anhand verschiedener Merkmale der eingehenden Anfrage. Dazu zählen die IP-Adresse, der geographische Standort, der sogenannte User Agent (eine Kennung, die den verwendeten Browser identifiziert), der Referrer (die Herkunftsseite des Besuchers) sowie Zeitpunkt und Häufigkeit der Zugriffe.
Das Ergebnis: Automatisierte Prüfungen stufen die URL als unbedenklich ein, während das Phishing unentdeckt bleibt.
Wie funktioniert Cloaking?
Ein Cloaking-System arbeitet wie ein Filter vor der eigentlichen Phishing-Seite. Bei jeder eingehenden Anfrage durchläuft der Server eine Prüflogik, die anhand verschiedener Merkmale entscheidet, welche Version der Seite ausgeliefert wird.
Zunächst analysiert das System die IP-Adresse des Besuchers. Gehört sie zu einem bekannten Sicherheitsanbieter, einem Cloud-Rechenzentrum oder einem Hosting-Provider, stammt die Anfrage mit hoher Wahrscheinlichkeit von einem automatisierten Scanner.
Parallel dazu wird der User Agent ausgewertet – also die Kennung, mit der sich der anfragende Browser identifiziert. Meldet sich dieser als bekannter Sicherheits-Crawler, ist eine manuelle oder automatisierte Analyse wahrscheinlich.
Ein weiteres Prüfkriterium ist der Referrer. Dieser gibt an, von welcher Seite der Besucher kommt. Cloaking-Systeme prüfen, ob die Anfrage tatsächlich über den Link in der Phishing-E-Mail erfolgte. Fehlt der Referrer oder verweist er auf eine Suchmaschine, handelt es sich vermutlich nicht um ein echtes Opfer.
Manche Systeme arbeiten zusätzlich mit Zeitfenstern und aktivieren die Phishing-Seite erst Stunden nach dem E-Mail-Versand – wenn die initiale Sicherheitsprüfung längst abgeschlossen ist.
Erkennt das System anhand dieser Kriterien einen potenziellen Scanner, liefert es eine Ausweichseite: eine Fehlermeldung, eine leere Seite oder sogar legitim wirkenden Content. Das echte Opfer hingegen sieht die Phishing-Seite.
Cloaking und E-Mail: Kombinierte Angriffstechniken
Angreifer kombinieren Cloaking häufig mit weiteren Verschleierungsmethoden, um die Erkennung zusätzlich zu erschweren.
Statt direkt zur Phishing-Seite zu verlinken, führt der Weg oft über mehrere Weiterleitungen – nicht selten über vertrauenswürdige Plattformen wie Google oder Microsoft.
Eine weitere Technik ist das sogenannte Quishing: Dabei wird der schädliche Link nicht als Text, sondern als QR-Code in die E-Mail eingebettet. Viele URL-Scanner analysieren nur Textinhalte und übersehen eingebettete Codes vollständig.
Noch einen Schritt weiter geht HTML-Smuggling, bei dem die Phishing-Seite gar nicht verlinkt, sondern als verschlüsselter oder fragmentierter Code im HTML-Anhang der E-Mail mitgeliefert wird. Erst im Browser des Empfängers setzt sich die Seite zusammen – für serverseitige Analysen bleibt sie unsichtbar.
Besonders effektiv ist die zeitverzögerte Aktivierung: Die URL führt zunächst zu einer harmlosen Seite, und erst nach Abschluss der Sicherheitsprüfung wird die eigentliche Phishing-Seite freigeschaltet. Diese Technik nutzt die Tatsache aus, dass viele Systeme URLs nur einmalig beim E-Mail-Eingang prüfen.
Beispiel für einen Cloaking-Angriff
In unserem Beispiel wird Cloaking verwendet, um die User auf ein mobiles Endgerät zu leiten. Aus Sicht der Unternehmenssicherheit befindet sich der Nutzer dann außerhalb des geschützten und überwachten Bereichs des Unternehmens – möglicherweise auf einem privaten Endgerät, welches sich nicht im Netzwerk befindet, sondern direkt über den Provider mit dem Internet verbunden ist. Hier können dann keine Zugriffe protokolliert oder Verbindungen zu bekannten schadhaften Seiten unterbunden werden. Alles, was nach diesem “Medienbruch” stattfindet, ist dann für die interne IT weder nachvollziehbar noch im Nachgang reproduzierbar.
Screenshot einer Phishing-Webseite von Anfang Dezember 2025, welche Cloaking verwendet. Nur mit dem richtigen User Agent wird man zur Phishing-Webseite weitergeleitet.
Aktuelle Erkennung der Domäne: VirusTotal
Die Machine-Learning-Modelle in 32Guards haben diese Website erfolgreich anhand des sehr speziellen Sendemusters erkannt. Auch wenn die 32Guards Crawler-Infrastruktur hier nicht die Weiterleitung mitbekommen hat, so stellen verschiedene Erkennungsmechanismen in 32Guards sicher, das hier eine Erkennung stattfinden kann.
Warum klassische Abwehrmechanismen an Grenzen stoßen
Die meisten E-Mail-Security-Lösungen prüfen eingehende URLs gegen Blocklisten; die verlinkten Seiten werden automatisiert analysiert. Cloaking untergräbt beide Ansätze:
Das grundlegende Problem: Sicherheitslösungen können nicht mit Gewissheit feststellen, was ein echter Nutzer sehen würde, wenn sie selbst als Prüfsystem identifizierbar sind.
NoSpamProxy und 32Guards schützen vor Cloaking
Cloaking-Angriffe zeigen immer wieder: Einzelne Schutzmaßnahmen reichen nicht aus. Wirksamer Schutz erfordert eine Kombination aus verschiedenen technischen Maßnahmen. NoSpamProxy und das metadatenbasierte 32Guards bieten gleich mehrere Technologien, die Sie wirksam vor Cloaking schützen.
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy Protection schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen Phishing-E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!
