{"id":33328,"date":"2026-04-01T16:45:16","date_gmt":"2026-04-01T14:45:16","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33328"},"modified":"2026-04-01T16:45:16","modified_gmt":"2026-04-01T14:45:16","slug":"bubble-no-code-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/bubble-no-code-phishing\/33328\/","title":{"rendered":"Bubble \u2013 jetzt auch als Tool f\u00fcr Phishing-Betrug"},"content":{"rendered":"

Immer mehr KI-basierte App-Builder versprechen, beliebige Ideen schnell und m\u00fchelos zum Leben zu erwecken. Wir wissen leider nur zu gut, wer ununterbrochen auf der Suche nach neuen Ideen ist,\u00a0\u2013 vor allem, weil wir ziemlich gut darin sind, die \u00e4lteren Gedankenblitze dieser Zeitgenossen zu erkennen und zu neutralisieren. Die Rede ist nat\u00fcrlich von Phishing-Betr\u00fcgern. Vor Kurzem haben wir festgestellt, dass ihr Arsenal wieder um einen Trick reicher ist: Sie verwenden den KI-basierten Web-App-Builder Bubble<\/a>, um Websites zu erstellen. H\u00f6chstwahrscheinlich ist diese Taktik bereits \u00fcber eine oder mehrere Phishing-as-a-Service-Plattformen verf\u00fcgbar, und damit ist praktisch garantiert, dass diese K\u00f6der in einer Vielzahl von Angriffen auftauchen werden. Aber schauen wir uns die Sache Punkt f\u00fcr Punkt an.<\/p>\n

Was machen Phishing-Betr\u00fcger mit Bubble?<\/h2>\n

Eine E-Mail, die einen direkten Link zu einer Phishing-Website enth\u00e4lt, ist von vorneherein zum Scheitern verurteilt. Aller Voraussicht nach erreicht die Nachricht ihr Ziel \u00fcberhaupt nicht, weil sie in den Netzen von Sicherheitsfiltern h\u00e4ngen bleibt. Auch bei automatischen Weiterleitungen schrillen die Alarmglocken moderner Sicherheitsl\u00f6sungen. Was ist mit QR-Codes? Theoretisch eine gute Idee: Es gibt keinen Link mehr, daf\u00fcr scannt das Opfer den Code mit seinem Smartphone. Allerdings verlieren die Phisher dabei unweigerlich einen Teil ihres Publikums, denn viele Nutzer w\u00fcrden auf einem privaten Ger\u00e4t nie Unternehmensdaten eingeben. Darum setzen Cyberkriminelle automatisierte Dienste zur Code-Generierung ein.<\/p>\n

Bubble positioniert sich als No-Code-Plattform f\u00fcr die Entwicklung von Web-Apps und mobilen Anwendungen. Ein Nutzer beschreibt \u00fcber eine visuelle Schnittstelle, was er ben\u00f6tigt, und die Plattform generiert eine fertige L\u00f6sung. Phishing-Betr\u00fcger haben sich diese Technologie angeeignet, um Web-Apps zu erstellen, deren Adressen sie dann in Phishing-E-Mails einbetten. Auch diese Apps laufen eigentlich auf eine automatische Weiterleitung zu einer b\u00f6sartigen Website hinaus. Es gibt jedoch einige wesentliche Unterschiede.<\/p>\n

Erstens: Die generierte Webanwendung wird direkt auf den Servern der Plattform gehostet. Die f\u00fcr Phishing-E-Mails geeignete URL sieht in etwa so aus: https:\/\/%name%.bubble.io\/.<\/em> F\u00fcr Sicherheitsl\u00f6sungen wirkt dies wie eine legitime und etablierte Website.<\/p>\n

Zweitens: Der Code f\u00fcr diese Webanwendung sieht nicht wie eine typische Weiterleitung aus. Um ehrlich zu sein: Er l\u00e4sst sich nicht kurz und verst\u00e4ndlich beschreiben. Der von dieser No-Code-Plattform generierte Code ist ein riesiges Durcheinander aus JavaScript und isolierten Shadow-DOM-Strukturen (Document Object Model). Selbst f\u00fcr Experten ist es m\u00fchsam, das Prinzip auf den ersten Blick zu erfassen. Man muss wirklich darin w\u00fchlen, um zu verstehen, wie diese Wirrwarr funktioniert und welchen Zweck er hat. Automatisierte Algorithmen geraten bei einer solchen Webcode-Analyse wahrscheinlich ins Stolpern und halten das Ganze f\u00fcr eine funktionsf\u00e4hige, n\u00fctzliche Website.<\/p>\n

\"Codefragment<\/a>

Codefragment einer Webanwendung, die auf der Bubble-Plattform gehostet wird<\/p><\/div>\n

Was steckt hinter diesen Phishing-Plattformen und was bezwecken sie?<\/h2>\n

Heutzutage entwickeln und implementieren Phishing-Angreifer ihre neuen Tricks selten v\u00f6llig neu. Die meisten verwenden Phishing-Kits (Baus\u00e4tze f\u00fcr betr\u00fcgerische Programme) oder sogar umfassende Phishing-as-a-Service-Plattformen.<\/p>\n

Diese Plattformen bieten Angreifern ein ausgekl\u00fcgeltes (und sehr frustrierendes) Toolkit, das permanent weiterentwickelt wird, um den E-Mail-Versand zu verbessern und die Anti-Phishing-Ma\u00dfnahmen zu umgehen. Mit diesen Tools k\u00f6nnen Angreifer alles M\u00f6gliche anstellen. Hier einige Beispiele: Sitzungscookies abfangen; Google Tasks f\u00fcr das Phishing<\/a> ausnutzen (eine Methode, die wir in einem anderen Artikel beschrieben haben); AiTM-Angriffe (Adversary-in-the-Middle) ausf\u00fchren, um die Zwei-Faktor-Authentifizierung (2FA) zu validieren und in Echtzeit zu umgehen; Phishing-Websites erstellen, die mit Honeypots und Geofencing ausgestattet sind, um sich vor Security-Crawlern zu verbergen; und KI-Assistenten verwenden, um einmalige Phishing-E-Mails zu generieren. Da die Infrastruktur dieser Plattformen normalerweise auf vollkommen legitimen Diensten wie AWS gehostet wird, sind ihre Taktiken noch schwerer zu erkennen.<\/p>\n

Auch die Zielseiten, die dem Diebstahl von Anmeldeinformationen dienen, werden mit denselben Plattformen erstellt. In unserem Beispiel leitet eine auf Bubble gehostete Web-App die Opfer zu einer Website um, die sogar eine Cloudflare-\u00dcberpr\u00fcfung vorsieht und ein Microsoft-Anmeldefenster nachahmt.<\/p>\n

\"Phishing-Formular,<\/a>

Phishing-Formular, mit dem gesch\u00e4ftliche Anmeldedaten erfasst werden<\/p><\/div>\n

Im Paralleluniversum der Angreifer ist Skype offenbar immer noch ein brauchbares Kommunikationsmittel. Ansonsten sieht die Website aber absolut \u00fcberzeugend aus.<\/p>\n

So sch\u00fctzt du dein Unternehmen vor raffinierten Phishing-Angriffen<\/h2>\n

Bei der Reise durch digitale Landschaften m\u00fcssen sich Mitarbeiter heutzutage dar\u00fcber im Klaren sein, dass sie gesch\u00e4ftliche Anmeldedaten nur f\u00fcr Dienste und Websites eingegeben d\u00fcrfen, die zweifelsfrei zum Unternehmen geh\u00f6ren. Mit dem Online-Training von Kaspersky Automated Security Awareness Platform<\/a> kannst du das Bewusstsein deines Teams f\u00fcr moderne Cyberbedrohungen sch\u00e4rfen.<\/p>\n

Nat\u00fcrlich kann auch der vorsichtigste Mitarbeiter in eine Falle tappen. Deshalb unser Rat: alle mit dem Internet verbundenen Arbeitspl\u00e4tze mit robusten Sicherheitsl\u00f6sungen<\/a> ausr\u00fcsten! Dadurch werden alle Versuche, b\u00f6sartige Websites zu besuchen, blockiert. Wichtig ist auch, dass gef\u00e4hrliche E-Mails m\u00f6glichst gar nicht in die Postf\u00e4cher des Unternehmens gelangen. Zu diesem Zweck empfehlen wir den Einsatz eines Gateway-Sicherheitsprodukts mit fortschrittlichen Anti-Phishing-Technologien<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Cyberkriminelle haben Bubble entdeckt, einen KI-basierten App-Builder. Damit erstellen sie Webanwendungen, um gesch\u00e4ftliche Anmeldedaten zu stehlen.<\/p>\n","protected":false},"author":2598,"featured_media":33329,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[62,1520,53],"class_list":{"0":"post-33328","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-ki","12":"tag-phishing"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/bubble-no-code-phishing\/33328\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bubble-no-code-phishing\/31959\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bubble-no-code-phishing\/30565\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bubble-no-code-phishing\/41581\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/bubble-no-code-phishing\/14411\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bubble-no-code-phishing\/55488\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/bubble-no-code-phishing\/23760\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/bubble-no-code-phishing\/24849\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/bubble-no-code-phishing\/30449\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=33328"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33328\/revisions"}],"predecessor-version":[{"id":33334,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/33328\/revisions\/33334"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/33329"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=33328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=33328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=33328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}