Der Quelltext zeichnet Phishing als klassisches Massengeschäft, das durch KI zu einer regelrechten Volumenmaschine geworden sei. Angreifer könnten heute nicht nur glaubwürdiger formulierte Nachrichten erzeugen, sondern auch Inhalte schneller variieren und ihre Infrastruktur rascher austauschen. Für Tier-1-Teams in einem SOC habe das zur Folge, dass sich weniger Warnmeldungen schnell als harmlos einstufen lassen.

Nach dieser Darstellung steigt damit der Prüfaufwand pro Fall. Tier 1 verbringe mehr Zeit mit einzelnen Warnmeldungen und leite mehr unklare Fälle an Tier 2 weiter, wo eine weitere Sichtung nötig werde. Wächst der Rückstau, könnten kritische Bedrohungen länger in der Warteschlange liegen bleiben. Der Quelltext nennt dabei konkret Versuche zum Diebstahl von Zugangsdaten oder zur Zustellung von Schadsoftware, die sich zwischen Routineprüfungen verlieren könnten.

Mehr manuelle Kontrollen seien dafür laut Text keine Lösung. Wenn das Phishing-Aufkommen zunehme, brauche Tier 1 einen Weg, mehr Warnmeldungen zu untersuchen, ohne zusätzliche Zeit in repetitive Schritte zu investieren oder jeden unklaren Fall an erfahrenere Teams weiterzureichen. Als geeigneten Ansatz beschreibt der Quelltext eine Kombination aus automatisierten Prüfungen, verhaltensbasierter Transparenz und vorgefertigten Berichten, damit Analysten schneller zu einem klaren Urteil kommen.

Ein zentrales Problem sei dabei, dass KI es Angreifern erleichtere, professionell wirkende Köder zu erstellen und neue Varianten schneller auszurollen, als Reputationsprüfungen mithalten könnten. Selbst wenn eine Nachricht glaubwürdig wirke und eine Adresse noch keine bekannte Historie habe, müsse Tier 1 rasch nachvollziehen können, was nach einem Klick passiert. Genau hier setzt nach Darstellung des Textes die Interactive Sandbox von ANY.RUN an: Verdächtige Links lassen sich in einer echten Browser-Umgebung öffnen, frei bedienen und entlang der gesamten Angriffskette verfolgen, ohne Geräte oder Infrastruktur des Unternehmens zu gefährden.

Als Praxisbeispiel nennt der Quelltext einen aktuellen Fall, bei dem ein unscheinbar wirkender LinkedIn-Drive-Link auf eine gefälschte Microsoft-365-Anmeldeseite führte. Ziel der Seite sei der Diebstahl von Unternehmenszugängen gewesen. Die Phishing-Inhalte seien über AWS CloudFront gehostet worden und hätten kostenlose E-Mail-Domänen ausgefiltert, um unauffälliger zu bleiben. In der Sandbox sei die vollständige Kette in weniger als 60 Sekunden sichtbar geworden.

Der Text argumentiert weiter, dass klassische Automatisierung Phishing-Seiten übersehen könne, wenn diese erst nach einer Weiterleitung, einem CAPTCHA oder einer bestimmten Nutzeraktion erscheinen. Das spare zwar Zeit bei Basisprüfungen, liefere Tier-1-Teams aber oft unvollständige Ergebnisse und führe zu zusätzlicher manueller Nacharbeit. ANY.RUN verbinde Automatisierung deshalb mit Interaktivität: Die Sandbox öffne verdächtige Links in einem isolierten Browser, navigiere durch Seiten, löse CAPTCHAs und stoße verborgene Schritte in der Phishing-Kette an. Bei Bedarf könnten Analysten jederzeit selbst eingreifen.

Auch bei der Übergabe an Tier 2 sieht der Quelltext Reibungsverluste. Selbst wenn Tier 1 eine Bedrohung bestätigt habe, koste die Eskalation Zeit, wenn Erkenntnisse über mehrere Werkzeuge verteilt seien und erfahrenere Teammitglieder dieselben Prüfungen wiederholen müssten. Hier verweist der Text auf den Tier 1 Report von ANY.RUN. Dieser fasse das Urteil, zentrale IOCs, Verhaltensindikatoren und eine Zuordnung zu MITRE ATT&CK zusammen. Eine KI-Zusammenfassung erläutere, was passiert sei und warum die Aktivität bösartig sei; KI-Empfehlungen schlössen daran Vorschläge für die nächsten Untersuchungs- und Reaktionsschritte an.

Statt rohe technische Daten an Tier 2 weiterzugeben, könne Tier 1 damit laut Quelltext einen strukturierten Bericht übergeben, der für Eskalation und schnellere Maßnahmen direkt nutzbar sei. Als Effekt nennt ANY.RUN eine bis zu dreifach schnellere Triage bei 30 Prozent weniger Eskalationen.