Anzeige

Cyber Security

Die Cyberkriminalität hat während der Corona-Pandemie stark zugenommen. Besonders nach den ersten Impferfolgen nutzten Cyberkriminelle diesen Anlass, um Phishing-Kampagnen mit eindeutigem Corona- und Impfbezug zu starten. Umso wichtiger ist es nun zu wissen, welche Gefahren im Internet lauern und wann und wie sie sich formieren.

Wie über das gesamte Jahr zuvor auch erkannten Cyberkriminelle das Potenzial der aktuellen Corona-bezogenen Entwicklungen und erhielten mit der erfolgreichen Herstellung von Impfstoffen neues Material, um die Hoffnung und Neugier der Menschen zu ihrem Vorteil auszunutzen. Webroot, Anbieter von Threat Intelligence Services, kann nun auf Grundlage neuer Statistiken aufzeigen, wie schnell und stark sich Cyberkriminelle der neuen Pandemie-Entwicklungen annahmen.

Ins Netz gegangen: Phishing-Webseiten mit Corona-Bezug steigen erneut rasant an

Nachdem die ersten Impfungen in Umlauf gebracht und erste Patienten mit dem Impfstoff versorgt wurden, interessierten sich andere Menschen immer mehr für die Themen rund um COVID-Medikamente und -Heilmittel, Inhaltsstoffe und Verabreichungsprozesse der verschiedenen Impfungen sowie die Verfügbarkeit des Impfstoffes in ihrer Stadt. Auf diesen Zug sprangen auch Cyberkriminelle auf: Nach den ersten Impfungen stieg die Anzahl der Phishing-Webseiten mit einem klaren Bezug zu diesen Themen. Auf diesen Seiten konnten neugierige Personen landen, die online danach suchten. Aber auch E-Mails beinhalteten Links, die gefährdete Personen auf diese Webseiten locken sollten. 

Webroot konnte mehr als 4.500 neue verdächtige Domains aufdecken, die beispielsweise Kombinationen aus Wörtern wie „COVID-19“, „Corona“ und „Vaccine“ (Impfstoff) enthielten. Es tauchten 2.295 neue Domains mit dem Wort „COVID“, 934 mit dem Wort „Vaccine“ im Titel auf – von denen 611 eine irreführende Schreibweise aufwiesen. Ebenfalls wurde berechnet , dass die Verwendung von „Vaccine“ in verdächtigen Domain-Namen während des gesamten Messzeitraums – vom 8. Dezember 2020 bis zum 6. Januar 2021 – im Vergleich zum März 2020 um 336 Prozent anstieg. Im Vergleich zu den vorangegangenen 30 Tagen stieg die Verwendung auf verdächtigen Webseiten um 94,8 Prozent und unterstreicht somit, dass Cyberkriminelle das konkrete Ereignis in Großbritannien zum Anlass genommen haben, Phishing-Links und -URLs in Umlauf zu bringen.

Mit welchen Hilfsmitteln konnte Webroot, ein Tochterunternehmen von OpenText, diese bedrohlichen Aktivitäten feststellen? Hierfür kam die BrightCloud Threat Intelligence and Malware Detection Platform zum Einsatz, die vom Security Services Provider BrightCloud entwickelt und 2010 von Webroot übernommen wurde. Das zugrundeliegende Prinzip hinter der Plattform lautet: Für ganzheitliche Cybersicherheit ist es entscheidend zu wissen, mit welchen Bedrohungen man es im Internet zu tun hat – welchen Webseiten und Daten kann man trauen und welchen nicht?

1. Web Crawler und Classification Engine

Cyberkriminelle statten Fake-Webseiten mit Malware und Phishing-Systemen aus, die das Endgerät mit Schadcode infizieren oder personenbezogene Daten wie Finanz- oder Login-Informationen sammeln sollen. Die BrightCloud-Plattform macht im Internet Webseiten in Echtzeit ausfindig, die solche Bedrohungen aufweisen. Dafür scannen Machine-Learning-Modelle das Netz und kategorisieren potenziell schadhafte, illegale Webseiten auf Grundlage eines Sicherheitsscores. Gefundene Bedrohungen werden daraufhin einer oder mehrerer von 82 Kategorien zugeteilt – darunter sieben spezifische Schadenskategorien für Phishing, Botnets, Malware-Sites usw. 

2. IP Reputation Engine

Die IP Reputation Engine hält im Internet Ausschau nach Cyberattacken und scannt dafür IP-Adressen, die für schädliche Angriffe genutzt werden. Sie zeichnet auf, um welche Art von Angriff es sich handelt, welches Ziel er hat und versucht zu ermitteln, woher er kommt und wohin die IP-Adresse kommuniziert. IP-Adressen, die aufgrund bedrohlicher Aktivitäten festgestellt wurden, werden alle fünf Minuten für Partner zugänglich gemacht.

3. Malware Detection und Endpoint Security

Zusätzlich zu den bereits genannten Funktionen sammelt das Malware-Detection-System Informationen über Schadsoftware, die auf den Endgeräten der Partner installiert wurde. Der Endpoint Security Agent erkennt und analysiert dabei das Verhalten von Malware, während sie versucht, ein Kundensystem zu infizieren. Es analysiert das Verhaltensprofil des Schadcodes und kann dadurch rekonstruieren, wie dieser verbreitet wird, wohin er kommuniziert und wie er effektiv geblockt werden kann. Dadurch lässt sich ein Wissenspool über die zahlreichen Malware-Daten anlegen, die sich im Umlauf befinden. Dieses Wissen ist der Schlüssel dafür, genaueste Bedrohungsdaten für Partner bereitzustellen.

Aufgrund dieser Akkumulation von Internet-Threat-, IP- und Malware-Daten, können nicht nur genügend Informationen für einen ganzheitlichen Schutz vor Cyberbedrohungen geliefert werden, sondern kann – in Kombination mit historischen Daten – akute Angriffe kontextualisieren, die Beziehungen zueinander ermitteln sowie darauf aufbauend Vorhersagen über künftig entstehende Bedrohungen und Angriffe treffen.

Fazit: Ganzheitliche Sicherheit fortlaufend gewährleisten

Sicherheit im Netz kann nur gelingen, wenn sie ganzheitlich funktioniert und sich stetig weiterentwickelt – schließlich passen Cyberkriminelle ihre Methoden an die Umstände an. Partner von Webroot können die Funktionen der BrightCloud Threat Intelligence and Malware Detection Platform in ihre eigenen Systeme und Anwendungen integrieren und erhalten somit wichtige Insights in Sachen Cyber-Crime-Aktivitäten und anderer Cyberbedrohungen. Sobald das System schädliche Inhalte auf Webseiten sowie Phishing-Vorgänge oder Bedrohungen durch IP-Adressen oder Malware identifiziert, können diese Vorfälle sofort von integrierten Partnerlösungen blockiert werden. Sie sind außerdem für Kunden auf deren Endpoint Security Produkten and DNS Protection Platformen blockiert. Dadurch können Mitarbeiter eines Unternehmens beispielsweise infizierte Webseiten nicht mehr besuchen oder schädliche Software installieren.

Dieses Ökosystem hat einen weiteren Vorteil: Sobald Bedrohungen identifiziert, kategorisiert und geblockt wurden, landen sie für alle Partner einsehbar auf Blacklists, anhand derer sie sich orientieren und präventive Schutzmaßnahmen treffen können. 

Matt Aldridge, Principal Solutions Architect
Matt Aldridge
Principal Solutions Architect, Webroot

Weitere Artikel

Hacker-Travel

Sommerzeit – Urlaubszeit – wie Mitarbeiter sich vor Cyberattacken schützen können

„Habt ihr Tipps für Reiseziele?“, „Wer kennt ein gutes Hotel auf Bali?“, „Ich bin dann mal zwei Wochen weg“ – der Sommer ist zurück, Reisen ist wieder erlaubt (wenn auch mit den ein oder anderen Vorgaben) und das Fernweh kann gestillt werden.
Cyber Security

SASE etabliert sich als zentraler Trend der IT-Sicherheit

Unternehmen müssen die Sicherheit ihrer IT-Infrastruktur neu definieren, weil immer mehr Mitarbeiter im Homeoffice arbeiten.
Olympische Spiele

Cybersicherheit bei den Olympischen Spielen in Tokio

Seit den Olympischen Spielen 2004 in Athen ist Cybersicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC). Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur hat zu erhöhten…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.