Anzeige

Cyber Security

Die Cyberkriminalität hat während der Corona-Pandemie stark zugenommen. Besonders nach den ersten Impferfolgen nutzten Cyberkriminelle diesen Anlass, um Phishing-Kampagnen mit eindeutigem Corona- und Impfbezug zu starten. Umso wichtiger ist es nun zu wissen, welche Gefahren im Internet lauern und wann und wie sie sich formieren.

Wie über das gesamte Jahr zuvor auch erkannten Cyberkriminelle das Potenzial der aktuellen Corona-bezogenen Entwicklungen und erhielten mit der erfolgreichen Herstellung von Impfstoffen neues Material, um die Hoffnung und Neugier der Menschen zu ihrem Vorteil auszunutzen. Webroot, Anbieter von Threat Intelligence Services, kann nun auf Grundlage neuer Statistiken aufzeigen, wie schnell und stark sich Cyberkriminelle der neuen Pandemie-Entwicklungen annahmen.

Ins Netz gegangen: Phishing-Webseiten mit Corona-Bezug steigen erneut rasant an

Nachdem die ersten Impfungen in Umlauf gebracht und erste Patienten mit dem Impfstoff versorgt wurden, interessierten sich andere Menschen immer mehr für die Themen rund um COVID-Medikamente und -Heilmittel, Inhaltsstoffe und Verabreichungsprozesse der verschiedenen Impfungen sowie die Verfügbarkeit des Impfstoffes in ihrer Stadt. Auf diesen Zug sprangen auch Cyberkriminelle auf: Nach den ersten Impfungen stieg die Anzahl der Phishing-Webseiten mit einem klaren Bezug zu diesen Themen. Auf diesen Seiten konnten neugierige Personen landen, die online danach suchten. Aber auch E-Mails beinhalteten Links, die gefährdete Personen auf diese Webseiten locken sollten. 

Webroot konnte mehr als 4.500 neue verdächtige Domains aufdecken, die beispielsweise Kombinationen aus Wörtern wie „COVID-19“, „Corona“ und „Vaccine“ (Impfstoff) enthielten. Es tauchten 2.295 neue Domains mit dem Wort „COVID“, 934 mit dem Wort „Vaccine“ im Titel auf – von denen 611 eine irreführende Schreibweise aufwiesen. Ebenfalls wurde berechnet , dass die Verwendung von „Vaccine“ in verdächtigen Domain-Namen während des gesamten Messzeitraums – vom 8. Dezember 2020 bis zum 6. Januar 2021 – im Vergleich zum März 2020 um 336 Prozent anstieg. Im Vergleich zu den vorangegangenen 30 Tagen stieg die Verwendung auf verdächtigen Webseiten um 94,8 Prozent und unterstreicht somit, dass Cyberkriminelle das konkrete Ereignis in Großbritannien zum Anlass genommen haben, Phishing-Links und -URLs in Umlauf zu bringen.

Mit welchen Hilfsmitteln konnte Webroot, ein Tochterunternehmen von OpenText, diese bedrohlichen Aktivitäten feststellen? Hierfür kam die BrightCloud Threat Intelligence and Malware Detection Platform zum Einsatz, die vom Security Services Provider BrightCloud entwickelt und 2010 von Webroot übernommen wurde. Das zugrundeliegende Prinzip hinter der Plattform lautet: Für ganzheitliche Cybersicherheit ist es entscheidend zu wissen, mit welchen Bedrohungen man es im Internet zu tun hat – welchen Webseiten und Daten kann man trauen und welchen nicht?

1. Web Crawler und Classification Engine

Cyberkriminelle statten Fake-Webseiten mit Malware und Phishing-Systemen aus, die das Endgerät mit Schadcode infizieren oder personenbezogene Daten wie Finanz- oder Login-Informationen sammeln sollen. Die BrightCloud-Plattform macht im Internet Webseiten in Echtzeit ausfindig, die solche Bedrohungen aufweisen. Dafür scannen Machine-Learning-Modelle das Netz und kategorisieren potenziell schadhafte, illegale Webseiten auf Grundlage eines Sicherheitsscores. Gefundene Bedrohungen werden daraufhin einer oder mehrerer von 82 Kategorien zugeteilt – darunter sieben spezifische Schadenskategorien für Phishing, Botnets, Malware-Sites usw. 

2. IP Reputation Engine

Die IP Reputation Engine hält im Internet Ausschau nach Cyberattacken und scannt dafür IP-Adressen, die für schädliche Angriffe genutzt werden. Sie zeichnet auf, um welche Art von Angriff es sich handelt, welches Ziel er hat und versucht zu ermitteln, woher er kommt und wohin die IP-Adresse kommuniziert. IP-Adressen, die aufgrund bedrohlicher Aktivitäten festgestellt wurden, werden alle fünf Minuten für Partner zugänglich gemacht.

3. Malware Detection und Endpoint Security

Zusätzlich zu den bereits genannten Funktionen sammelt das Malware-Detection-System Informationen über Schadsoftware, die auf den Endgeräten der Partner installiert wurde. Der Endpoint Security Agent erkennt und analysiert dabei das Verhalten von Malware, während sie versucht, ein Kundensystem zu infizieren. Es analysiert das Verhaltensprofil des Schadcodes und kann dadurch rekonstruieren, wie dieser verbreitet wird, wohin er kommuniziert und wie er effektiv geblockt werden kann. Dadurch lässt sich ein Wissenspool über die zahlreichen Malware-Daten anlegen, die sich im Umlauf befinden. Dieses Wissen ist der Schlüssel dafür, genaueste Bedrohungsdaten für Partner bereitzustellen.

Aufgrund dieser Akkumulation von Internet-Threat-, IP- und Malware-Daten, können nicht nur genügend Informationen für einen ganzheitlichen Schutz vor Cyberbedrohungen geliefert werden, sondern kann – in Kombination mit historischen Daten – akute Angriffe kontextualisieren, die Beziehungen zueinander ermitteln sowie darauf aufbauend Vorhersagen über künftig entstehende Bedrohungen und Angriffe treffen.

Fazit: Ganzheitliche Sicherheit fortlaufend gewährleisten

Sicherheit im Netz kann nur gelingen, wenn sie ganzheitlich funktioniert und sich stetig weiterentwickelt – schließlich passen Cyberkriminelle ihre Methoden an die Umstände an. Partner von Webroot können die Funktionen der BrightCloud Threat Intelligence and Malware Detection Platform in ihre eigenen Systeme und Anwendungen integrieren und erhalten somit wichtige Insights in Sachen Cyber-Crime-Aktivitäten und anderer Cyberbedrohungen. Sobald das System schädliche Inhalte auf Webseiten sowie Phishing-Vorgänge oder Bedrohungen durch IP-Adressen oder Malware identifiziert, können diese Vorfälle sofort von integrierten Partnerlösungen blockiert werden. Sie sind außerdem für Kunden auf deren Endpoint Security Produkten and DNS Protection Platformen blockiert. Dadurch können Mitarbeiter eines Unternehmens beispielsweise infizierte Webseiten nicht mehr besuchen oder schädliche Software installieren.

Dieses Ökosystem hat einen weiteren Vorteil: Sobald Bedrohungen identifiziert, kategorisiert und geblockt wurden, landen sie für alle Partner einsehbar auf Blacklists, anhand derer sie sich orientieren und präventive Schutzmaßnahmen treffen können. 

Matt Aldridge, Principal Solutions Architect
Matt Aldridge
Principal Solutions Architect, Webroot

Weitere Artikel

Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramm der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…
Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…
Cybersicherheit

Praxisnahes Lernen – IT-Sicherheit in der Industrie 4.0

Die digitale Transformation bringt für produzierende Unternehmen eine Vielzahl an Chancen mit sich. Doch mit der Vernetzung steigt auch das Risiko für Cyberangriffe. Ein ganzheitliches Sicherheitskonzept nach IEC 62443 zur Absicherung der Produktion…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.