Thought Leadership
Cyberkriminelle entwickeln ihre Methoden kontinuierlich weiter – und kombinieren dabei immer häufiger technische Exploits mit psychologischer Manipulation.
Ein aktueller Bericht des CERT-Teams des Cyberversicherers Stoïk zeigt deutlich, dass diese sogenannten hybriden Angriffsmethoden zunehmend erfolgreich klassische Schutzmechanismen umgehen.
Täuschung per Stimme: Gefälschte WhatsApp-Nachrichten
Ein besonders perfider Angriffsvektor ist die Nachahmung von Führungskräften per Sprachnachricht. Betrüger erstellen dabei täuschend echte Audiodateien, die über WhatsApp an Mitarbeitende gesendet werden. Die Nachricht fordert etwa zu Überweisungen auf – mitunter erfolgreich. Stoïk dokumentierte kürzlich einen Fall, der zu erheblichen finanziellen Verlusten führte.
Schadsoftware über manipulierte Browser-Erweiterungen
Ein weiteres Einfallstor für Angriffe: kompromittierte Chrome-Extensions. In mehreren Fällen nutzten Angreifer manipulierte Updates, um Schadcode über verbreitete Erweiterungen wie „Chromstera“ oder „Mike Adblock“ zu verbreiten. Diese infizierten Add-ons blieben zunächst unentdeckt – automatisierte verhaltensbasierte Erkennungsmethoden halfen jedoch, sie aufzuspüren und zu entfernen.
Gefälschte CAPTCHAs installieren Fernzugriffswerkzeuge
Auch vermeintlich harmlose CAPTCHA-Abfragen können zur Falle werden. Stoïk analysierte Angriffe, bei denen Nutzer zur Eingabe eines CAPTCHAs aufgefordert wurden, das im Hintergrund die Installation eines sogenannten Remote Access Tools (RAT) auslöste. Die Schadsoftware tarnte sich anschließend durch die Nachahmung legitimer Systemprozesse und blieb so länger unentdeckt.
Cloud-Umgebungen als neues Schlachtfeld
Vermehrt dienen kompromittierte Zugänge in Cloud-Diensten als Ausgangspunkt für weitergehende Angriffe im internen Netzwerk. Die Angreifer nutzen solche Einstiege für sogenannte laterale Bewegungen – also das Ausbreiten innerhalb eines Netzwerks. In einem dokumentierten Fall konnte durch automatisierte Maßnahmen eine Ausbreitung rechtzeitig gestoppt werden.
Schlussfolgerung: Klassische Abwehrmechanismen reichen nicht mehr aus
Die Vielfalt und Raffinesse aktueller Angriffe zeigen deutlich: Reine Reaktionssysteme oder signaturbasierte Erkennung bieten keinen ausreichenden Schutz mehr. Notwendig sind Systeme, die Verhalten analysieren, Muster frühzeitig erkennen und automatisch Gegenmaßnahmen einleiten können.
Anforderungen an moderne Verteidigung: Automatisierung und Analyse
Stoïks CERT-Team setzt auf einen mehrschichtigen Ansatz zur Bedrohungserkennung, der folgende Komponenten kombiniert:
- Verhaltensanalyse auf Geräte- und Netzwerkebene
- Automatisierte Isolierung betroffener Systeme
- Grafische Analyse von Infektionsketten zur Ursachenermittlung
- Automatisierte Gegenmaßnahmen auf Basis vordefinierter Muster
- Schnelle menschliche Intervention, falls notwendig
Jan Meurer, Leiter des Cybervertriebs bei Stoïk, betont, dass gerade kleinere Unternehmen häufig nicht über ausreichendes Personal für eine manuelle Reaktion auf Sicherheitsvorfälle verfügen. Umso wichtiger sei es, dass Sicherheitslösungen nicht nur warnen, sondern aktiv eingreifen – und dabei von erfahrenen Analystinnen und Analysten unterstützt werden.
