Eine neue, hochgradig ausgefeilte Phishing-Welle namens Operation Chimera durchbricht aktuell die Sicherheitssysteme deutscher Unternehmen. Die Angreifer nutzen eine mehrstufige Taktik mit QR-Codes und harmlos wirkenden Cloud-Links, um auch die Zwei-Faktor-Authentifizierung (MFA) zu umgehen. Sicherheitsforscher warnen eindringlich vor dieser neuen Eskalationsstufe der Cyberkriminalität.
So trickst die mehrstufige Attacke Sicherheitssysteme aus
Anders als traditionelle Phishing-Mails mit einem direkten Schadlink entfaltet sich Operation Chimera in mehreren, scheinbar unverdächtigen Schritten. Die erste E-Mail enthält oft nichts Offenkundig-Bösartiges und passiert so automatische Filter. Interagiert ein Mitarbeiter mit diesem Köder, wird er über eine Kette von Weiterleitungen schließlich auf eine betrügerische Login-Seite gelockt – außerhalb der geschützten Unternehmensumgebung.
„Die Angreifer zerstückeln den Angriff in harmlos wirkende Einzelschritte“, erklärt ein Sicherheitsanalyst. QR-Codes oder Links zu echten Cloud-Diensten bauen dabei ein trügerisches Gefühl von Sicherheit auf. Das Ziel ist nicht nur das Passwort: Haben die Kriminellen erst Zugang, kapern sie aktive Sitzungen. Durch das Stehlen von Session-Cookies können sie eigene Geräte als vertrauenswürdig registrieren oder über OAuth-Berechtigungen Dauereinfallstore schaffen. Diese Methode macht gängige MFA-Verfahren wie Push-Benachrichtigungen wirkungslos.
Alte Schwachstellen und neue Tricks: Die Doppel-Bedrohung
Während Operation Chimera auf raffinierte Psychologie setzt, nutzen andere Kampagnen weiterhin simple, aber ungepatchte Lücken. So verbreitet eine separate Attacke, die am 12. Februar bekannt wurde, den Schadstoff XWorm. Sie nutzt eine seit 2018 bekannte Microsoft Office-Schwachstelle (CVE-2018-0802) – ein alarmierendes Zeichen für mangelndes Patch-Management in vielen Betrieben.
Die Bedrohung durch solche alten Lücken wird durch ständig neue Schwachstellen verstärkt. Die US-Cybersicherheitsbehörde CISA setzte diese Woche sechs aktiv ausgenutzte Microsoft-Lücken auf ihre Prioritätenliste. Einige davon umgehen Sicherheitswarnungen in Word oder Windows, sodass beim Öffnen manipulierter Dokumente sofort Schadcode ausgeführt wird – ein perfektes Werkzeug für Phishing.
Der Faktor Mensch: Social Engineering auf dem Höhepunkt
Gemeinsam ist allen Bedrohungen die Manipulation menschlichen Verhaltens. Dazu zählen auch die aktuellen Warnungen des FBI vor Romance- und „Pig-Butchering“-Scams rund um den Valentinstag. Bei diesen Betrugsmaschen bauen Kriminelle über Monate emotionale Beziehungen auf, um Opfer zu betrügerischen Krypto-Investitionen zu überreden.
Diese langfristigen Strategien teilen eine Grundlage mit Operation Chimera: Sie missbrauchen Vertrauen und Dringlichkeit, um technische Verteidigungen zu umgehen. Die Behörden raten zu äußerster Skepsis bei Online-Bekanntschaften, die schnell zu Geldgesprächen oder zweifelhaften Investments drängen.
Folgen für die IT-Sicherheit: MFA allein reicht nicht mehr
Die mehrstufigen Angriffe zeigen, dass Phishing sich von einer lästigen zu einer komplexen, technisierten Bedrohung gewandelt hat. Die weit verbreitete Annahme, MFA sei ein Allheilmittel, wird herausgefordert. Die Angreifer knacken die Authentifizierung nicht, sondern tricksen Nutzer aus, ihnen Zugang über legitime Prozesse zu gewähren.
Wenn solche gezielten Phishing-Kampagnen Unternehmen in die Knie zwingen können, lohnt es sich, die Sicherheitsstrategie zu überdenken. Ein kostenloses E‑Book liefert praxisnahe Maßnahmen, Awareness-Trends und sofort umsetzbare Schritte für IT-Verantwortliche und Entscheider – ohne große Investitionen. Jetzt kostenlosen Cyber-Security-Guide herunterladen
Experten betonen die Notwendigkeit von kontinuierlicher Sicherheitsschulung. Besorgniserregend ist die niedrige Melderate: Nur etwa fünf Prozent der Phishing-Versuche werden an Security-Teams gemeldet. So können Angreifer ihre Taktik ungestört verfeinern. Die Verteidigung muss sich nun auf geduldige Gegner einstellen, die erst Vertrauen aufbauen, bevor sie zuschlagen.
Was Unternehmen und Nutzer jetzt tun müssen
Die Bedrohungslage erfordert ein Umdenken. Unternehmen müssen bekannte Schwachstellen, besonders die von CISA gelisteten, priorisiert schließen. Die Security-Awareness-Schulungen müssen sich wandeln: Es geht nicht mehr nur darum, schlecht formulierte E-Mails zu erkennen, sondern die subtilen Zeichen von Social Engineering – wie unerwartete QR-Code-Anfragen oder Druck, gegen normale Prozesse zu verstoßen.
Die wirksamste Verteidigung bleibt eine wachsame und geschulte Belegschaft. Privatpersonen und Firmen sollten eine Zero-Trust-Haltung gegenüber unerbetenen Kommunikationen einnehmen: Aufforderungen über separate Kanäle verifizieren und verdächtige Aktivitäten sofort melden. In einem Umfeld, in dem Angreifer Technik und Psychologie geschickt verbinden, sind proaktive Wachsamkeit und eine gelebte Sicherheitskultur der beste Schutz.
