2475434

Cyberkriminelle: Warum wir so leicht auf sie hereinfallen

06.02.2020 | 15:00 Uhr | Dr. Niklas Hellemann

Wieso gehen wir Cyberkriminellen so leicht auf den Leim? Ganz einfach: Die typischen Phisher von heute sind soziale Personen, die effektiv die menschlichen Schwächen auszunutzen wissen.

"Das Kammergericht Berlin ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen“. Mit dieser Nachricht wendet sich die Pressestelle des Berliner Kammergerichts Anfang Oktober 2019 an die Öffentlichkeit. 150 Richter und 370 Angestellte sind seit diesem Tag weitgehend offline.

Bei dem Schädling, der die Systeme des höchsten Berliner Gerichts lahmlegte, handelt es sich um Emotet . Diese Malware ist eine extrem flexible Schadsoftware-Plattform, die hauptsächlich über E-Mails verteilt wird. Wird eine entsprechende Phishing-Mail bzw. der darin befindliche Anhang geöffnet, verbreitet sich der Schädling und kann im schlimmsten Fall komplette Unternehmen und Organisationen lahmlegen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Angriffswelle und stuft Emotet als die „gefährlichste Schadsoftware der Welt“ ein.

Und Emotet ist kein Einzelfall: Mehr als 9 von 10 erfolgreichen Cyberattacken starten mit einer E-Mail bzw. einem auf den Nutzer ausgerichteten Angriff.

Warum es die Angreifer so leicht haben

Technische Gegenmaßnahmen, die dennoch allesamt sinnvoll sind, stoßen hier leider immer häufiger an ihre Grenzen: Spamfilter lassen rund 10 Prozent aller betrügerischen E-Mails durch und Antivirenprogramme können moderne Schadsoftware oft nicht erkennen, da sich deren Code konstant verändert (sogenannter polymorpher Schadcode).

Dazu kommt, dass viele Betriebssysteme und Softwareprogramme nicht auf dem aktuellsten Stand sind – das Kammergericht beispielsweise betrieb zahlreiche Rechner noch mit Windows 95. Alles, was dann noch fehlt, ist ein nichtsahnender Nutzer, der einen falschen Link klickt oder einen falschen Anhang öffnet.

Die Folgen sind dramatisch: Ob Krankenhäuser in Saarland und Rheinland-Pfalz, die Modefirma Marc O’Polo oder eben das Berliner Kammergericht – allein in den letzten Monaten gab es wieder zahlreiche Beispiele für derartige Attacken. Und die Dunkelziffer ist weitaus größer.

Das Spektrum solcher E-Mail-basierten Angriffe reicht von sehr breit angelegten Betrugsversuchen, die für quasi jeden Empfänger passend sein könnten (beispielsweise die auch im privaten Bereich bekannten Betrugsmails von Banken, Online-Shops oder unverhofften Millionenerbschaften) bis hin zu äußerst zielgerichteten Attacken, bei denen die Angreifer im Vorfeld ihr Opfer ausgiebig ausspionieren.

In letzter Zeit wird jedoch auch das sogenannte Dynamite-Phishing immer häufiger: Hierbei wird ein breit angelegter Empfängerkreis mit automatisierten und zielgerichteten (und dadurch glaubwürdigen) Nachrichten adressiert, etwa indem auf eine vermeintliche Mail-Unterhaltung mit einem echten Kollegen Bezug genommen wird. Die Kombination aus Massenmailing und relevantem Aufhänger macht diesen Angriffstypus daher besonders effizient und somit auch besonders gefährlich.

Das Klischee des „dummen Nutzers“ ist unfair und unzutreffend

Über die Jahre haben Hacker und Betrüger sich immer stärker professionalisiert – und stellen beispielsweise wie im Fall der Hacker-Gruppe „Dark Overlord“ auch Job-Ausschreibungen ins Darknet. Sie haben gelernt, sehr effizient vorzugehen und versuchen, wie ein Unternehmen mit möglichst wenig Aufwand möglichst viel Ertrag zu erwirtschaften. Dabei hat sich der Fokus immer mehr von den Schwachstellen der Systeme und Softwarelösungen auf die Schwächen der Nutzer verschoben – eben weil dieser Weg häufig wesentlich effizienter ist.

Die typischen „Phisher“ von heute sind also – ganz anders als das stereotype Bild vom einsamen Hacker im Kapuzenpulli – höchst soziale Personen, die äußerst effektiv die menschlichen Schwächen anderer auszunutzen wissen.

Das negative Klischee des „dummen Nutzers“ greift hier allerdings auch zu kurz und tut gerade Mitarbeitern von Unternehmen unrecht. Denn nur die wenigsten Mitarbeiter klicken böswillig auf Links in verdächtigen E-Mails oder laden einen Virus herunter. Vielmehr nutzen die psychologisch versierten Angreifer sehr starke Prinzipien aus, auf denen unser Denken und Handeln teilweise bereits seit Jahrtausenden basiert. Viele dieser psychologischen Prinzipien wie Hilfsbereitschaft oder Neugier sind unter normalen Umständen (und insbesondere im Arbeitsleben) äußerst nützlich.

Was sind unsere „mentalen Knöpfe“ und warum funktionieren sie so gut?

Im Falle der Hilfsbereitschaft haben unsere Vorfahren beispielsweise gelernt, sich in den immer komplexer werdenden sozialen Gruppen gegenseitig zu unterstützen und so die ganze Gruppe stärker zu machen. Ob aus altruistischen oder egoistischen Motiven: Hilfsbereitschaft ist eine durch und durch vorteilhafte Fähigkeit, denn sie stärkt die soziale Bindung und hilft, in der Gruppe effizienter zu arbeiten. Leider ist es auch gerade diese Eigenschaft, die Phishing-Betrüger allzu häufig ausnutzen, wenn sie beispielsweise  eine Mail versenden, in der ein vermeintlicher Kollege danach fragt, ob man die angehängte Rechnung einmal schnell prüfen könnte.

Auch Neugier ist eine sehr starke Eigenschaft, die sowohl in unserer Entwicklungsgeschichte als auch heute jede Menge positiver Effekte hat. Neugierige Menschen sind glücklicher, besitzen ein höheres Wissen und sind gesünder – wie zahlreiche psychologische Studien belegen.

Allerdings ist es auch die Neugier, die viele Phishing-Mails ausnutzen, wenn beispielsweise ein vermeintliches Dokument vom Scanner in der Vorstandsetage in unserer Mailbox landet. „Nur mal eben hineinschauen, vielleicht ist es ja die neue Bonus-Tabelle oder eine andere spannende Information, die ich eigentlich nicht sehen dürfte“, mag sich mancher Mitarbeiter denken und dabei allzu schnell mit der E-Mail interagieren.

Wie also schaffen es die „Phisher“ genau, dass ihnen hier so viele Nutzer auf den Leim gehen? Welche Manipulationstaktik ist die effektivste, um beispielsweise zu erreichen, dass eine Kontoverbindung eines Lieferanten entgegen der internen Vorschriften abgeändert wird und so hohe Beträge auf fremde Konten von Betrügern überwiesen werden? Auf welche Mechanismen springen Nutzer besonders gut an – und wie kann man sie darin schulen, hier zukünftig vorsichtiger und wachsamer zu sein?

Schlauer werden als die Phisher durch eigene Phishing-Mails

Bei unserer Arbeit in Unternehmen analysieren wir unter anderem auch die verschiedenen Taktiken, die von Cyberkriminellen genutzt werden, um die Nutzer zu manipulieren. Mit Hilfe von simulierten Phishing-Angriffen sensibilisieren und trainieren wir die Mitarbeiter von Unternehmen im Umgang mit derartigen Angriffen – und erforschen gleichzeitig (völlig anonym) die Reaktionen von Endnutzern auf E-Mail-basierte Attacken.

Hierzu werden alle von uns erstellten Mails entlang diverser Kriterien kategorisiert: Ist die Mail eher leicht, mittel oder schwierig zu erkennen? Wird eher der private oder der berufliche Kontext aufgegriffen? Wird z.B. mit Druck und Angst, mit Gewinnversprechen oder doch eher mit Lob und Schmeichelei gearbeitet?

Die Mails werden dann an die Mitarbeiter verschickt, um diese auf derartige Attacken vorzubereiten. Die Mails sind versehen mit anonymen Codes, die uns zwar erlauben, die Interaktion des Nutzers mit der E-Mail (geöffnet, Link geklickt, Anhang geladen, Passwörter eingegeben etc.) zu erheben, trotzdem aber dessen Anonymität gewährleisten.

3 von 4 Nutzern geben ihr Windows-Passwort an

Die in echten Phishing-Mails genutzten Taktiken lassen sich vereinfacht in sechs Bereiche einteilen:

• Druck/Angst

• Vertrauen/Intimität

• Neugier/Interesse

• Autorität

• Hilfsbereitschaft

• Lob/Schmeicheln

In den von uns simulierten Mails bedienen wir uns dieser psychologischen Mechanismen und klassifizieren unsere Angriffe entsprechend. Dadurch können wir untersuchen, für welche Manipulationsversuche die Nutzer ganz besonders anfällig sind – und können in Verbindung mit dem jeweiligen Kontext Hypothesen aufstellen, woran dies liegen könnte.

Simulierte Phishing-Mails sollten hinsichtlich der genutzten psychologischen Taktik analysiert werden
Vergrößern Simulierte Phishing-Mails sollten hinsichtlich der genutzten psychologischen Taktik analysiert werden
© Sosafe

Die systematische Auswertung der Ergebnisse aus mittlerweile über 100 Kundenprojekten zeigt ein teilweise dramatisches Bild. In Summe weisen unsere Simulations-Mails eine durchschnittliche Klickrate von etwa 18 Prozent auf, die „allerbesten“ Mails werden aber von über 80 Prozent aller Nutzer angeklickt. Ist ein Nutzer einmal auf eine Mail reingefallen, liegen die Eingaberaten bei dahinter geschalteten, gefälschten Login-Seiten bei 74 Prozent.

Das bedeutet: 3 von 4 Nutzern, die auf diese Seite kommen, geben dort beispielsweise ihr Windows-Passwort an. Anhand dieser Ergebnisse wird klar, dass akuter Handlungsbedarf besteht, ein stärkeres Bewusstsein für das Thema Phishing zu schaffen.

Die Mail vom Chef wird 50 Prozent öfter angeklickt

Die erfolgreichste E-Mail in unseren Simulationen ist eine Mail, die so aussieht, als käme sie von einer (realen) Führungskraft, und in welcher der Empfänger recht unmissverständlich aufgefordert wird, ein angehängtes Word-Dokument zu öffnen, in dem wichtige Infos enthalten seien. Interessant ist, dass auf die exakt gleiche E-Mail ein Drittel seltener geklickt wird, wenn sie nicht von der Führungskraft, sondern von dessen Assistenz versendet wird. Hier zeigt sich ein weiteres psychologisches Prinzip: Auch Autoritätshörigkeit erhöht die Gefahr, Opfer einer Phishing-Attacke zu werden.

Beispiel einer simulierten Phishing-Mail, die Hilfsbereitschaft und Vertrauen ausnutzt. Die Klickrate beträgt hier zum Teil über 80 Prozent.
Vergrößern Beispiel einer simulierten Phishing-Mail, die Hilfsbereitschaft und Vertrauen ausnutzt. Die Klickrate beträgt hier zum Teil über 80 Prozent.
© Sosafe

Über alle E-Mails hinweg ist die „erfolgreichste“ Taktik jedoch nicht der reine Aufbau von Autorität oder Druck, sondern in der Tat die Ausnutzung von Neugier. So werden E-Mails, in denen vermeintliche Fotos der Weihnachtsfeier, ein peinliches Video oder auch Gehaltsdaten der Kollegen zu finden sind, mit Abstand am stärksten angeklickt.

Das Fatale daran: Für derartige Mails ist meist kaum Vorwissen beim Angreifer erforderlich. Fast jedes Unternehmen macht eine Weihnachtsfeier; und wenn dann Anfang Januar eine entsprechende Mail mit den „Fotos“ folgt, ist die Ausbeute seitens der Phisher entsprechend hoch.

An zweiter Stelle auf der Erfolgsskala der Phisher steht das Vortäuschen von Vertrauen/Intimität, indem der Angreifer beispielsweise vorgibt, ein Kollege oder Geschäftspartner zu sein. Dies ist technisch leider sehr einfach möglich, da die vordergründig angezeigte E-Mailadresse leicht manipuliert werden kann.

Was also kann man tun? Erste Lösungsansätze

Dies alles klingt zunächst einmal recht ernüchternd, gerade wenn es darum geht, an dem Gefährdungslevel etwas zu ändern. Doch handelt es sich bei dabei nicht um einen aussichtslosen Kampf.

Erstens können Firmen beispielsweise Anpassungen an Prozessen und Strukturen vornehmen. Menschen werden sich zwar weiterhin menschlich verhalten – eine Anpassung von Prozessen, Strukturen, etc. kann den Erfolg der genannten Angriffe aber deutlich erschweren, indem beispielsweise immer ein Vier-Augen-Prinzip bei der Änderung von Bank- oder Lieferantendaten erfolgen muss.

Zweitens können Sie zudem Ihre Organisationskultur hinterfragen. So machen sehr starke Hierarchien manche Maschen überhaupt erst möglich. Vielleicht ist das Thema ein guter Anlass, bestimmte Aspekte der internen Zusammenarbeit zu verändern?

Zu guter Letzt können Sie für Aufklärung sorgen. Ebenfalls aus der Psychologie ist nämlich bekannt, dass Manipulationsversuche wesentlich weniger effektiv sind, wenn dem Opfer der Mechanismus der Überzeugung bekannt ist.

Die Thematisierung der Problematik und ein effektives Training zur Erkennung der genutzten Maschen zeigt daher Wirkung: So können bei unseren Kunden die Klickraten schon nach wenigen Wochen um durchschnittlich 69 Prozent reduziert werden. Und der Wert sinkt weiter (und bleibt niedrig), wenn kontinuierlich weiter trainiert wird.

BSI warnt: Verseuchte E-Mails von Bundesbehörden

PC-WELT Marktplatz

2475434