Spear-Phishing-Psychologie

24 Jan 2019

Wenn von Schwachstellen die Rede ist, verstehen wir darunter im Allgemeinen Codierungsfehler und Schwächen in Informationssystemen. Es gibt jedoch auch andere Schwachstellen, die sich direkt im Kopf eines potenziellen Opfers befinden.

Dabei geht es nicht um mangelnde Awareness oder die Vernachlässigung der Cybersicherheit – der Umgang mit diesen Problemen ist mehr oder weniger klar. Nein, es geht viel mehr darum, dass das Gehirn der Nutzer unter dem Einfluss von Social Engineering oftmals anders funktioniert, als es die meisten IT-Sicherheitsgurus gerne hätten.

Im Grunde genommen ist Social Engineering nichts anderes als eine Fusion von Soziologie und Psychologie. SE ist eine Reihe von Techniken, die zur Kreation einer bestimmten Umgebung bestimmt sind, und dann zu einem vorgegebenen Ergebnis führen. In der Tat können Cyberkriminelle auf die Ängste, Emotionen, Gefühle und Reflexe der Menschen eingehen, um dann Zugang zu nützlichen und vor allem wertvollen Informationen zu erhalten. Und es ist größtenteils eben diese „Wissenschaft“, der eine Vielzahl der heutigen zielgerichteten Angriffe zugrunde liegt.

Vier wesentliche Gefühle und Empfindungen, auf die Betrüger Jagd machen, sind:

  • Neugier
  • Mitleid
  • Angst
  • Gier

Sie als Schwachstellen zu bezeichnen wäre nicht richtig, da es sich hierbei um völlig normale, menschliche Gefühle handelt. Eine zutreffendere Bezeichnung wäre eventuell „Einflusskanäle“, über die Manipulatoren versuchen, ihre Opfer zu beeinflussen, im Idealfall sogar so sehr, dass das Gehirn der Zielperson automatisch aktiviert, aber das kritische Denken dabei völlig ignoriert wird. Um dies zu erreichen, haben Cyberkriminelle zahlreiche Tricks auf Lager. Natürlich funktionieren manche Maschen bei bestimmten Leuten besser als bei anderen; Wir haben uns dennoch dazu entschlossen, einen Blick auf die häufigsten Cybertricks zu werfen und genau zu erklären, wie diese verwendet werden.

Respekt vor Autoritäten

Dieser Trick beruht auf der sogenannten kognitiven Verzerrung – ein Sammelbegriff für systematische fehlerhafte Neigungen beim Wahrnehmen, Denken und Urteilen. Sie ist in der Neigung verwurzelt, Personen mit einem gewissen Grad an Erfahrung oder Macht zweifellos zu gehorchen und die eigenen Urteile über die Zweckmäßigkeit einer solchen Handlung zu ignorieren.

In der Praxis kann das möglicherweise eine Phishing-E-Mail sein, die angeblich von Ihrem Chef stammt. Sicher, wenn Sie in der Mail aufgefordert werden, sich selbst zu filmen und das Video an zehn Freunde zu schicken, denken Sie vielleicht zweimal darüber nach, von wem die Nachricht tatsächlich stammt. Wenn Sie aber von Ihrem Vorgesetzten aufgefordert werden, die neue Projektdokumentation im Anhang zu lesen, machen Sie das vermutlich auch.

Zeitdruck

Eine der häufigsten psychologischen Manipulationstechniken besteht darin, ein Gefühl der Dringlichkeit beim Nutzer zu erzeugen. Wenn Sie eine fundierte, rationale Entscheidung treffen, ist es normalerweise eine gute Idee, die relevanten Informationen detailliert zu überprüfen. Und das braucht Zeit. Und es ist eben dieses kostbare Gut, das die Betrüger versuchen, ihren Opfern zu verwehren.

Manipulatoren machen den Nutzern oft Angst („Jemand hat versucht, auf Ihr Konto zuzugreifen. Sollten Sie nicht versucht haben, auf Ihr Konto zuzugreifen, klicken Sie sofort auf diesen Link …“) oder sind auf der Suche nach leicht verdientem Geld („Nur die ersten 10 Nutzer können den Rabatt in Anspruch nehmen“). Wenn einem die Zeit davonzurennen scheint, steigt die Wahrscheinlichkeit, dass man seinem Instinkt erliegt und statt einer rationalen eine emotionale Entscheidung trifft.

Nachrichten, die „dringend“ und „wichtig“ geradezu in die Welt posaunen, gehören zu dieser Kategorie. Relevante Wörter werden oft rot – die Farbe der Gefahr – markiert, um ihre Wirkung zu verstärken.

Automatismen

In der Psychologie sind Automatismen Handlungen, die ohne direkte Beteiligung des Bewusstseins ausgeführt werden. Automatismen können primär oder sekundär sein. Darüber hinaus werden Automatismen als motorisch, sprachlich oder mental eingestuft.

Cyberkriminelle versuchen beim Senden von Nachrichten Automatismen auszulösen, die bei einigen Empfängern möglicherweise eine automatische Antwort erzeugen. Dazu gehören beispielsweise „Senden der E-Mail fehlgeschlafen, zum erneuten Senden hier klicken“-Nachrichten, nervige Newsletter mit einem verführerisch großen „Abmelden“-Button sowie falsche Benachrichtigungen über neue Kommentare auf sozialen Netzwerken. Die Reaktion ist in diesem Fall das Ergebnis sekundärer motorischer und mentaler Automatismen.

Unerwartete Enthüllungen

Hierbei handelt es sich um eine weitere, relativ häufig vorkommende Art der Manipulation. Dabei wird die Tatsache ausgenutzt, dass Informationen, die als ehrliches Eingeständnis eines Fehlers oder Problems verpackt sind, weniger kritisch wahrgenommen werden, als wenn sie vom Nutzer selbst entdeckt würden.

In der Praxis könnte es sich dabei beispielsweise um folgende Nachricht handeln: „Wir müssen Ihnen leider mitteilen, dass wir einen Datenleck erlitten haben. Bitte überprüfen Sie, ob Sie sich in der Liste der Betroffenen befinden.“

Das können Sie tun

Wahrnehmungsverzerrungen, die Cyberkriminellen wohl oder übel in die Hände spielen, sind von biologischer Natur. Sie traten während der Evolution des Gehirns in Erscheinung, um uns bei der Anpassung an die Welt zu helfen und Zeit und Energie zu sparen. Die Verzerrungen entstehen hauptsächlich aufgrund eines Mangels an kritischer Denkfähigkeit, und viele Anpassungen sind für die Gegebenheiten der modernen Welt völlig ungeeignet. Aber keine Angst: Manipulationen kann Widerstand geleistet werden, wenn man die ein oder anderen Dinge über die menschliche Psyche weiß und ein paar einfache Tipps befolgt:

  1. Lesen Sie Nachrichten von übergeordneten Personen immer mit einem kritischen Auge. Warum bittet Sie Ihr Chef, ein kennwortgeschütztes Archiv zu öffnen und schickt das Passwort in derselben E-Mail mit? Warum sollte ein Geschäftsführer mit Zugriff auf jegliche Geschäftskonten Sie darum bitten, Geld an einen neuen Partner zu überweisen? Warum sollte jemand eine nicht standardmäßige Aufgabe per E-Mail anstatt wie üblich per Telefon zuweisen? Wenn Ihnen etwas seltsam erscheint, klären Sie die Dinge über einen anderen Kommunikationskanal.
  2. Reagieren Sie nicht sofort auf Nachrichten, die dringende Maßnahmen erfordern. Bleiben Sie cool, auch wenn Sie durch den Inhalt der Nachricht aus der Ruhe gebracht werden könnten. Überprüfen Sie zunächst den Absender, die Domain und den Link, bevor Sie auf irgendetwas klicken. Sollten Sie dann noch immer Zweifel haben, wenden Sie sich an die IT-Abteilung.
  3. Wenn Sie bei sich selbst eine Tendenz feststellen, auf bestimmte Arten von Nachrichten automatisch zu reagieren, führen Sie Ihre typische Handlungsabfolge wie gewohnt, aber bitte bewusst aus. Dies kann dazu beitragen, Ihre Antwort zu entautomatisieren – wichtig ist immer, das Bewusstsein im richtigen Moment einzuschalten.
  4. Beachten Sie unsere Tipps, um Phishing zu vermeiden:
  1. Verwenden Sie Sicherheitslösungen mit zuverlässigen Antiphishing-Technologien. So können Eindringungsversuche von Anfang an abgewehrt werden.