Es gibt ein paar Wahrheiten über Phishing-Mails: Erstens nerven sie, zweitens werden sie immer ausgefeilter, drittens sind sie eigentlich leicht als Betrugsversuche zu identifizieren. Und zuletzt: Darauf hereinfallen tun immer nur die anderen. Phishing-Mails und die neusten Tricks „Das würde mir doch nie passieren.“
Trotzdem wurde bereits die IT der Uni-Klinik in Düsseldorf komplett zum Stillstand gebracht. Operationen musste abgesagt werden, die Notaufnahme wurde überlastet. Hacker übernahmen sogar die Rechner der Kommunalverwaltung Anhalt-Bitterfeld. Es dauerte acht Monate, bis der Notbetrieb wieder aufgehoben werden konnte. Nur weil irgendjemand so einen blöden Link in einer E-Mail angeklickt hatte.
Was bewegt überhaupt Menschen, auf die Links in solchen Mails zu klicken, obwohl sie es besser wissen müssten? Liegt es an mangelndem Problembewusstsein der Mitarbeiterinnen und Mitarbeiter? An Langeweile? Ein Forscherteam der Friedrich-Alexander-Universität Erlangen ging dieser Frage nach und kam zu der Erkenntnis, dass der Hauptgrund schlichte Neugier ist, gepaart mit einem Inhalt, der einen Bezug zum Empfänger hat. Es ist also mehr ein psychologisches als ein technisches Phänomen.
Phishing-Mails und die neusten Tricks…
In dem zugrundeliegenden Experiment schickten die Wissenschaftler kurz nach Neujahr eine Mail an 1.200 Studentinnen und Studenten. Der Inhalt war ganz unverdächtig und lautete, die Silvesterparty sei toll gewesen und hier seien die Bilder davon. Zusammen mit dem Hinweis, man solle die Bilder niemandem zeigen, der nicht dabei war.
Ergebnisse ließen IT-Verantwortliche blass und Marketing-Spezialisten grün vor Neid werden.
Die Ergebnisse ließen IT-Verantwortliche blass und Marketing-Spezialisten grün vor Neid werden. Die Klickrate betrug stolze 25 Prozent. Also hatten ein Viertel der Adressaten den Link in der E-Mail angeklickt, obwohl die Fete nie stattgefunden hatte. Selbstredend, dass die Wissenschaftlerinnen und Wissenschaftler keinen Schaden anrichteten und lediglich verzeichneten, wer reingefallen war.
Hacker Ralf Schmitz berichtet….
Als man die Versuchspersonen später nach den Gründen für den Klick befragte, sagten 34 Prozent, sie seien einfach neugierig auf die Fotos gewesen, 27 Prozent nannten den passenden Zeitpunkt kurz nach Silvester und 16 Prozent meinten, die Absender-Adresse zu kennen. Diese Zahlen belegen nur den Eindruck, den Sicherheitsverantwortliche in den letzten Jahren gewinnen konnten: Gerade die Aussicht auf Bilder ließ die Angesprochenen auf Links klicken. Und je besser der Text in die gegenwärtige Situation des Empfängers passt, desto wahrscheinlicher ist die Aktion erfolgreich.
Erfolge der Cyber-Kriminellen sind fast schon vorprogrammiert.
Die Erfolge der Cyber-Kriminellen sind fast schon vorprogrammiert. Sie feilen nur noch am Kontext immer genauer. Mit ein wenig Recherche in Sozialen Medien, Facebook bietet sich da an, noch besser sind aber LinkedIn und Xing, ist es kein großer Aufwand, eine Mail auf den Empfänger maßzuschneidern. Wenn nämlich persönliche oder berufliche Details in der E-Mail auftauchen, Firmennamen oder Jobwechsel, lassen diese den Inhalt umso glaubhafter erscheinen. Selbst hier könnte Künstliche Intelligenz helfen, den Betrügern in Zukunft viel Handarbeit zu ersparen.
Die Leiterin der zuvor genannten Studie, Frau Dr. Benenson, sagt wohl zu Recht, dass mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier. Oder aus Angst, weil angedroht wird, Konten zu sperren oder angeblich teure Bestellungen getätigt zu haben.
Die Cyber-Halunken wenden demnach ganz simple psychologische Tricks an, um die Opfer in die Falle zu locken.
Phishing-Mails wenden psychologische Tricks an!
Was also ist die Konsequenz für Unternehmen und Institute daraus? An einer entsprechenden Schulung der Mitarbeiter, in der sie für die Problematik sensibilisiert werden, führt kein Weg vorbei, dies gilt gerade für technisch weniger versierte Angestellte. Für private Nutzerinnen und Nutzer vielleicht dieser Tipp: Wenn es emotional wird, wenn Neugier oder Angst die Kontrolle übernehmen könnten, die Nachricht sofort löschen. Banken, Sparkassen und Online-Händler schicken niemals emotionale Angelhaken.
Noch fragen sie nach Kontodaten oder wollen persönliche Angaben. Doch, so schade es ist, gibt es keinen 100%-igen Schutz vor digitalem Betrug. Doch es hilft schon, sich einfach mit solchen Themen zu beschäftigen. Denn auch hier macht Übung den Meister.