Warum Phishing funktioniert

Die Psychologie der E-Mail-Scams

27.12.2014
Von 
Monika Schaufler ist Regional Director Central Europe bei Proofpoint. Sie blickt auf mehr als 25 Jahre Erfahrung in der IT-Branche zurück - zunächst bei Cisco, wo sie Kunden wie Bosch Telekom, heute Tenovis, und später auch die Deutsche Telekom betreute. Anschließend wechselte Schaufler zu Riverbed Technolgy, wo sie das deutsche Enterprise-Geschäft leitete. Während ihrer Zeit bei Cisco besuchte sie zudem die Kellogg, School of Management an der University in Chicago.
Warum funktionieren Spam und Phishing? Wer öffnet verseuchte E-Mail-Anhänge? Wer sich diese Fragen stellt, muss diesen Beitrag lesen.
Vorsicht, Phishing!
Vorsicht, Phishing!
Foto: www.mimikama.at

Letztes Jahr mussten 76 Prozent der IT-Sicherheits-Teams feststellen, dass ihre Organisation durch Malware bedroht wurde, die von den vorhandenen Intrusion-Detection- und Antivirus-Lösungen nicht erkannt wurde - zu diesem Ergebnis kommt die Ponemon-Studie "The State of Advanced Persistent Threats". Der "Verizon Data Breach Investigations Report 2013" besagt zudem, dass 95 Prozent der gezielten und APT-gesteuerten Bedrohungen per E-Mail als Spear-Phishing-Angriff in Umlauf gebracht wurden. Gezielte und ausgefeilte E-Mail-Angriffe, die sich Social-Engineering-Taktiken zunutze machen, sind jetzt die am häufigsten verwendete und weiterhin zunehmende Form der Cyberangriffe.

Die meisten hochentwickelten Angriffe zielen sowohl auf menschliche als auch auf systemtechnische Fehler ab. Das Prinzip funktioniert, weil die Teams für IT-Sicherheit in der Regel nicht in Echtzeit über einen ausreichenden Einblick darüber verfügen, wer auf welche Weise Ziel einer Bedrohung ist, sodass kein effizienter Schutz des Unternehmens möglich ist.

Was sich jedoch stark verändert hat, ist die Intensität und das Volumen von Attacken, die direkt auf die Benutzer abzielen. Cyberkriminelle versenden nicht mehr Tausende von E-Mails nach dem Zufallsprinzip, in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte Phishing E-Mails, welche sie maßgeschneidert auf die Empfänger ausrichten. Da dies mit einem hohen Zeitaufwand verbunden ist, besteht kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROI) rentieren muss.

Ein lukratives Geschäft

Die Cyberkriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben und nutzen dies zu ihren Gunsten aus. Die anspruchsvollen Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen E-Mails zu unterscheiden. Kein Wunder, sind diese doch auf jeden Empfänger individuell zugeschnitten und wirken täuschend echt.

Das Resultat: Allein in den letzten drei Jahren ist die Anzahl der gezielten Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen. Diese sind so effektiv, weil sie die Empfänger und die installierte Sicherheits-Software gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormen Erfolg: Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit der typischen Erfolgsrate einer E-Mail-Marketingkampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links.

Der Erfolg scheint sicher

Phishing-Attacken sind nicht nur lästig - sie können Individuen und Unternehmen auch große Probleme bereiten. So wurde beispielsweise durch einen Longlining-Angriff ein Rechner der Firma FazioMechanical Services infiziert. Diese lieferte zu diesem Zeitpunkt Heizungs- und Lüftungsanlagen an den Multi-Milliarden-Konzern Target. Die Cyberkriminellen attackierten nun über das Netzwerk von Fazio die Firma Target und stahlen knapp 110 Millionen Personendaten. Darunter auch 40 Millionen Kreditkarten-Daten, die das Unternehmen gespeichert hatte. In den darauffolgenden Monaten verzeichnete Target einen Gewinneinbruch von 46 Prozent und einen Schaden von mehreren Milliarden Euro.

Der Mensch, das immergleiche Risiko

Der zunehmende Wandel in unserer Gesellschaft hinsichtlich Schnelllebigkeit und mobiler Erreichbarkeit bedeutet, dass wir mit Nachrichten aus mehr Bezugsquellen als je zuvor konfrontiert werden - und das nicht nur im Büro, sondern auch zu Hause. Dieses E-Mail-Volumen konditioniert den Menschen. Der Eingang von zu wenigen oder zu vielen gefährlichen Bedrohungen führt zu einer höheren Klickrate. Ab einer Anzahl von 100 gefährlichen Nachrichten pendelt sich die Klickwahrscheinlichkeit bei 60 Prozent ein.

Gelangweilt herumsitzen ist nicht mehr - der Mensch ist darauf trainiert, zu klicken...
Gelangweilt herumsitzen ist nicht mehr - der Mensch ist darauf trainiert, zu klicken...
Foto: Fiedels - Fotolia.com

Ein Hauptgrund hierfür ist, dass sich unsere Aufmerksamkeitsspanne zunehmend verkürzt - wir entwickeln uns langsam zu einer Generation von überenthusiastischen Klickern. Denn es ist schon fast zu einer automatischen Reaktion geworden, nach dem Öffnen einer neuen Nachricht innerhalb von Sekunden zu entscheiden, ob auf einen Link geklickt wird oder nicht.

Benutzer können zwar unerwünschte E-Mails von nützlichen E-Mail-Nachrichten unterscheiden, haben jedoch zunehmend Schwierigkeiten, Phishing-Mails zu erkennen, weil unangeforderte E-Mail-Nachrichten und Benachrichtigungen von beliebten Diensten an der Tagesordnung sind. Bei dieser Entscheidung ist es ausschlaggebend, ob der Inhalt uns relevant und sinnvoll erscheint. Nach einem Klick wird die Website geöffnet, der Inhalt gelesen und dann sofort die nächste Nachricht angesehen.

Psychologisch gesehen ist der Mensch darauf konditioniert, auf Links zu klicken - und Cyberkriminelle nutzen diese Verhalten schamlos aus, indem sie die E-Mails besonders klickfreundlich gestalten.

Achtung, Phishing!

Mitarbeiter in allen Unternehmen klicken. Innerhalb einer bestimmten Angriffswelle auf ein Unternehmen sind durchschnittlich 10 Prozent der Benutzer für 100 Prozent der Klicks verantwortlich. Selbst die besten Unternehmen der Branche haben eine Klickrate von über einem Prozent. Konventionelle Annahmen beruhen darauf, dass Wiederholungsklicker das höchste Risiko für ein Unternehmen darstellen. Unsere Analysen belegen jedoch, dass dennoch ein hoher Restanteil an Klicks verbleibt, der von Einmalklickern ausgeht und zwar durchschnittlich 40 Prozent.
Besonders erfolgreiche Köder sind die Kommunikation über soziale Netzwerke, Benachrichtigungen von Banken und Auftragsbestätigungen. Allerdings bergen gefälschte LinkedIn-Einladungen bei weitem die größte Gefahr. Die Cyberkriminellen nutzen den Ruf des beliebten, vertrauenswürdigen und professionellen sozialen Netzwerks aus und erzielen damit eine Erfolgsrate, die vier Mal höher ist, als jede andere Art von E-Mail Attacken.
Es ist unser aller Problem. Phishing-Angriffe auf Führungskräfte und Benutzer aus dem mittleren Management erwecken aufgrund ihres hohen Aufmerksamkeitswerts oft den Eindruck, dass sich gezielte Angriffe hier eher lohnen, zumal Führungskräfte Zugang zur Unternehmensspitze haben. Angreifer können jedoch die Schutzmaßnahmen einer Organisation an jeder Stelle umgehen und anschließend versuchen, sich einzureihen. Tatsächlich ist es so, dass Mitarbeiter doppelt so häufig angegriffen werden als das mittlere Management und 1,3 Mal so häufig wie Führungskräfte.

Die Kunst des Marketings

Longlining-Angreifer nutzen clevere Datenbank-Techniken aus dem Marketing, um gezielt E-Mails an Tausende von Mitarbeiter von hunderten Unternehmen innerhalb weniger Stunden zu versenden. Die E-Mails enthalten Nachrichten, welche für die Empfänger auf den ersten Blick persönlich relevant zu sein scheinen. Das führt dazu, dass eine von zehn Personen auf den Link in der E-Mail klickt und auf eine schädliche Website weitergeleitet wird. Natürlich sieht diese harmlos aus, ermöglicht es den Angreifern jedoch, innerhalb von nur wenigen Sekunden die vollständige Kontrolle über den betroffenen Rechner zu erlangen. Die Sicherheits-Software des Unternehmens bekommt von all dem nichts mit.

Ein Problem für die Zukunft

Leider wird das Risiko, dem Unternehmen durch Phishing-Attacken ausgesetzt sind, zunehmen. Und somit wird auch der Schutz gegen derartige Angriffe schwieriger werden, denn die Sicherheit ist ständig wechselnden Herausforderungen unterworfen - und somit nie 100-prozentig. Cyberkriminelle wechseln fortlaufend die Taktik, um konventionelle und standortorientierte Lösungen auf Signaturbasis zu umgehen. Angreifer sind seit neuestem mit polymorpher Malware sowie mit Datenverkehrsverteilungssystemen immer erfolgreicher beim Umgehen von Antivirussoftware, IDS/IPS, sicheren E-Mail-Gateways und Web-Gateways. Selbst bei einem optimalen Wirkungsgrad erkennt ein Filter mit einer Effizienz von 99,99 Prozent einige dieser Bedrohungen nicht. Bei Longlining-Angriffen mit Millionen von E-Mails können Bedrohungen, die das System innerhalb kurzer Zeit unerkannt durchlaufen, von Bedeutung sein.

Das Resultat ist, dass selbst bei den am besten geschützten Unternehmen, die einen enormen Investitionsaufwand für die Sicherheit und Schulung aufbringen, immer wieder Benutzer auf gefährliche Nachrichten klicken - und zwar innerhalb und außerhalb des Unternehmensnetzwerks. Das heißt, dass ein rein gatewaybasierter Schutz nicht ausreichend ist.

Unternehmen müssen unbedingt ihre allgemeine Sicherheitsarchitektur optimieren, um dieser Bedrohung Stand halten zu können. Tools zur Bedrohungserkennung der nächsten Generation müssen Einblick auch nach der Zustellung bieten. Zusätzlich sollte in mitarbeiterorientierte Sicherheitsansätze wie Schulungen investiert werden. Irren mag menschlich sein, jedoch gilt auch hier: Vertrauen ist gut - Kontrolle ist besser.

Wie sich Unternehmen schützen können

  1. Da Benutzer es grundsätzlich gewohnt sind zu klicken, müssen Unternehmen die Sicherheitssteuerelemente fokussieren, die auf solche Situationen aufmerksam machen und im Falle einer Infizierung entsprechende Gegenmaßnahmen einleiten können.

  2. Geräte außerhalb der Unternehmensnetzwerke sind besonders anfällig für Phishing-Angriffe. Es empfiehlt sich, technische Lösungen für einen "Follow-me"-Schutz in Betracht zu ziehen, unabhängig von den Geräten und ungeachtet der Tatsache, ob das Gerät mit dem Unternehmensnetzwerk verbunden ist.

  3. Besonders bei sozialen Netzwerken muss verstärkt auf Phishing-Merkmale geachtet werden, bevor auf eine Benachrichtigung geklickt wird. Risiken können auch durch Sicherheitslösungen minimiert werden, die auf Anomalien bei E-Mails achten und für URL-Ziele die Sandboxing-Technologie einsetzen.

  4. Investieren Sie in Benutzerschulungen. Machen Sie ihren Mitarbeitern klar, nicht auf Links von sozialen Netzwerken in E-Mails zu klicken. Stattdessen sollten sie sich über ihren Browser oder ihre App einloggen, um die neuesten Meldung von dort aus zu verwalten. (sh)