Social Engineering ist nichts Neues. Lange bevor Computer in unser Leben traten, wurden die Menschen mit psychologischen Tricks betrogen. Bereits 1947 wurde ein Buch mit dem Titel "Illustriertes Rundschreiben über Hochstapler und erfahrene Verbrecher" veröffentlicht. Dieses Buch war ein "Who's who der internationalen Betrüger". Heute, im Jahr 2021, gehen internationale Verbrecherbanden digitaler vor, um Geld, Daten und Anmeldedaten von Unternehmen zu ergaunern. Obwohl zwischen den Betrugskampagnen Jahrzehnte, ja sogar Jahrhunderte liegen können, haben sie alle eines gemeinsam: Die alten und neuen Betrüger nutzen Social Engineering, um zu bekommen, was sie wollen.
Social Engineering: Die Tricks der Phishing-Branche
Es genügt ein einziger Klick, um ein infiziertes Gerät zu erhalten. Diese Infektion kann sich wie ein Lauffeuer über das Unternehmensnetzwerk und alle angeschlossenen Geräte verbreiten. Die Infektion kann ein Unternehmen durch Ausfallzeiten, Datenverluste und Rufschädigung viel Geld kosten.
Das Erlebnis eines einzigen Klicks ist das, was sowohl Vermarkter als auch Cyberkriminelle anstreben. Wenn Sie eine Situation schaffen, in der die Menschen nicht lange nachdenken müssen, bevor sie handeln, können Sie ein Publikum erfolgreicher einfangen.
Vermarkter wollen eine emotionale Reaktion auf eine Marketingkampagne hervorrufen, indem sie die Person so sehr mit einem Produkt in Kontakt bringen, dass sie für weitere Informationen klickt oder - noch besser - klickt, um zu kaufen.
Auch Cyberkriminelle wollen diese "reflexartige Reaktion" hervorrufen und setzen daher ähnliche Taktiken ein, um den Menschen zum Klicken zu bewegen.
Digitale Kriminelle haben Vorteile gegenüber ihren nicht-digitalen Pendants, den Scammern. Die Reichweite ist zum Beispiel größer, da die Cyberkriminellen mit Massen-Phishing-Kampagnen Millionen von Zielpersonen erreichen. Oder die Betrüger können persönlich werden und gezieltes Spear-Phishing einsetzen, das sich auf eine einzelne Person konzentriert.
Phishing-Angriffe basieren auf menschlichem Verhalten - was uns zum Ticken bringt, bringt uns zum Klicken. Vieles davon ist auf die stille Schulung zurückzuführen, die wir alle im Umgang mit dem Internet erhalten haben. Web- und App-Designer konzentrieren sich darauf, eine "nahtlose UX" zu schaffen, d. h. eine einfache Benutzererfahrung, die auf einer nahtlosen Interaktion zwischen Technologie und Mensch basiert. Das Ergebnis ist, dass wir uns alle daran gewöhnt haben, bestimmten Verhaltensmustern in der digitalen Welt zu folgen. Es sind diese Muster, die Cyberkriminelle nutzen, um uns zum Klicken zu verleiten.
Erkennen der Anzeichen für Social Engineering
Die Techniken, mit denen Cyberkriminelle das menschliche Gehirn dazu bringen, auf einen Auslöser zu reagieren, sind typisch für die Art und Weise, wie wir normalerweise menschliche Beziehungen aufbauen:
Vertrauen: Die Verwendung einer bekannten Marke als Grundlage für eine Phishing-E-Mail ermöglicht es dem Betrüger, Vertrauen zu nutzen, um einen Menschen zu hacken. Beliebte Marken für Massen-Phishing-Kampagnen sind Office 365, Facebook, Google und eBay. Bei gezielteren Kampagnen kann jedoch auch eine Marke gewählt werden, die enger mit einem Unternehmen verbunden ist, z. B. eine bestimmte Webanwendung oder ein Anbieterportal. Diese Kampagnen können die Erkennung von Phishing-E-Mails noch schwieriger machen und dem Angriff ein zusätzliches Element des Vertrauens verleihen, wenn die gefälschte Marke eng mit dem Zielunternehmen verbunden und für dieses leicht erkennbar ist. Sogar Sicherheitsanbieter können Opfer von Markenspoofing in Phishing-Kampagnen werden: Check Point Software, ein vertrauenswürdiger Sicherheitsanbieter, ließ seine Marke auf einer Phishing-Website verwenden.
Neugierde und Dringlichkeit: Dies sind typische Elemente einer Phishing-Kampagne. Die Betrüger verleiten die Nutzer dazu, ihre Aufträge auszuführen, indem sie ihnen das Gefühl geben, dass sie es mit einer vertrauenswürdigen Einrichtung zu tun haben und die Aufgabe dringend ist. Ein Beispiel hierfür ist eine Office 365-Phishing-Kampagne aus dem Jahr 2020. Die Forscher identifizierten eine Kampagne, die damit begann, dass ein Mitarbeiter eine E-Mail mit einer "verpassten Sprachnachricht" erhielt. Die Benutzer wurden aufgefordert, auf eine Schaltfläche zu klicken, um ihr Office 365-Konto aufzurufen, um die verpasste Nachricht abzurufen. Die Nachricht enthielt außerdem den Hinweis "Nachricht von einem vertrauenswürdigen Server" am Anfang der E-Mail, um das Element "Vertrauen" zu verstärken. Wenn der Benutzer auf die Schaltfläche klickte und seine Anmeldedaten auf der gefälschten Office 365-Website eingab, wurden diese Anmeldedaten gestohlen.
Die persuasive Stimme: Überredungskunst spielt eine wichtige Rolle beim Phishing-Erfolg. Nach der Marketingforschung von Cialdini gibt es sechs Grundprinzipien zur Beeinflussung des Kundenverhaltens. Diese Prinzipien wurden zusammen mit ähnlichen Forschungen über Überzeugung und Beeinflussung von einem Forschungsteam verwendet , das untersuchte, wie Social Engineering beim Phishing funktioniert. Die Forscher fanden fünf Schlüsselelemente für äußerst überzeugende und daher erfolgreiche Phishing-Kampagnen:
- Autorität: Verwendung eines autoritären Namens, z. B. eines Firmenchefs
- Sozialer Beweis: Entwickeln Sie eine Kampagne, die durch Gruppenzwang zum Verhalten ermutigt
- Sympathie, Ähnlichkeit, Täuschung: Erfolgreiche Überzeugungsarbeit funktioniert, wenn Menschen oder Themen vertraut sind
- Verbindlichkeit, Gegenseitigkeit und Beständigkeit: Menschen sind gerne beständig und glauben gerne, was andere sagen und tun: zum Beispiel einen Gefallen erwidern
- Ablenkung: Durch das Erzeugen eines Gefühls der Dringlichkeit, z. B. dass ein Artikel teurer wird, wenn Sie nicht sofort handeln, kann ein Betrüger eine Person von den Anzeichen eines Betrugs ablenken.
Die Emotionen des Social Engineering
Emotionale Reaktionen sind in uns allen tief verwurzelt. Der Einsatz von Überredung und emotionaler Manipulation in Phishing-Kampagnen wurde in einer 2018 von der American Psychological Society veröffentlichten Studie untersucht. Die Forscher untersuchten die "emotionale Erregung als Betrugstaktik". Die Studie ergab, dass Menschen aller Altersgruppen sowohl auf positive als auch auf negative Überzeugungsbotschaften reagierten und schlechte Entscheidungen trafen, wenn sie darauf reagierten. In der Studie heißt es, dass "emotionale Erregung die Anfälligkeit für irreführende Informationen beeinflussen kann und dass dieser Effekt sowohl bei älteren als auch bei jüngeren Erwachsenen auftritt." Dieses Verhalten spielt den Betrügern in die Hände, und Phishing-Nachrichten enthalten oft eine Komponente, die eine emotionale Reaktion hervorruft, wie in den obigen Beispielen zu sehen ist.
Wie Sie sich vor Social Engineering schützen können
Social Engineering ist gefährlich, weil es unser natürliches Verhalten ausnutzt, um uns dazu zu bringen, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen. Aber Phishing-Betrüger passen auch ihre Techniken und Werkzeuge an, um einen kontinuierlichen Erfolg zu gewährleisten. Die wechselnden Phishing-Muster in Verbindung mit einer ausgeklügelten Manipulation der Ziele machen diese heimtückische Art der Internetkriminalität zu einer der am schwierigsten zu bekämpfenden. Es gibt keine Einzellösung, um den Erfolg von Phishing zu verhindern. Stattdessen ist eine Mischung aus Sicherheitsschulung und technischen Lösungen erforderlich, um einen Phishing-Versuch zu erkennen und zu verhindern.
