Phishing-Angriffe: Warum denken wir nicht nach, bevor wir klicken?
Demo anfordern

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Achtsamer Umgang mit Cybergefahren
Phishing und Ransomware
eLearning
Richtlinienmanagement
Compliance
Datenschutz, DSGVO und CCPA
GRC

Phishing-Angriffe: Warum denken wir nicht nach, bevor wir klicken?

Phishing-Angriffe Denken Sie nach, bevor Sie klicken

über den Autor

James MacKay

James MacKay

James MacKay ist der COO von MetaCompliance und ein anerkannter Experte für Schulungen zum Thema Sicherheitsbewusstsein. James MacKay kennt sich bestens mit der Durchführung effektiver Sicherheitsschulungen aus und setzt sich dafür ein, Organisationen dabei zu helfen, ihre Mitarbeiter online zu schützen, ihr digitales Vermögen zu sichern und den Ruf ihres Unternehmens zu wahren. 

Bei Phishing-Angriffen geht es ebenso sehr um die Manipulation des menschlichen Verhaltens wie um die Technologie. Diese Aussage bringt auf den Punkt, warum es so schwierig ist, Phishing-Kampagnen zu verhindern, die zu Ransomware, gestohlenen Anmeldedaten und anderen Cyberangriffen führen.

In den 1970er Jahren gab es eine Kampagne zum Thema Alkohol am Steuer mit dem Slogan "Think, before you drink, before you drive". Es war eine wirksame Kampagne, die dazu beitrug, die Zahl der alkoholbedingten Verkehrsunfälle im Vereinigten Königreich zu verringern. Die Menschen zum Nachdenken zu bringen, bevor sie handeln, ist nicht so einfach, wie es klingt. Phishing-Kampagnen setzen darauf, dass man nicht nachdenkt und unüberlegt auf eine E-Mail reagiert. Phishing ist eine ernstzunehmende Angelegenheit. Einem kürzlich veröffentlichten Bericht zufolge glauben 95 % der IT-Leiter, dass Daten über den E-Mail-Kanal in Gefahr sind. 

Wie kann also ein durchschnittliches Unternehmen hoffen, so erfolgreich zu sein wie die 70er-Jahre-Kampagne gegen Alkohol am Steuer, wenn es darum geht, die Tricks der Cyberkriminellen zu bekämpfen?

Phishing-Angriffe und menschliches Verhalten

Diese Schwierigkeit bei der Vorbeugung spiegelt sich in der erfolgreichen Art der Phishing-Angriffe wider: In der Zeit vor der Pandemie 2019 waren die Phishing-Statistiken erschreckend: Das Versicherungsunternehmen Beazley stellte im ersten Quartal 2019 einen Anstieg der Ransomware-Angriffe um 105 % fest. Aber 2020 haben die Phishing-Angriffe die Skala gesprengt. Das FBI veröffentlichte einen Bericht , aus dem hervorging, dass Phishing die bei weitem häufigste Straftat war, die seiner Beschwerdestelle, IC3, gemeldet wurde. Eine der treibenden Kräfte hinter dem Phishing-Erfolg in den letzten 12 Monaten war die Covid-19-Pandemie, die Phishern zahlreiche Möglichkeiten bot, menschliches Verhalten auszunutzen: Dies zeigt sich in einem atemberaubenden Anstieg der Covid-19-basierten Bedrohungen um 30.000 % im Jahr 2020; die meisten dieser Angriffe verwendeten bösartige Websites und Phishing-E-Mails.

Phishing (und seine Varianten, Vishing/Smishing/Pharming) ist ein weit verbreiteter Angriffsvektor, weil die Technik funktioniert. Sie funktioniert, weil sie ein natürliches menschliches Verhalten ausnutzt, um eine Aktion auszuführen, die dem Cyberkriminellen, der hinter dem Angriff steht, nützt. Die Fähigkeit, eine rechtmäßige Person zu einer unrechtmäßigen Handlung zu bewegen, ist das Markenzeichen des Betrugs, auch schon vor der Einführung moderner Technologien. Aber die Technologie kann selbst versierte Benutzer in die Irre führen, da die Nutzungsmuster der Technologie "fest programmiert" werden, wenn wir uns mit einem System vertraut machen. 

Die E-Mail zum Beispiel ist eine Alltagstechnologie, die wir ständig nutzen. Im Jahr 2020 wurden täglich 306,4 Millionen E-Mails verschickt und empfangen. Eine E-Mail zu öffnen und auf einen Link zu klicken, ist fast zur zweiten Natur geworden, ein reflexartiges Verhalten bei einer regelmäßigen Aufgabe. Die Phisher haben es auf diese Wiederholung und den Mangel an Überlegungen abgesehen, die zum Handeln erforderlich sind.

5 Typische Phishing-Merkmale

Phishing-Angriffe wollen die Menschen abfangen, bevor sie zu viel nachdenken. Zu diesem Zweck müssen die Kampagnen sicherstellen, dass bestimmte Kriterien erfüllt und die Umstände optimiert werden:

  1. Vertrauenswürdige Quelle: Eine Möglichkeit, diesen Gedankengang zu unterbinden, besteht darin, dem E-Mail-Empfänger ein Gefühl der Sicherheit zu vermitteln. Phishing-Kampagnen geben sich in der Regel als bekannte Marken aus. Bei einer Untersuchung, welche Marken von Phishern verwendet werden, steht Microsoft immer wieder an der Spitze der von Phishern am liebsten gefälschten Marken. Zu den weiteren gefälschten Marken gehören Netflix und PayPal.
  2. Die Verlockung des Klicks: Obwohl 79 % der Menschen angeben, dass sie eine Phishing-E-Mail erkennen können, klickt fast die Hälfte trotzdem auf einen Link in einer verdächtigen E-Mail. Die Gründe für dieses Verhalten liegen wahrscheinlich in der impliziten Schulung, die wir alle erhalten haben, um internetfähige Inhalte zu nutzen. Das Klicken ist fast eine pawlowsche Reaktion, wenn eine E-Mail einen Link enthält. Benutzererfahrungsdesigner (UX) haben diese Art der Konditionierung genutzt, um den Menschen den Umgang mit Technologien zu erleichtern; Cyberkriminelle nutzen dieselbe psychologische Manipulation, um uns dazu zu bringen, auf einen Phishing-Link zu klicken, um die nächste Phase des Phish zu starten.
  3. Führen durch Aufgabe: Die Konzentration der E-Mail auf eine einfache Aufgabe hilft dabei, den Denkprozess auszuschalten. Sich wiederholende und bekannte Aufgaben wie das Zurücksetzen von Passwörtern sind bei Phishern sehr beliebt. So kann der so wichtige "Klick" gemacht werden, ohne dass man sich zu viele Gedanken über die möglichen Folgen machen muss. Wenn die Aufgabe mit der Arbeit zu tun hat, ist es wahrscheinlicher, dass der Klick gemacht und das Phishing-Ereignis ausgelöst wird.
  4. Die Dringlichkeit: Oft enthalten Phishing-E-Mails eine Art Antrieb, um das automatische Anklicken zu veranlassen. Diese Treiber sind oft die Androhung einer Disziplinarmaßnahme oder die Aufforderung zu einer bestimmten Handlung, z. B. das Bezahlen einer Rechnung. Einige Phishing-Kampagnen sind sehr gezielt (Spear-Phishing). Diese Kampagnen geben sich oft als Geschäftsführer aus; der gefälschte Geschäftsführer sendet dann eine E-Mail an die Buchhaltung mit der dringenden Bitte, Geld auf ein Bankkonto zu überweisen. Das Konto ist natürlich im Besitz eines Betrügers.  
  5. Überlastet: Eine Studie über Krankenhäuser, die Zielscheibe von Phishing-Kampagnen waren, ergab, dass überarbeitetes Personal eher auf einen Phishing-Link klickt. Wenn Sie keine Zeit zum Nachdenken haben, werden Sie auf automatische Antworten zurückgreifen.

Ein Hinweis zu Spear-Phishing-Angriffen. Diese Art von Phishing erfordert eine tiefere Aufklärung, um dem Ziel überzeugende Phishing-E-Mails zukommen zu lassen. Durch diese Detailgenauigkeit sind Spear-Phishing-E-Mails für die Mitarbeiter noch schwerer zu erkennen. Folglich stiegen die Spear-Phishing-E-Mail-Angriffe während der Covid-19-Pandemie um 667 %.

Wie man einen Mitarbeiter dazu bringt, auf einen Phishing-Link zu klicken

Cyberkriminelle sind meisterhaft darin, die Bedingungen für eine erfolgreiche Phishing-Kampagne zu schaffen. Sie wenden alle Tricks an, um einen Benutzer zum Klicken zu bewegen, wie z. B. gefälschte vertrauenswürdige Marken, um den Benutzer zum leichten Köder zu machen. Ein Beispiel dafür war eine Phishing-Masche für Office 365 im Jahr 2020. Sie enthielt alle Elemente, die Nutzer dazu verleiten, zu klicken, bevor sie nachdenken:

  • Es wurden gefälschte E-Mails an die Mitarbeiter verschickt, die den Anschein erweckten, dass es sich um Microsoft Office 365 handelt. 
  • Die E-Mail trug den Titel "COVID-19-Schulung für Mitarbeiter: A Certificate for Health Workplaces" (Ein Zertifikat für gesundheitsfördernde Arbeitsplätze), in der die Mitarbeiter aufgefordert wurden, die E-Mail aus beruflichen Gründen zu beantworten.
  • Die E-Mail-Empfänger wurden aufgefordert, auf einen Link in der E-Mail zu klicken, der sie zu einer gefälschten Office 365-Anmeldeseite führte: Die Seite sah genauso aus wie eine echte Office 365-Seite.
  • Ein Benutzer wurde aufgefordert, seine Office 365-Anmeldedaten einzugeben, um sich anzumelden und das Zertifikat zu erhalten. Wenn sie dies taten, wurden diese Anmeldedaten gestohlen und dann für die Anmeldung beim echten Office 365-Portal verwendet.

Wie man einen Mitarbeiter davon abhält, auf einen Phishing-Link zu klicken

Die Verhinderung von fest kodiertem Verhalten erfordert eine spezielle Sensibilisierungsschulung. Technologen haben Systeme so konzipiert, dass sie einfach zu bedienen sind und das Klicken zu einer einfachen Aktion machen. Diese automatische Klickreaktion muss durchbrochen werden, um den Erfolg von Phishing zu verhindern. Durch einen gut durchdachten, kontrollierten Phishing-Test kann ein Unternehmen dazu beitragen, das Verhalten zu ändern, auf das Cyberkriminelle angewiesen sind. Simulierte Phishing-Tests schaffen eine sichere Umgebung, in der die Benutzer die subtilen Manipulationsmöglichkeiten von Phishern kennenlernen, damit sie sich vor diesen Tricks in Acht nehmen können. Als Teil eines umfassenderen Programms zur Förderung des Sicherheitsbewusstseins sind Phishing-Simulationen ein wirksames Mittel, um erfolgreiche Phishing-Angriffe zu verhindern, die zum Diebstahl von Zugangsdaten, zur Preisgabe von Daten und zur Infektion mit Ransomware führen. 

Der ultimative Leitfaden für Phishing

LESETIPPS

Demo anfordern

Fordern Sie noch heute eine kostenlose Demo an und erfahren Sie, wie Ihr Unternehmen von unserem erstklassigen Cyber Security Awareness Training profitieren kann.

Die Demo nimmt nur 30 Minuten Ihrer Zeit in Anspruch und Sie müssen keine Software installieren.