Bei Phishing-Angriffen geht es ebenso sehr um die Manipulation des menschlichen Verhaltens wie um die Technologie. Diese Aussage bringt auf den Punkt, warum es so schwierig ist, Phishing-Kampagnen zu verhindern, die zu Ransomware, gestohlenen Anmeldedaten und anderen Cyberangriffen führen.

In den 1970er Jahren gab es eine Kampagne zum Thema Alkohol am Steuer mit dem Slogan „Denken Sie nach, bevor Sie trinken, bevor Sie fahren“. Es war eine wirksame Kampagne, die dazu beitrug, die Zahl der Unfälle im Zusammenhang mit Alkohol am Steuer in Großbritannien zu verringern. Die Menschen dazu zu bringen, erst zu denken, bevor sie handeln, ist nicht so einfach, wie es klingt. Phishing-Kampagnen setzen nämlich darauf, dass die Menschen nicht denken und unüberlegt auf eine E-Mail reagieren. Phishing ist eine ernste Angelegenheit. Einem kürzlich veröffentlichten Bericht zufolge glauben 95 % der IT-Leiter, dass Daten über den E-Mail-Kanal gefährdet sind.  

Wie kann also ein durchschnittliches Unternehmen hoffen, so erfolgreich zu sein wie die 70er-Jahre-Kampagne gegen Alkohol am Steuer, wenn es darum geht, die Tricks der Cyberkriminellen zu bekämpfen?

Phishing-Angriffe und menschliches Verhalten

Diese Schwierigkeit bei der Vorbeugung spiegelt sich in der erfolgreichen Natur der Phishing-Angriffe wider: Vor der Pandemie 2019 waren die Phishing-Statistiken erschreckend: Das Versicherungsunternehmen Beazley stellte im ersten Quartal 2019 einen Anstieg der Ransomware-Angriffe um 105 % fest. Aber 2020 haben die Phishing-Angriffe die Skala gesprengt. Das FBI veröffentlichte einen Bericht , aus dem hervorging, dass Phishing bei weitem das häufigste Verbrechen war, das seiner Beschwerdestelle, IC3, gemeldet wurde. Eine der treibenden Kräfte hinter dem Erfolg von Phishing in den letzten 12 Monaten war die Covid-19-Pandemie, die Phishern jede Menge Möglichkeiten bot, menschliches Verhalten auszunutzen: Dies zeigt sich in einem atemberaubenden Anstieg der Covid-19-basierten Bedrohungen um 30.000 % im Jahr 2020; die meisten dieser Angriffe nutzten bösartige Websites und Phishing-E-Mails.

Phishing (und seine Varianten, Vishing/Smishing/Pharming) ist ein weit verbreiteter Angriffsvektor, weil die Technik funktioniert. Sie funktioniert, weil sie das natürliche menschliche Verhalten ausnutzt, um eine Aktion auszuführen, die dem Cyberkriminellen hinter dem Angriff nützt. Die Fähigkeit, eine legitime Person zu manipulieren, damit sie eine illegitime Handlung vornimmt, ist das Markenzeichen des Betrugs, auch schon vor dem Aufkommen der modernen Technologien. Aber die Technologie kann selbst versierte Benutzer überlisten, da die Nutzungsmuster der Technologie „fest einprogrammiert“ werden, wenn wir mit einem System vertraut sind.  

E-Mail zum Beispiel ist eine alltägliche Technologie, die wir ständig nutzen. Im Jahr 2020 wurden täglich 306,4 Millionen E-Mails gesendet und empfangen. Das Öffnen einer E-Mail und das Klicken auf einen Link ist fast schon zweite Natur, ein reflexartiges Verhalten bei einer regelmäßigen Aufgabe. Auf diese Wiederholung und den Mangel an Überlegungen, die für das Handeln erforderlich sind, haben es die Phisher abgesehen.

5 Typische Phishing-Merkmale

Phishing-Angriffe wollen die Leute abfangen, bevor sie zu viel nachdenken. Um dies zu erreichen, müssen die Kampagnen sicherstellen, dass bestimmte Kriterien erfüllt und die Umstände optimiert sind:

  1. Vertrauenswürdige Quelle: Eine Möglichkeit, diesen Gedankengang zu unterbinden, besteht darin, dem E-Mail-Empfänger ein Gefühl der Sicherheit zu vermitteln. Phishing-Kampagnen geben sich in der Regel als bekannte Marken aus. Bei einer Untersuchung, welche Marken von Phishern verwendet werden, steht Microsoft immer wieder an der Spitze der von Phishern bevorzugten Marken, die sie fälschen. Andere gefälschte Marken sind Netflix und PayPal.
  2. Die Verlockung des Klicks: Obwohl 79 % der Menschen angeben, dass sie eine Phishing-E-Mail erkennen können, klickt fast die Hälfte trotzdem auf einen Link in einer verdächtigen E-Mail. Die Gründe für dieses Verhalten liegen wahrscheinlich in der impliziten Schulung, die wir alle erhalten haben, um internetfähige Inhalte zu nutzen. Das Klicken ist fast eine pawlowsche Reaktion, wenn eine E-Mail einen Link enthält. User Experience (UX)-Designer haben diese Art der Konditionierung genutzt, um den Menschen den Umgang mit Technologie zu erleichtern. Cyberkriminelle nutzen die gleiche psychologische Manipulation, um uns dazu zu bringen, auf einen Phishing-Link zu klicken, um die nächste Phase des Phish zu starten.
  3. Führen Sie durch die Aufgabe: Wenn Sie die E-Mail auf eine einfache Aufgabe konzentrieren, hilft das, den Denkprozess auszuschalten. Sich wiederholende und bekannte Aufgaben wie das Zurücksetzen von Passwörtern sind bei Phishern sehr beliebt. So können Sie den wichtigen „Klick“ machen, ohne allzu sehr über die möglichen Konsequenzen nachzudenken. Wenn die Aufgabe mit der Arbeit zu tun hat, ist es wahrscheinlicher, dass der Klick gemacht und das Phishing-Ereignis ausgelöst wird.
  4. Die Dringlichkeit: Oft enthalten Phishing-E-Mails eine Art Treiber, um das automatische Anklicken zu fördern. Diese Treiber sind oft die Androhung einer Disziplinarmaßnahme oder die Besorgnis über eine Aktion, wie z.B. das Bezahlen einer Rechnung. Einige Phishing-Kampagnen sind sehr gezielt (Spear Phishing). Diese Kampagnen geben sich oft als Geschäftsführer aus; der falsche Geschäftsführer sendet dann eine E-Mail an die Buchhaltung mit der dringenden Bitte, Geld auf ein Bankkonto zu überweisen. Das Konto ist natürlich im Besitz eines Betrügers.   
  5. Überlastet: Eine Studie über Krankenhäuser, die Ziel von Phishing-Kampagnen waren, kam zu dem Schluss, dass überarbeitetes Personal eher auf einen Phishing-Link klickt. Wenn Sie keine Zeit zum Nachdenken haben, werden Sie standardmäßig auf die automatische Antwort reagieren.

Ein Hinweis zu Spear-Phishing-Angriffen. Diese Art von Phishing erfordert ein tieferes Maß an Aufklärung, um dem Ziel überzeugende Phishing-E-Mails zu liefern. Diese Detailgenauigkeit macht es für Mitarbeiter noch schwieriger, Spear-Phishing-E-Mails zu erkennen. Folglich stiegen die Spear-Phishing-E-Mail-Angriffe während der Covid-19-Pandemie um 667 %.

Wie man einen Mitarbeiter dazu bringt, auf einen Phishing-Link zu klicken

Cyberkriminelle sind meisterhaft darin, die Bedingungen für eine erfolgreiche Phishing-Kampagne zu schaffen. Sie wenden alle Tricks an, um einen Benutzer zum Klicken zu bringen, wie z. B. gefälschte vertrauenswürdige Marken, um den Benutzer zu einem leichten Köder zu machen. Ein Beispiel dafür war eine Office 365 Phishing-Masche im Jahr 2020. Sie enthielt alle Elemente, die den Benutzer zum Klicken verleiten, bevor er nachdenkt:

  • Es wurden gefälschte E-Mails an Mitarbeiter verschickt, die den Anschein von Microsoft Office 365 erweckten. 
  • Die E-Mail trug den Titel „COVID-19 Schulung für Mitarbeiter: A Certificate for Health Workplaces(Ein Zertifikat für gesunde Arbeitsplätze). Die Mitarbeiter wurden aufgefordert, die E-Mail aus beruflichen Gründen zu bearbeiten.
  • Die E-Mail-Empfänger wurden aufgefordert, auf einen Link in der E-Mail zu klicken, der sie zu einer gefälschten Office 365-Anmeldeseite führte: Die Seite sah genauso aus wie eine echte Office 365-Seite.
  • Ein Benutzer wurde aufgefordert, seine Office 365-Anmeldedaten einzugeben, um sich anzumelden und das Zertifikat zu erhalten. Wenn sie dies taten, wurden diese Anmeldedaten gestohlen und dann verwendet, um sich beim echten Office 365-Portal anzumelden.

Wie Sie einen Mitarbeiter davon abhalten, auf einen Phishing-Link zu klicken

Die Verhinderung von fest programmiertem Verhalten erfordert eine spezielle Sensibilisierung. Technologen haben Systeme so konzipiert, dass sie einfach zu bedienen sind und das Klicken zu einer einfachen Aktion machen. Diese automatische Klickreaktion muss durchbrochen werden, um den Erfolg von Phishing zu verhindern. Mit einem gut durchdachten, kontrollierten Phishing-Test kann ein Unternehmen dazu beitragen, das Verhalten zu ändern, auf das Cyberkriminelle angewiesen sind. Simulierte Phishing-Tests schaffen eine sichere Umgebung, in der Benutzer die subtilen Manipulationsmöglichkeiten von Phishern kennenlernen können, so dass sie sich vor diesen Tricks in Acht nehmen können. Als Teil eines umfassenderen Programms zur Förderung des Sicherheitsbewusstseins ist die Phishing-Simulation ein wirksames Mittel zur Verhinderung von Phishing-Erfolgen, die zum Diebstahl von Zugangsdaten, zur Preisgabe von Daten und zur Infektion mit Ransomware führen.  

Der ultimative Leitfaden für Phishing