Mit welchen psychologischen Tricks Kriminelle versuchen uns auszutricksen, erfahren Sie in diesem Gastbeitrag vom Gründer der Cyberakademie Thomas Steinbrenner, MSc.
Inhaltsverzeichnis
Phishing?
Egal ob Anfrage, kurze Info oder To-Do: Eine E-Mail kostet nichts und ist schnell geschrieben.
Das wissen auch die Bösewichte und so begleitet uns Spam seit Jahrzehnten. Tabletten zur zwischenmenschlichen Leistungssteigerung sind hier wohl das klassische Beispiel. Handelt es sich in der Regel nur um unerwünschte Werbung, ist Spam zwar ein Zeitdieb aber noch relativ harmlos.
Im Gegensatz dazu ist Phishing gefährlicher, denn dabei geht es oft (aber nicht immer) um den Diebstahl sensibler Daten. Zum Beispiel kann eine E-Mail, die vermeintlich von Microsoft stammt, auf eine gefälschte Loginseite führen, die Benutzername und Passwort abgreift.
Gibt man dort seine Daten ein, wird es ganz schön brenzlig – dies kann bis zur Kompromittierung der gesamten Unternehmens-IT führen. Nicht umsonst ist Phishing seit Jahren einer der größten und wirkungsvollsten Angriffe.
Das Wort Phishing stammt übrigens von eng. „fishing“, also dem Fischen oder Angeln.
Und wie beim Angeln, braucht es einen passenden Köder, der dem Fisch auch schmeckt.
Die (psychologischen) Köder
Wir sind alle nicht dumm oder von gestern, deswegen nützen Betrüger psychologische Tricks um ihre Erfolgschancen zu erhöhen. Wie der stereotype Gebrauchtwagenhändler (sorry!) ziehen sie alle Register:
Dringlichkeit
Ein Klassiker!
„Nur jetzt…“
„Für kurze Zeit…“
„Handeln sie innerhalb der nächsten 48 Stunden, sonst…“
Immer wenn Zeitdruck aufgebaut wird, sollten wir hellhörig werden. Denn wenn wir etwas schnell tun, etwas zwischendurch unterbringen, nehmen wir uns oft nicht die Zeit zu überlegen, was das eigentlich bedeutet.
Die Sprichwörter „In der Ruhe liegt die Kraft“ und „Vom Hudeln kommen die erfolgreichen Cyberangriffe“ sind wahr.
Exklusivität
„Limitierte Plätze…“
„Sie haben gewonnen…“
Eine besondere Chance oder Gelegenheit, die es zu nutzen gilt.
Autorität
Hier wird unsere Hörigkeit gegenüber Autoritäten ausgenutzt.
Beispiele hierfür sind der klassische CEO-Fraud „Bitte überweisen Sie dringend diesen überfälligen Betrag…“ oder der Authority-Fraud „Sie sind Beschuldigte/r in einem Strafverfahren…“
Gewohnheit
„Ich bekomme immer wieder solche E-Mails und die waren immer legitim.“
Hier hat sich nicht nur Routine eingeschlichen, sondern auch ein Angriff.
Ein Beispiel hierfür wären vielleicht Kontoänderungs-Phishings: Ein Lieferant kommuniziert die Änderung seiner Bankverbindung. Doch war er es nicht selbst, sondern ein Angreifer. Die Zahlung der nächsten Rechnung landet beim ihm
statt beim Lieferanten.
Transitivität
Ein etwas wissenschaftlicher Begriff, gemeint ist die Übertragung von Eigenschaften – dass man zum Beispiel jemandem eher vertraut, wenn man gemeinsame Freunde hat.
Ein Beispiel hierfür sind E-Mails die aussehen, als würden sie z.B. von Microsoft kommen.
Ich vertraue Microsoft (zumindest genug um es zu verwenden), also vertraue ich auch den E-Mails von Microsoft.
Reziprozität
„Ich hab etwas für dich getan, also musst du auch etwas für mich tun.“
Hier geht es um unser Selbstbild, als sozialer und nicht als egoistischer Mensch wahrgenommen zu werden.
Reziprozität ist ein bisschen schwieriger anzuwenden, da es in der Regel eine gewisse Interaktion mit dem Gegenüber erfordert.
Das Ziel ist aber immer das Selbe: Schuldgefühle auslösen und diese schamlos ausnutzen
Angst
Angst funktioniert immer gut, um Menschen von etwas weg und damit zu etwas anderem hin zu bewegen.
Wenn Sie im Berufsalltag Angst haben müssen, läuft etwas schief.
Es gibt noch viele weitere Mechanismen. Welche fallen Ihnen ein?
Warum funktioniert das eigentlich?
In jedem Menschen herrscht permanent ein Kampf zwischen Emotion und Vernunft.
Sie kennen das bestimmt: Sie fahren mit dem Auto, sind in Eile, vielleicht muss das Kind von der Schule abgeholt werden, der Chef ruft auch gerade an und dann fährt das blöde A-Loch vor Ihnen auch noch viel zu langsam und es gibt absolut keine Gelegenheit zu überholen. Zum Aus-der-Haut-Fahren.
Und gerade dann, wenn nicht die Zeit und Energie da ist, wenn die Schwiegerperson zum x-ten Mal stichelt, wenn das Auto vor uns zum x-ten Mal schon bei Grün-Blinken stehen bleibt… ja dann tun oder sagen wir etwas, das nüchtern betrachtet vielleicht doch keine so gute Idee war.
Und genau so einen Augenblick der Schwäche versuchen die Angreifer zu erwischen. Denn die hat jeder irgendwann.
Und das muss gar nicht wegen Stress sein. Das kann Wut, Trauer, Freude, Angst, … jede Emotion sein. Je stärker die Emotion, desto höher die Wahrscheinlichkeit, dass wir impulsiv handeln.
Oder andersrum: geistige oder emotionale Erschöpfung, Müdigkeit, Zeitdruck erschweren uns, unsere Emotionen zu regulieren und das Richtige zu tun.
Die erfolgreichsten Angriffe sind daher gar nicht unbedingt besonders gut, sondern einfach nur zur richtigen Zeit an der richtigen Stelle.
Der Mythos von der schlechten Rechtschreibung und Grammatik
Seit vielen Jahren herrscht der Mythos, dass man Spam und Phishing ganz einfach an textuellen Fehlern erkennen kann. Doch warum sollte das so sein?
Ist jeder der schlecht Deutsch kann automatisch ein Betrüger und jeder der gut Deutsch kann automatisch einer von den Guten? Natürlich nicht.
Auch stimmt es nicht oder nur teilweise, dass die Betrüger alle im Ausland sind und daher nur schlecht Deutsch können. Leben Sie in einem Land ohne Kriminalität? Wenn nicht, dann gibt es auch Online-Kriminalität.
Außerdem: Sie wären überrascht, wie hochprofessionell Cybercrime ist.
Dementsprechend werden sehr gute Übersetzungssoftware oder muttersprachige Menschen eingesetzt.
Es ergibt ja auch gar nicht anders Sinn: Warum sich die ganze Mühe aufbürden, warum sich strafbar machen, um dann an so etwas einfachem wie der korrekten Rechtschreibung zu scheitern?
Warum dann die Rechtschreibfehler?
Die seit vielen Jahren herrschende Expertenmeinung ist, dass Rechtschreibfehler quasi als Filter wirken, der aufmerksame Menschen abschreckt. So soll jemand, der aufmerksam liest, die weiteren Schritte gar nicht erst durchführen (z.b. auf den Link klicken), da diese die Phishing-Kampagne potentiell enttarnen.
Jemand, der Rechtschreibfehler vor lauter Stress überliest oder vielleicht garnicht so gut Deutsch kann, ist auf der anderen Seite tendenziell ein leichteres Opfer.
Warum kann man das nicht einfach herausfiltern?
Ja, das ist eine gute Frage.
Tatsächlich sind ca. 75% des täglichen weltweiten Mailverkehrs Spam. Es wird auch ein Großteil durch Technik automatisch erkannt und gefiltert.
Probleme bereitet jedoch das letzte Prozent, denn oft ist die Unterscheidung zwischen legitimer Werbe-Mail und Phishing technisch kaum möglich. (Böse Zungen behaupten, dass es auch gar keinen Unterschied gibt.) In solchen Fällen ist es nur mehr manuell durch einen Menschen
erkennbar. Manchmal sind das dann leider Sie. (Außer Sie wollen, dass jemand anderes alle Ihre E-Mails liest. Und selbst dann…)
Aber es wird noch schlimmer 😉
Spearphishing und AI
Eine Sonderform des Phishings ist Spearphishing, also Speerfischen.
Hierbei wird die Phishing-Mail für eine ganz bestimmte Person geschrieben.
Maßgeschneidert mit direkter, korrekter Ansprache und legitimen Anliegen anhand vorhergehender, akribischer Recherche.
Während diese Vorgehensweise natürlich die höchsten Erfolgschancen bietet, ist der Aufwand auch entsprechend groß.
Und hier kommt KI ins Spiel: Mit KI lässt sich dieser Aufwand der Recherche und Verschriftlichung drastisch verringern.
Der Cambridge-Analytica-Skandal (microtargeting politischer Werbung z.B. bei der US-Präsidentschaftswahl 2016) hat gezeigt, dass das Zuschneiden von Wahlwerbung auf sehr kleine Gruppen anhand öffentlich verfügbarer Daten aus Social Media schon vor 10 Jahren technisch möglich und lohnenswert war.
Es ist also damit zu rechnen, dass in nicht ferner Zukunft fast jede Werbung, jeder Spam und jedes Phishing durch KI perfekt an den oder die Empfänger*in angepasst wurde.
Fazit
Wir hoffen, dass wir mit diesem kleinen Einblick nicht nur Ihr Interesse für das Thema wecken konnten, sondern Sie auch bei der nächsten verdächtigen E-Mail an die vorgestellten Mechanismen zurückdenken und so vielleicht den Cyberkriminellen einen Strich durch die Rechnung machen können.
Denn wie heißt es so schön: „Willkommen im Internet, hier ist dein Stahlhelm.“
Vielen Dank an Thomas Steinbrenner für diesen wertvollen und Informativen Gastbeitrag. Bitte besuchen Sie seine Webseite: https://www.cyberakademie.at/
Sollten Sie Fragen, Anregungen oder Wünsche haben, dann wenden Sie sich bitte an uns. Gerne helfen wir Ihnen weiter.
Sie haben Bedarf an Webinaren oder an Schulungen? Dann rufen Sie uns an oder senden uns eine unverbindliche Anfrage. Wir rufen Sie dann gerne zurück.
Wir freuen uns auf Sie.
Ihr Competence Teams der mso365.cloud O
No responses yet