Tricks für Klicks : Wie Cyber-Kriminelle Menschen beim Spear-Phishing zu riskanten Aktionen verleiten und was man dagegen tun kann
Angreifer nutzen bei gezielten Phishing-Kampagnen bewährte psychologische Tricks, um ihre Opfer zu unüberlegten Klicks in ihren gefälschten E Mails zu animieren. Millionen Menschen fallen jeden Tag auf solche Spear-Phishing-Attacken herein. Wer die Vorgehensweise der Cyberkriminellen kennt, kann sich und seine Mitarbeiter besser schützen.
Von David Kelm, Darmstadt
Weshalb Spear-Phishing so erfolgreich ist, zeigt ein Blick auf die Forschungsergebnisse des Psychologen und Nobelpreisträgers Daniel Kahnemann. In seinem Buch „Schnelles Denken, langsames Denken“ [1] unterscheidet Kahnemann zwischen zwei grundlegend verschiedenen Herangehensweisen des Menschen:
- System 1 – schnelles Denken: Das erste Denksystem läuft unterbewusst und automatisch ab. Es beruht weitgehend auf subjektiven Erfahrungswerten und tendiert zu schnellen Entscheidungen, die von Impulsen und Gefühlen geleitet werden.
- System 2 – langsames Denken: Das zweite System trifft seine Entscheidungen erst nach systematischer und logischer Prüfung eines Sachverhalts. Es berücksichtigt objektive Informationen, folgt dabei der Vernunft und kostet Zeit und Energie.
Mitarbeiter im Visier
Spear-Phishing-Attacken zielen ausschließlich auf System 1, das schnelle Denken der Menschen. Ins Visier geraten mittlerweile vor allem Beschäftigte in Unternehmen, da sich dort mehr Geld abschöpfen lässt als im privaten Umfeld.
Dabei gehen Kriminelle heute äußerst professionell vor: Zunächst werden soziale Medien und andere Internet-Quellen systematisch nach Informationen von Mitarbeitern durchsucht und daraus maßgeschneiderte E-Mails angefertigt. Im Namen vorgeblicher Vorgesetzter, Kollegen oder Geschäftspartner versandt, fordern diese E-Mails die Empfänger zu schädlichen Handlungen auf: Das reicht von Klicks auf betrügerische Links und Dateianhänge über die Preisgabe hochsensibler Daten bis hin zur direkten Überweisung von Geldbeträgen.
Damit die Empfänger ausschließlich das Denk-System 1 verwenden, ihren Verstand möglichst komplett ausschalten und den Aufforderungen spontan nachkommen, setzen Cyberkriminelle auf erprobte psychologische Tricks. Zu den erfolgreichsten Spear-Phishing-Einflussfaktoren gehören die folgenden Maschen und Beispiele:
- Autoritätshörigkeit: Im Namen eines Vorstandsmitglieds verlangen die Betrüger vom Mitarbeiter, unverzüglich Zahlungen an einen Lieferanten vorzunehmen. Dabei landen oft hohe Summen auf ausländischen Konten – ohne Chancen, das Geld jemals wieder zurückzuholen. Durch diese als „Chef-Masche“ (CEO-Fraud) bekannte Betrugsmethode gingen allein dem deutschen Automobilzulieferer Leoni im Jahr 2016 rund 40 Millionen Euro verloren.
- Zeitdruck: Hier besagt etwa eine eilige Nachricht der angeblichen IT-Administration, dass das Nutzerkonto deaktiviert werde, wenn der Mitarbeiter nicht sofort sein Passwort ändert. Folgt der Empfänger dieser Aufforderung, spielt er seine Login-Daten den Angreifern direkt in die Hände. Diese können die Zugangsdaten schlimmstenfalls nutzen, um in das gesamte Unternehmensnetzwerk einzudringen.
- Hilfsbereitschaft: Hier täuschen Betrüger etwa vor, von einem Kollegen weiterverwiesen worden zu sein. Sie geben an, einem anderen Unternehmen anzugehören, das die Zusammenarbeit mit der Firma des E-Mail-Empfängers sucht – ein Link führt beispielsweise zu einem Dokument „mit ersten Ideen“. Da der Mitarbeiter seinen Kollegen natürlich gerne unterstützen möchte, klickt er den Link gutgläubig an. Schon landet unbemerkt eine Schadsoftware auf seinem Rechner.
- Neugier: Angeblich will die Geschäftsleitung dem Mitarbeiter wichtige strukturelle und personelle Änderungen im Unternehmen mitteilen. Ein aktualisiertes Organigramm im Intranet soll über die neue Verteilung der Verantwortlichkeiten informieren. Auch hier genügt dann ein Klick auf das erwähnte Organigramm womöglich, um das System des Mitarbeiters zu kompromittieren.
- Angst: Im Namen des Vorgesetzten wird eine Rechnung moniert, die angeblich nicht beauftragt worden und auch bei keinem anderen Vertrag vorhanden sei (Abb. 1). Den Mitarbeiter beschleicht ein mulmiges Gefühl und um der Sache direkt auf den Grund gehen zu können, öffnet er die Rechnung im Anhang, ohne länger darüber nachzudenken. Die Betrüger freuts …
Spear-Phishing hat sich dank solcher Techniken zu einer der riskantesten und häufigsten Methoden für Cyberangriffe entwickelt. Zunehmend mehr werden derartige Attacken von internationalen Betrügerbanden mit umfassendem Spezial-Know-how durchgeführt. Die Cybergang „Conti“ beispielsweise umfasst einem aktuellen Leak zufolge rund 2500 Mitwirkende. Dabei handelt es sich um Profis, die ihr Handwerk verstehen und täglich optimieren – kein Wunder also, wenn in Unternehmen unterbesetzte IT-Security-Teams oder IT-Sicherheitsverantwortliche als „One-Man-Show“ das Nachsehen haben.
Grafik: IT-Seal GmbH
Gegenmaßnahmen
Viele Unternehmen haben die wachsende Gefahr längst erkannt und versuchen, ihre Mitarbeiter im Rahmen von Security-Awareness-Trainings für Spear-Phishing-Attacken zu sensibilisieren. Doch nicht jedes klassische Angebot genügt, um Nutzer wirksam vor schädlichen E-Mails zu schützen! Denn sie beschränken sich teils noch immer darauf, in Präsenzschulungen, E-Learnings und Webinaren rein theoretisches Wissen zu vermitteln: Teilnehmer erfahren dabei, wie Spear-Phishing-Angriffe gemeinhin ablaufen, woran sie gefälschte Nachrichten erkennen können und wie sie sich „im Fall der Fälle“ verhalten sollen.
Da solche klassischen Security-Awareness-Trainings allerdings ausschließlich „System 2“, also das langsame, systematische Denken, adressieren, besteht die Gefahr, dass Kriminelle mit ihrem Angriff auf System 1 dennoch erfolgreich bleiben – trotz toller und interaktiver Awareness-Trainings! Ohne regelmäßige Wiederholung wird das Gelernte im schnelllebigen Arbeitsalltag zudem auch leicht wieder vergessen. Daher empfiehlt es sich, ergänzend Spear-Phishing-Simultionen anzubieten: Diese stellen authentische Attacken nach, indem sie echte Unternehmens- und Mitarbeiterinformationen verwenden – statt am Haken von Betrügern landen Mitarbeiter aber auf einer interaktiven Erklärseite. Dort wird ihnen Schritt für Schritt gezeigt, welche verdächtigen Merkmale die gefälschten E-Mails aufweisen – zum Beispiel Buchstabendreher in der Adresszeile, die Verwendung von Subdomains oder verdächtig wirkende Links.
Der richtige Moment zählt!
Praktische Phishing-Simulationen nutzen dabei den „Most Teachable Moment“ eines Nutzers, indem sie ihn just im Augenblick des (nachgestellten) Angriffs auf sein Fehlverhalten aufmerksam machen. Zu diesem Zeitpunkt ist er für neue Lerninhalte so empfänglich, dass er künftig vorsichtiger auf neue E-Mails reagiert und nicht zu schnell klickt. Damit dieser Lerneffekt nachhaltig wird, sollte man die Spear-Phishing-Simulationen in regelmäßigen Abständen wiederholen und an die aktuell von Cyberkriminellen verwendeten Methoden anpassen. So lässt sich dann langfristig auch „System 1“ – also das schnelle Denken und die intuitiven Entscheidungen von Mitarbeitern – stärken, das für die heiklen Klicks auf eingehende Spear-Phishing-Mails verantwortlich ist.
Trainings sollten dabei am individuellen Lernbedarf der Mitarbeiter ausgerichtet werden und eine kennzahlenbasierte Dokumentation der Lernfortschritte ermöglichen. Diese Möglichkeit bietet beispielsweise der Employee-Security-Index (ESI), der eine realitätsnahe und reproduzierbare Methode zur Awareness-Messung zur Verfügung stellt (vgl. [2]). Zur Berechnung des ESI unterteilt man Spear-Phishing-Angriffe in verschiedene Kategorien, die sich nach dem Zeitaufwand für die Vorbereitung und Durchführung einer Attacke unterscheiden.
Der individuelle ESI einer Organisation ergibt sich daraus, wie die Mitarbeiter auf Phishing-Simulationen verschiedener Schwierigkeitsgrade reagieren: Unternehmen erhalten damit eine greifbare und verlässliche Kennzahl, um ihre einzelnen Mitarbeitergruppen standardisiert miteinander zu vergleichen und den gezielten Einsatz weiterer Schulungsmaßnahmen abzuleiten. So wird es möglich, den Lernfortschritt im Unternehmen zu kommunizieren und ein gemeinsames Ziel zu definieren, für das der IT-Sicherheitsverantwortliche, das Management und die Mitarbeiter an einem Strang ziehen.
Grafik: IT-Seal GmbH
Überzeugungsarbeit
Wer eine nachhaltige IT-Sicherheitskultur in seinem Unternehmen etablieren möchte, sollte neben dem langsamen auch das schnelle Denken der Nutzer fördern. Das geschieht durch Security-Awareness-Trainings, die klassische Online- und Präsenz-Angebote um Spear-Phishing-Simulationen im Arbeitsalltag erweitern.
Allerdings ist gerade bei diesen praxisnahen Awareness-Trainings wichtig, die Mitarbeiter von Anfang an ins Boot zu holen. Sie dürfen keinesfalls das Gefühl bekommen, mit solchen Phishing-Simulationen von ihrem Arbeitgeber kontrolliert oder – noch schlimmer – hereingelegt zu werden (s. a. [3]). Unternehmen sind daher gut beraten, geplante Spear-Phishing-Simulationen richtig und rechtzeitig zu kommunizieren.
Grafik: IT-Seal GmbH
Den meisten Erfolg verzeichnen Unternehmen, wenn sie dabei das „Warum“ erklären und an die Selbstverantwortung und Selbstwirksamkeit ihrer Mitarbeiter appellieren – die Stärkung dieses „Mindsets“ macht den Unterschied! Auch wo sich IT-Abteilungen nach Kräften bemühen, möglichst viele Phishing-Mails abzufangen, schaffen es doch etliche immer wieder in den Posteingang der Empfänger. Und selbst die innovativsten IT-Sicherheitstechniken können nicht verhindern, dass der Mensch die größte Schwachstelle bei Spear-Phishing-Attacken bleibt. Mitarbeiter, die diese Botschaft verinnerlicht haben, sind das beste Bollwerk eines Unternehmens gegen die steigende Spear-Phishing-Kriminalität.
David Kelm (david.kelm@it-seal.de) ist Mitgründer und Geschäftsführer der IT-Seal GmbH.
Literatur
[1] Daniel Kahnemann, Schnelles Denken, langsames Denken, Penguin, November 2016, ISBN 978-3-328-10034-8
[2] Anjuli Franz, David Kelm, Awareness-Index, Wie kann man das Sicherheitsverhalten gegenüber Cyberangriffen messbar machen?, 2018# 5, S. 14
[3] Melanie Volkamer, Martina Angela Sasse, Franziska Boehm, Phishing for Awareness, Warum simulierte Phishing-Kampagnen negative Auswirkungen auf das Image der Security sowie die Vertrauens-und Fehlerkultur haben können, 2020#5, S. 6, online verfügbar unter www.kes.info/archiv/leseproben/2020/phishing-for-awareness/