Warum Phishing funktioniert

Die Psychologie der E-Mail-Scams

10.04.2015 von Monika Schaufler
Warum funktionieren Spam und Phishing? Wer öffnet verseuchte E-Mail-Anhänge? Wer sich diese Fragen stellt, muss diesen Beitrag lesen.
Vorsicht, Phishing!
Foto: www.mimikama.at

Letztes Jahr mussten 76 Prozent der IT-Sicherheits-Teams feststellen, dass ihre Organisation durch Malware bedroht wurde, die von den vorhandenen Intrusion-Detection- und Antivirus-Lösungen nicht erkannt wurde - zu diesem Ergebnis kommt die Ponemon-Studie "The State of Advanced Persistent Threats". Der "Verizon Data Breach Investigations Report 2013" besagt zudem, dass 95 Prozent der gezielten und APT-gesteuerten Bedrohungen per E-Mail als Spear-Phishing-Angriff in Umlauf gebracht wurden. Gezielte und ausgefeilte E-Mail-Angriffe, die sich Social-Engineering-Taktiken zunutze machen, sind jetzt die am häufigsten verwendete und weiterhin zunehmende Form der Cyberangriffe.

Die meisten hochentwickelten Angriffe zielen sowohl auf menschliche als auch auf systemtechnische Fehler ab. Das Prinzip funktioniert, weil die Teams für IT-Sicherheit in der Regel nicht in Echtzeit über einen ausreichenden Einblick darüber verfügen, wer auf welche Weise Ziel einer Bedrohung ist, sodass kein effizienter Schutz des Unternehmens möglich ist.

Was sich jedoch stark verändert hat, ist die Intensität und das Volumen von Attacken, die direkt auf die Benutzer abzielen. Cyberkriminelle versenden nicht mehr Tausende von E-Mails nach dem Zufallsprinzip, in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte Phishing E-Mails, welche sie maßgeschneidert auf die Empfänger ausrichten. Da dies mit einem hohen Zeitaufwand verbunden ist, besteht kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROI) rentieren muss.

Ein lukratives Geschäft

Die Cyberkriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben und nutzen dies zu ihren Gunsten aus. Die anspruchsvollen Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen E-Mails zu unterscheiden. Kein Wunder, sind diese doch auf jeden Empfänger individuell zugeschnitten und wirken täuschend echt.

Die 20 lustigsten Phishing-Mails
Klik hier
Bis zu dieser Stelle könnte man das tatsächlich noch für eine echte Nachricht der Postbank halten. Doch die Beschriftung des Links verdirbt dann alles.
John2quest
Das gleiche Spiel bei der Sparkasse. Auch dieser Text klingt zunächst mal gar nicht so schlecht, bis dann das versehentlich eingestreute john2quest den guten Eindruck zerstört. Blöd gelaufen.
Stümperhaft
Hier liegt nicht nur ein Fehler in der Lieferanschrift vor, auch der ganze Vorgang mit dem Postetikett, das man erst ausdrucken muss, um eine Postsendung abholen zu können, gibt Rätsel auf.
Hallo Gast Visa Europe
Nach dieser fröhlichen Begrüßung geht wirklich alles schief. „Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen“ – das lässt Lynchjustiz vermuten.
Zugriff beschaffen
Man kann bloß hoffen, dass der Absender nicht so redet wie er schreibt.
Konto braucht Hilfe
Eine ziemlich gute Fälschung, wären da nicht die verdächtigen „Unregelmäßigkeiten“ bei Kommasetzung und Rechtschreibung.
Arbeitsort Europa
Rentner, Schwangere und Arbeitslose aufgepasst – in Europa wird eine Stelle frei.
Kein auf und ab
So seriös und überzeugend wurde wohl noch nie für ein börsennotiertes Unternehmen geworben.
Der kleine Prinz
Vor einigen Jahren kamen die Spam-Versender auf den Trichter, dass die E-Mail-Filter literarische Texte nicht beanstanden. In diesem Beispiel hat der Absender Hermann Hesses „Siddharta“ und „Der kleine Prinz“ von Antoine de Saint-Exupéry verwendet, was in der Kombination mit der Werbung für eine obskure Aktie im Anhang einigermaßen bizarr anmutet.
Hallo, wie gehst du
Eine Frau sucht die Liebe im Internet und kommt praktischerweise schon in naher Zukunft, „möglich in einem oder zwei Wochen“, nach Deutschland. Ein Wink mit dem Zaunpfahl.
Endlich reich!
Mehr als 900000 Euro zu gewinnen bei einer spanischen Lotterie, an der man nie teilgenommen hat – das ist echtes Glück. Und notarisch ist ja wohl alles in Ordnung.
Nochmal gewonnen
Diesmal geht es um eine knappe Million, das Schreiben ist diesmal sogar notariell beglaubigt. Doch das notorische „Notarisch“ in der Mitte verrät den Absender.
Lotteriegewinn zum Dritten
Und wieder ein Volltreffer, zum Schluss gibt’s nochmal 825000 Euro.
Ist die Wahrheit
Die Nigeria Connection scheint sich nach London abgesetzt zu haben und schlägt nun einen unseriösen Handel vor.
Schlechte Werbung
Wenn man nicht wissen würde, wie solche Betrügereien funktionieren, wäre Herrn Lenkas Schreiben komplett unverständlich.
Grässlicher Bewegungsunfall
Diese Mail enthält mehr Handlung als so mancher Roman, und er hat mit Abstand die lustigste Wortwahl unter den hier vorgestellten Spams.
Anerkennen
Mr. Peter Wong von der Hang Seng Bank in Hongkong ist einer der bekanntesten Spam-Versender weltweit. Und er findet wunderbare Formulierungen: „Ihre früheste Reaktion auf dieses Schreiben wird geschätzt.“
Lieber Freund
Auch Herr Poocharit, der bei den Vereinten Nationen mit einem seltsamen Jobtitel eingestellt wurde, hat eine Menge Geld, das irgendwo zwischengelagert werden muss.
Insider-Informationen
„Es ist möglich, das System mit der richtigen Methode zu schlagen“ Das hört sich nach Klassenkampf an, ist aber nur Emily Lopez, alleinerziehende Mutter.
Abnehmen
Der schönste Satz in dieser Nachricht von Dr. Sabrina Kaub, die in der Mail-Adresse Dr. Sabrina Scholler heißt, ist natürlich „ohne dass sie halb verhungern oder staendig Sport treiben muessen.“

Das Resultat: Allein in den letzten drei Jahren ist die Anzahl der gezielten Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen. Diese sind so effektiv, weil sie die Empfänger und die installierte Sicherheits-Software gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormen Erfolg: Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit der typischen Erfolgsrate einer E-Mail-Marketingkampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links.

Der Erfolg scheint sicher

Phishing-Attacken sind nicht nur lästig - sie können Individuen und Unternehmen auch große Probleme bereiten. So wurde beispielsweise durch einen Longlining-Angriff ein Rechner der Firma FazioMechanical Services infiziert. Diese lieferte zu diesem Zeitpunkt Heizungs- und Lüftungsanlagen an den Multi-Milliarden-Konzern Target. Die Cyberkriminellen attackierten nun über das Netzwerk von Fazio die Firma Target und stahlen knapp 110 Millionen Personendaten. Darunter auch 40 Millionen Kreditkarten-Daten, die das Unternehmen gespeichert hatte. In den darauffolgenden Monaten verzeichnete Target einen Gewinneinbruch von 46 Prozent und einen Schaden von mehreren Milliarden Euro.

Der Mensch, das immergleiche Risiko

Der zunehmende Wandel in unserer Gesellschaft hinsichtlich Schnelllebigkeit und mobiler Erreichbarkeit bedeutet, dass wir mit Nachrichten aus mehr Bezugsquellen als je zuvor konfrontiert werden - und das nicht nur im Büro, sondern auch zu Hause. Dieses E-Mail-Volumen konditioniert den Menschen. Der Eingang von zu wenigen oder zu vielen gefährlichen Bedrohungen führt zu einer höheren Klickrate. Ab einer Anzahl von 100 gefährlichen Nachrichten pendelt sich die Klickwahrscheinlichkeit bei 60 Prozent ein.

Gelangweilt herumsitzen ist nicht mehr. Der Mensch ist darauf trainiert, zu klicken.
Foto: Fiedels - Fotolia.com

Ein Hauptgrund hierfür ist, dass sich unsere Aufmerksamkeitsspanne zunehmend verkürzt - wir entwickeln uns langsam zu einer Generation von überenthusiastischen Klickern. Denn es ist schon fast zu einer automatischen Reaktion geworden, nach dem Öffnen einer neuen Nachricht innerhalb von Sekunden zu entscheiden, ob auf einen Link geklickt wird oder nicht.

Benutzer können zwar unerwünschte E-Mails von nützlichen E-Mail-Nachrichten unterscheiden, haben jedoch zunehmend Schwierigkeiten, Phishing-Mails zu erkennen, weil unangeforderte E-Mail-Nachrichten und Benachrichtigungen von beliebten Diensten an der Tagesordnung sind. Bei dieser Entscheidung ist es ausschlaggebend, ob der Inhalt uns relevant und sinnvoll erscheint. Nach einem Klick wird die Website geöffnet, der Inhalt gelesen und dann sofort die nächste Nachricht angesehen.

Psychologisch gesehen ist der Mensch darauf konditioniert, auf Links zu klicken - und Cyberkriminelle nutzen diese Verhalten schamlos aus, indem sie die E-Mails besonders klickfreundlich gestalten.

Die Kunst des Marketings

Longlining-Angreifer nutzen clevere Datenbank-Techniken aus dem Marketing, um gezielt E-Mails an Tausende von Mitarbeiter von hunderten Unternehmen innerhalb weniger Stunden zu versenden. Die E-Mails enthalten Nachrichten, welche für die Empfänger auf den ersten Blick persönlich relevant zu sein scheinen. Das führt dazu, dass eine von zehn Personen auf den Link in der E-Mail klickt und auf eine schädliche Website weitergeleitet wird. Natürlich sieht diese harmlos aus, ermöglicht es den Angreifern jedoch, innerhalb von nur wenigen Sekunden die vollständige Kontrolle über den betroffenen Rechner zu erlangen. Die Sicherheits-Software des Unternehmens bekommt von all dem nichts mit.

So gehen die Phishing-Betrüger vor

Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.

Klickt man auf den Antwort-Button, ...

... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.

Sogar angebliche Auktionsteilnahmen sind gefälscht..

Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.

Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.

Ein Problem für die Zukunft

Leider wird das Risiko, dem Unternehmen durch Phishing-Attacken ausgesetzt sind, zunehmen. Und somit wird auch der Schutz gegen derartige Angriffe schwieriger werden, denn die Sicherheit ist ständig wechselnden Herausforderungen unterworfen - und somit nie 100-prozentig. Cyberkriminelle wechseln fortlaufend die Taktik, um konventionelle und standortorientierte Lösungen auf Signaturbasis zu umgehen. Angreifer sind seit neuestem mit polymorpher Malware sowie mit Datenverkehrsverteilungssystemen immer erfolgreicher beim Umgehen von Antivirussoftware, IDS/IPS, sicheren E-Mail-Gateways und Web-Gateways. Selbst bei einem optimalen Wirkungsgrad erkennt ein Filter mit einer Effizienz von 99,99 Prozent einige dieser Bedrohungen nicht. Bei Longlining-Angriffen mit Millionen von E-Mails können Bedrohungen, die das System innerhalb kurzer Zeit unerkannt durchlaufen, von Bedeutung sein.

Das Resultat ist, dass selbst bei den am besten geschützten Unternehmen, die einen enormen Investitionsaufwand für die Sicherheit und Schulung aufbringen, immer wieder Benutzer auf gefährliche Nachrichten klicken - und zwar innerhalb und außerhalb des Unternehmensnetzwerks. Das heißt, dass ein rein gatewaybasierter Schutz nicht ausreichend ist.

Unternehmen müssen unbedingt ihre allgemeine Sicherheitsarchitektur optimieren, um dieser Bedrohung Stand halten zu können. Tools zur Bedrohungserkennung der nächsten Generation müssen Einblick auch nach der Zustellung bieten. Zusätzlich sollte in mitarbeiterorientierte Sicherheitsansätze wie Schulungen investiert werden. Irren mag menschlich sein, jedoch gilt auch hier: Vertrauen ist gut - Kontrolle ist besser.

So können sich Unternehmen schützen

  1. Da Benutzer es grundsätzlich gewohnt sind zu klicken, müssen Unternehmen die Sicherheitssteuerelemente fokussieren, die auf solche Situationen aufmerksam machen und im Falle einer Infizierung entsprechende Gegenmaßnahmen einleiten können.

  2. Geräte außerhalb der Unternehmensnetzwerke sind besonders anfällig für Phishing-Angriffe. Es empfiehlt sich, technische Lösungen für einen "Follow-me"-Schutz in Betracht zu ziehen, unabhängig von den Geräten und ungeachtet der Tatsache, ob das Gerät mit dem Unternehmensnetzwerk verbunden ist.

  3. Besonders bei sozialen Netzwerken muss verstärkt auf Phishing-Merkmale geachtet werden, bevor auf eine Benachrichtigung geklickt wird. Risiken können auch durch Sicherheitslösungen minimiert werden, die auf Anomalien bei E-Mails achten und für URL-Ziele die Sandboxing-Technologie einsetzen.

  4. Investieren Sie in Benutzerschulungen. Machen Sie ihren Mitarbeitern klar, nicht auf Links von sozialen Netzwerken in E-Mails zu klicken. Stattdessen sollten sie sich über ihren Browser oder ihre App einloggen, um die neuesten Meldung von dort aus zu verwalten.