Warum Phishing funktioniert
Die Psychologie der E-Mail-Scams
Foto: www.mimikama.at
Letztes Jahr mussten 76 Prozent der IT-Sicherheits-Teams feststellen, dass ihre Organisation durch MalwareMalware bedroht wurde, die von den vorhandenen Intrusion-Detection- und Antivirus-Lösungen nicht erkannt wurde - zu diesem Ergebnis kommt die Ponemon-Studie "The State of Advanced Persistent Threats". Der "Verizon Data Breach Investigations Report 2013" besagt zudem, dass 95 Prozent der gezielten und APT-gesteuerten Bedrohungen per E-Mail als Spear-Phishing-Angriff in Umlauf gebracht wurden. Gezielte und ausgefeilte E-Mail-Angriffe, die sich Social-Engineering-Taktiken zunutze machen, sind jetzt die am häufigsten verwendete und weiterhin zunehmende Form der Cyberangriffe. Alles zu Malware auf CIO.de
Die meisten hochentwickelten Angriffe zielen sowohl auf menschliche als auch auf systemtechnische Fehler ab. Das Prinzip funktioniert, weil die Teams für IT-Sicherheit in der Regel nicht in Echtzeit über einen ausreichenden Einblick darüber verfügen, wer auf welche Weise Ziel einer Bedrohung ist, sodass kein effizienter Schutz des Unternehmens möglich ist.
Was sich jedoch stark verändert hat, ist die Intensität und das Volumen von Attacken, die direkt auf die Benutzer abzielen. Cyberkriminelle versenden nicht mehr Tausende von E-Mails nach dem Zufallsprinzip, in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte PhishingPhishing E-Mails, welche sie maßgeschneidert auf die Empfänger ausrichten. Da dies mit einem hohen Zeitaufwand verbunden ist, besteht kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROIROI) rentieren muss. Alles zu Phishing auf CIO.de Alles zu ROI auf CIO.de
Ein lukratives Geschäft
Die Cyberkriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben und nutzen dies zu ihren Gunsten aus. Die anspruchsvollen Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen E-Mails zu unterscheiden. Kein Wunder, sind diese doch auf jeden Empfänger individuell zugeschnitten und wirken täuschend echt.
- Klik hier
Bis zu dieser Stelle könnte man das tatsächlich noch für eine echte Nachricht der Postbank halten. Doch die Beschriftung des Links verdirbt dann alles. - John2quest
Das gleiche Spiel bei der Sparkasse. Auch dieser Text klingt zunächst mal gar nicht so schlecht, bis dann das versehentlich eingestreute john2quest den guten Eindruck zerstört. Blöd gelaufen. - Stümperhaft
Hier liegt nicht nur ein Fehler in der Lieferanschrift vor, auch der ganze Vorgang mit dem Postetikett, das man erst ausdrucken muss, um eine Postsendung abholen zu können, gibt Rätsel auf. - Hallo Gast Visa Europe
Nach dieser fröhlichen Begrüßung geht wirklich alles schief. „Für Ihren Schutz haben wir Ihre Kreditkarte aufgehangen“ – das lässt Lynchjustiz vermuten. - Zugriff beschaffen
Man kann bloß hoffen, dass der Absender nicht so redet wie er schreibt. - Konto braucht Hilfe
Eine ziemlich gute Fälschung, wären da nicht die verdächtigen „Unregelmäßigkeiten“ bei Kommasetzung und Rechtschreibung. - Arbeitsort Europa
Rentner, Schwangere und Arbeitslose aufgepasst – in Europa wird eine Stelle frei. - Kein auf und ab
So seriös und überzeugend wurde wohl noch nie für ein börsennotiertes Unternehmen geworben. - Der kleine Prinz
Vor einigen Jahren kamen die Spam-Versender auf den Trichter, dass die E-Mail-Filter literarische Texte nicht beanstanden. In diesem Beispiel hat der Absender Hermann Hesses „Siddharta“ und „Der kleine Prinz“ von Antoine de Saint-Exupéry verwendet, was in der Kombination mit der Werbung für eine obskure Aktie im Anhang einigermaßen bizarr anmutet. - Hallo, wie gehst du
Eine Frau sucht die Liebe im Internet und kommt praktischerweise schon in naher Zukunft, „möglich in einem oder zwei Wochen“, nach Deutschland. Ein Wink mit dem Zaunpfahl. - Endlich reich!
Mehr als 900000 Euro zu gewinnen bei einer spanischen Lotterie, an der man nie teilgenommen hat – das ist echtes Glück. Und notarisch ist ja wohl alles in Ordnung. - Nochmal gewonnen
Diesmal geht es um eine knappe Million, das Schreiben ist diesmal sogar notariell beglaubigt. Doch das notorische „Notarisch“ in der Mitte verrät den Absender. - Lotteriegewinn zum Dritten
Und wieder ein Volltreffer, zum Schluss gibt’s nochmal 825000 Euro. - Ist die Wahrheit
Die Nigeria Connection scheint sich nach London abgesetzt zu haben und schlägt nun einen unseriösen Handel vor. - Schlechte Werbung
Wenn man nicht wissen würde, wie solche Betrügereien funktionieren, wäre Herrn Lenkas Schreiben komplett unverständlich. - Grässlicher Bewegungsunfall
Diese Mail enthält mehr Handlung als so mancher Roman, und er hat mit Abstand die lustigste Wortwahl unter den hier vorgestellten Spams. - Anerkennen
Mr. Peter Wong von der Hang Seng Bank in Hongkong ist einer der bekanntesten Spam-Versender weltweit. Und er findet wunderbare Formulierungen: „Ihre früheste Reaktion auf dieses Schreiben wird geschätzt.“ - Lieber Freund
Auch Herr Poocharit, der bei den Vereinten Nationen mit einem seltsamen Jobtitel eingestellt wurde, hat eine Menge Geld, das irgendwo zwischengelagert werden muss. - Insider-Informationen
„Es ist möglich, das System mit der richtigen Methode zu schlagen“ Das hört sich nach Klassenkampf an, ist aber nur Emily Lopez, alleinerziehende Mutter. - Abnehmen
Der schönste Satz in dieser Nachricht von Dr. Sabrina Kaub, die in der Mail-Adresse Dr. Sabrina Scholler heißt, ist natürlich „ohne dass sie halb verhungern oder staendig Sport treiben muessen.“
Das Resultat: Allein in den letzten drei Jahren ist die Anzahl der gezielten Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen. Diese sind so effektiv, weil sie die Empfänger und die installierte Sicherheits-Software gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormen Erfolg: Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit der typischen Erfolgsrate einer E-Mail-Marketingkampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links.