VOLLTEXTSUCHE
News, 20.11.2014
Social Engineering-Studie
Cyberkriminelle nutzen menschliche Schwächen aus
Geiz, Neugier, Eitelkeit – häufig sind es weniger die Raffinessen anderer, sondern vielmehr unsere eigenen Schwächen, die uns Opfer von Cyberkriminellen werden lassen, zeigt eine Studie zum sog. Social Engineering.
Grafik: Kaspersky Lab
Grafik: Kaspersky Lab
Eine Studie des IT-Security-Lösungsanbieter Kaspersky Lab zeigt: Cyberkriminelle machen sie bei ihren Angriffsstrategien und –techniken psychologische Erkenntnisse zunutze und richten diese daran aus. Schlüssel zu den Daten der von ihnen ins Visier genommenen Nutzer ist nicht selten weniger das Hacking des Computers, Tablets oder Smartphones, sondern vielmehr Nutzer dort zu packen , wo der Verstand an zweite Stelle tritt, nämlich bei ihren menschlichen Schwächen. „Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche E-Mails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht“, so Kaspersky Lab. Ist der Reiz geschickt gesetzt und stark genug, um den gewünschten „Klick“ herbeizuführen, dann schnappt die Falle zu, sei es in Form einer Phishing-Website, auf der der über seine Schwäche „Ferngesteuerte“ nun quasi auf dem Silbertablett seine persönlichen Daten weitergibt, oder der Installation eines Schadprogrammes wie etwa eines Trojaner oder  einer Erpressersoftware.

„Für Social Engineering greifen Cyberkriminelle auf grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing zum Einsatz“, erklärt Dr. Astrid Carolus, Medienpsychologin an der Universität Würzburg. „Denn Cyberkriminelle wissen, wie Menschen funktionieren – und genau das nutzen sie aus. Die Art wie wir denken und fühlen macht uns angreifbar. Unser Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen uns anfällig für Social Engineering.“

Psychologie als Basis für Social Engineering

Vertrauen basiert im Wesentlichen auf dem Grundvertrauen, das sich jeder Mensch in den ersten zwei Jahren seines Lebens erwirbt. Kaspersky zufolge vertraue man zum Beispiel seinen Freunden. Gleiches gilt, zumindest bis zu einem gewissen Grad, für bekannte Personen, wie Prof. Dr. Frank Schwab und Dr. Astrid Carolus vom Lehrstuhl Medienpsychologie der Universität Würzburg untersuchten. Ihnen bringt man – auch wenn man sie nicht näher kennt, meist mehr Vertrauen entgegen als Unbekannten. Gerade dies kann allerdings im Internet sehr schnell zur Falle werden.

„Gerade wenn ein Angebot oder eine Information im Internet allzu verlockend klingt, sollten Nutzer besondere Vorsicht walten lassen“, so Holger Suhl, General Manager DACH bei Kaspersky Lab. „Auch das Akzeptieren von angeblichen Facebook-Freunden, die man gar nicht richtig kennt, kann ein Fehler sein. Denn als ‚Freund‘ erhält diese Person Zugriff auf zahlreiche wertvolle Informationen“, warnt Suhl. Nutzer sollten sich von daher dem Experten nach auf Facebook nur mit Menschen anfreunden, die sie persönlich und wirklich gut kennen.

Hebel "Autorität" als Angriffstaktik

Ein weiterer Angriffspunkt der menschlichen Psyche ist Kasperksy Lab zufolge die Wirkungskraft (vermeintlicher) Autoritäten. Diese kommt vor allem beim Phishing zum Tragen, zumal inzwischen viele Phishing-Mails und –Websites so professionell gemacht sind, dass selbst erfahrene Internetnutzer nicht selten Schwierigkeiten haben, diese als solche zu  erkennen. „Menschen vertrauen E-Mails eher, die scheinbar von der eigenen IT-Abteilung im Unternehmen kommen, obwohl der Absender unbekannt ist“, stellt der Security-Anbieter bezugnehmend  auf eine Veröffentlichung von Schwab und Carolus fest.

Auch Banken und Finanzinstitute stellen Autoritäten dar. Entsprechend zählen Phishing-Mails, die den Anschein einer offiziellen E-Mail einer Bank erwecken und Nutzer dazu anhalten, sensible Daten wie etwa Zugangsdaten auf einer fingierten Website einzutragen, mittlerweile laut Kaspersky Lab zum Standardrepertoire von Cyberkriminellen. Dass diese Taktik häufig aufgeht, zumindest aber offenbar eine vergleichsweise besonders erfolgversprechende ist, legt auch eine jüngste veröffentlichte Kaspersky-Studie nahe, demnach fast jeder zweite Internetnutzer in Deutschland (44 %) in jüngster Zeit mindestens eine als Mail von einer Bank getarnte eine Phishing-Mail erhalten hat.

„Im Jahr 2013 richteten sich über 30 Prozent der Finanz-Phishing-Attacken auf Kunden von Banken und Onlinebezahldiensten“, so Kaspersky Lab mit Verweis auf eine weitere Analyse. Lediglich Nutzer von Social Networks waren innerhalb des Analyse-Zeitraums häufiger das Ziel von Phishing-Mail-Kampagnen. „Dass Onlinebetrug bei Anwendern Sozialer Medien funktioniert, wirkt aus cyberpsychologischer Sicht plausibel, wenn man das oben genannte menschliche Grundmotiv des Zugehörigkeitsgefühls in Betracht zieht“, stellt der IT-Security-Anbieter fest.

Neugier und Mitgefühl - vom „Nigerianischen Spam“ bis hin zum „Spear-Phishing“

Ein weiterer, ebenfalls stark ausgeprägter menschlicher Instinkt, den sich Cyberkriminelle gern zunutze machen, ist die Neugierde. Beispiel sind etwa E-Mails, SMS oder Nachrichten in Messaging-Diensten mit gefährlichen Links oder in Datei-Anhängen versteckter Malware. Hier gilt das Prinzip: je unwiderstehlicher der Köder, desto größer die Neugier und damit auch die Chance, dass die Phishing-Mail-Kampagne reiche Beute bringt. Eine besonders raffinierte, auf den Hebel „Neugier“ setzende Phishing-Angriffstaktik ist Kaspersky Lab zufolge das sogenannten Spear-Phishing: „Hier werden die Interessen der Anwender vor dem Angriff ausgekundschaftet und anschließend entsprechende Spear-Phishing-Mails zielgerichtet an das potenzielle Opfer je nach individuellem Interesse versendet“, so Kaspersky Lab.

Ein weiteres Grundmotiv menschlichen Handelns, an dem sich sehr gut „andocken“ lässt, ist schließlich noch die Hilfsbereitschaft. Als wohl bekanntestes Beispiel hierfür  nennt der IT-Sicherheitsanbieter eine als sogenannter „Nigerianischer Spam“ bezeichnete Phishing-Mail-Kampagne im vergangenen Jahr. „Kriminelle gaben sich als Mitglieder des Internationalen Roten Kreuzes im Zusammenhang mit dem Syrienkonflikt aus und appellierten per E-Mail an die Hilfsbereitschaft der Anwender“, so Kaspersky Lab.

Laut Carolus weisen Studien jedoch darauf hin, dass die Anfälligkeit für Social Engineeering unter anderem auch vom digitalen Bildungsgrad beeinflusst wird. So zeigten etwa Studien, dass Frauen eher als Männer Phishing-E-Mails öffnen und darin enthaltene Links anklicken. „Ein Effekt, der möglicherweise auch auf Unterschiede im Wissensstand zurückzuführen ist. Männer kommen im Mittel immer noch besser in der digitalen Welt zurecht als Frauen“, so die Medienpsychologin. Wie Kaspersky Lab ergänzt, gibt allerdings ein anderes Studienergebnis Hoffnung, demnach sich bereits durch eine einzige Schulung, die Quote der Phishing-Opfer innerhalb des Studienzeitraums nahezu halbieren ließ.
WEITERE NEWS AUS DIESER KATEGORIE
NACHRICHTEN AUS ANDEREN RESSORTS
Erfolgsfaktor Datensicherheit und Datenschutz
Gleich wie gut ein Unternehmen technologisch gegen Cyberkriminalität abgesichert ist: Die letzte ... mehr

SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
Anzeige
BUSINESS-SERVICES
© novo per motio KG