Die Psychotricks der Cyberkriminellen
Bei zahlreichen Cyberangriffen sind Menschen das schwache Glied in der Abwehrkette. Cyberkriminelle nutzen psychologische Taktiken, um ihre Opfer auszutricksen – auch Social Engineering genannt. Aber warum klicken Menschen auf Links zu Schadcode-Webseiten? Und warum geben wir vertraulichen Informationen an Cyberkriminelle weiter? Der Verhaltensforscher Robert Cialdini nennt sechs Prinzipien der Überzeugung, die das menschliche Verhalten bestimmen: Gegenseitigkeit, Konsistenz, Konsens, Sympathie, Autorität und Knappheit.
Die sechs Prinzipien der Einflussnahme
Gegenseitigkeit: Menschen versuchen, sich zu revanchieren, wenn sie etwas von einer anderen Person erhalten haben. Das Prinzip vermittelt einem das Gefühl, jemanden etwas schuldig zu sein. Ein positives Beispiel ist der barmherzige Samariter.
Konsistenz: Menschen streben danach, in ihren Worten und Taten konsistent zu sein. Wenn wir eine Entscheidung getroffen haben, verhalten wir uns gemäss dieser Festlegung. Im Falle einer Katastrophe versuchen Cyberkriminelle beispielsweise, Spenden zu sammeln. Die Opfer sind überzeugt, Gutes zu tun.
Konsens: Menschen orientieren sich bei Entscheidungen häufig daran, was andere für richtig und angemessen halten. Wir betrachten ein Verhalten als richtig, indem wir dieses Verhalten auch bei anderen beobachten. Cyberkriminelle geben sich beispielsweise als IT-Verantwortliche aus und erfragen Unterstützung, um eine Aktion durchzuführen.
Sympathie: Cyberkriminelle setzen ihren Charme ein und versuchen zum Beispiel am Telefon, die Opfer dazu zu bringen, sensible Informationen zu verraten. Menschen sind eher bereit, sich von einer Person überzeugen zu lassen, den sie sympathisch finden.
Autorität: Das Prinzip der Autorität nutzen Angreifer, indem sie zum Beispiel eine gefälschte E-Mail im Namen eines Geschäftsführers verschicken und ihr Opfer bitten, eine Rechnung zu überweisen. Die Leute neigen dazu, der Aufforderung nachzukommen, da wir konditioniert sind, gehorsam gegenüber Autoritäten zu sein.
Knappheitsprinzip: Entscheidungsoptionen erscheinen uns umso wertvoller, je weniger davon vorhanden sind. Wenn es beispielsweise darum geht, etwas verlieren zu können, sind wir stärker motiviert. Dies nutzen Angreifer auf und setzen Opfer unter Druck, beispielsweise schnell ihre Zugangsdaten auf einer falschen Webseite einzugeben, weil sonst der Zugang zum Bankkonto oder sozialem Netzwerk gesperrt wird.
Psychologische Auswirkungen
Digitale Straftaten haben ähnliche Auswirkungen auf die Opfer wie herkömmliche Formen der Kriminalität, wie eine Studie aus den Niederlanden belegt. Leidtragende von Onlinekriminalität sind vermehrt Schuldzuweisungen ausgesetzt. Diese erhalten vorwurfsvolle Kommentare von Freunden, Familienangehörigen oder Kollegen. Es ist daher wichtig, den Wissensstand über Onlinekriminalität zu verbessern, damit Betroffene mit Unterstützung und Anerkennung rechnen können. Doch anstatt mit dem Finger auf das Opfer zu zeigen, sollten Benutzer*innen Schulungen und Weiterbildungen erhalten.
Da viele Cyberangriffe menschliche Schwächen ausnutzen, müssen Verantwortliche den psychologischen Aspekten mehr Aufmerksamkeit schenken und den Wissensstand der Mitarbeitenden über Online-Kriminalität verbessern. Dies gelingt mit zeitgemässen Security Awareness Trainings, in denen die Angestellten lernen, wie Cyberkriminelle agieren. Wenn Mitarbeitende dies verstehen, verhindern sie mit ihrem Verhalten, dass Angreifer ins Netzwerk gelangen.
G DATA CyberDefense AG
G DATA Campus
Königsallee 178
44799 Bochum
sales@gdata.de
Wie Cyberkriminelle Emotionen und Vertrauen ausnützen
Trotz unzähliger Aufklärungskampagnen und Aufrufen zur Vorsicht, erreichen die kriminellen Akteure hinter Phishing-Attacken noch immer zu oft ihr Ziel. Viele von uns haben ein Bild vor Augen, bei dem Cyberkriminelle in dunklen Kellern sitzen und heimtückische Pläne schmieden, um technische Infrastrukturen zu unterwandern, indem sie beispielsweise eine Firewall durchbrechen. In Wirklichkeit jedoch ist das „Problem“ der Mensch hinter dem Endgerät. Denn die Technologie ist im Grunde sehr effektiv darin, Angriffen zu widerstehen. Daher zielen die Angreifer auf die verwundbarste Stelle – den Benutzer. Laut Untersuchungen von Proofpoint beginnen 94 Prozent aller Cyberangriffe mit einer E-Mail und mehr als 99 % davon erfordern eine menschliche Aktion, um den Angriff tatsächlich zu aktivieren bzw. zu ermöglichen.
Doch die Kriminellen beschränken sich keineswegs auf Phishing-E-Mails, die Gewinnchancen in fernen Ländern versprechen. Gerne werden Netflix-Kündigungen bzw. Paketbenachrichtigungen als Aufhänger genutzt, um Anwender zu überlisten. Und sogar tagesaktuelle Nachrichten dienen den Cyberkriminellen als Köder. Dementsprechend tief und umfangreich muss auch die Analyse der zugrundeliegenden Dynamik erfolgen. Um also einen effektiven Schutz zu erreichen, ist es daher dringend geboten, die Psychologie hinter diesen Angriffen zu erkennen. Nur so lassen sich Lehren daraus ziehen, warum diese häufig klischeehaft wirkenden Angriffe trotz aller Aufklärungskampagnen noch immer derart häufig – aus Sicht der Angreifer – erfolgreich sind.
Die Intention der Angreifer
Um zu verstehen, wie die Angreifer versuchen, ihr Ziel zu erreichen, ist es hilfreich, sich zunächst zu verdeutlichen, wie Menschen in die Falle gelockt werden. Dies sind primär drei Wege, auf denen Angreifer versuchen, sich einen Vorteil zu verschaffen: Erstens, indem sie den Benutzer dazu bringen, ihren Code auszuführen. Zweitens, indem sie den Benutzer dazu verleiten, Anmeldeinformationen auszuhändigen, oder drittens, indem die Opfer einfach direkt einen Transfer von Geld oder Daten an den Angreifer veranlassen.
In jüngster Zeit zeichnet sich ein Trend ab, dass Angriffe komplexer gestaltet und der Versuch unternommen wird, einen gewissen Abstand zwischen der ursprünglichen E-Mail und der beim Angriff verwendeten Malware zu schaffen. Dies soll die Malware-Erkennung erschweren, jedoch bedürfen diese Angriffe immer noch einer menschlichen Aktion. Der Benutzer ist folglich der Punkt, an dem die überwiegende Mehrzahl aller Cyberangriffe erfolgreich ist – oder eben scheitert. Entsprechend müssen auch die Sicherheitsstrategien diesem Umstand Rechnung tragen und den Menschen in den Mittelpunkt der Betrachtung rücken.
Wie Angreifer Menschen zum Klick motivieren
Die Intention der Angreifer ist es, Angestellte dazu zu verleiten, ihre zuvor absolvierten Sicherheitstrainings zu missachten und eine falsche Entscheidung zu treffen, um dadurch den Angriff voranzutreiben. Kriminelle Akteure versuchen hier hauptsächlich drei Aspekte auszunutzen, um dieses Fehlverhalten hervorzurufen: Emotionen, Vertrauen und Müdigkeit.
Müdigkeit
Nahezu jeder Chief Information Security Officer (CISO) wird bestätigen, dass ein hoher Anteil aller Cyberangriffe an einem Freitagnachmittag stattfindet. Das liegt zum einen daran, dass Angreifer darauf bauen, dass ihnen ein erfolgreicher Coup das ganze Wochenende Zeit verschafft, den erlangten Zugang auszunutzen, da an Wochenenden die Verantwortlichen der betroffenen Unternehmen mit hoher Wahrscheinlichkeit weniger wachsam sind.
Zum anderen ist für die Wahl dieses Zeitpunkts vor allem die Müdigkeit der Angestellten ausschlaggebend. Zum Ende des letzten Arbeitstags der Woche hin steigt die Wahrscheinlichkeit, dass die Benutzer eine schlechte Wahl treffen – besonders wenn eine Woche harter Arbeit hinter ihnen liegt. Doch wie funktioniert diese Dynamik?
Sobald das Gehirn eines Menschen müde wird, delegiert es scheinbar einfache Entscheidungen an niedrigere, stärker automatisierte Gehirnfunktionen. Das ist auch der Grund, warum Menschen am Ende eines hektischen Tages noch mit dem Auto nach Hause fahren können.
Einzelne Nutzer haben in ihrem Leben häufig bereits Millionen von E-Mails gelesen. Werden Mitarbeiter also müde, ist es vollkommen einleuchtend, dass deren Amygdala, auch bekannt als „Mandelkern“, an dieser Stelle eingreift und die Reaktionen fast in einer Art Autopilot steuert. Erhalten sie in diesem Zustand also beispielsweise eine E-Mail mit einem Dateianhang, erfolgt die Öffnung dieser Datei fast automatisch, um zu sehen, was sich dahinter verbirgt. Schon ist es geschehen! Das Problem ist, dass die Amygdala sehr schlecht darin ist, einen Kontext zu bewerten, der für die Identifizierung einer gefährlichen E-Mail entscheidend ist – dieses Hirnareal liefert eher eine „Echtzeit-Reaktion“ als eine analytische Unterstützung.
Ein weiterer Aspekt in Sachen Ermüdung ist der „Überwältigungseffekt“. Wenn der Angreifer sich dessen bewusst ist, dass seine Aktion beim Empfänger die Alarmglocken schrillen lässt, liegt es nahe, zunächst unzählige „Fehlalarme“ auszulösen. Der Nutzer wird in der Folge von den vermeintlichen Bedrohungen überwältigt und desensibilisiert – der perfekte Zeitpunkt, um den tatsächlichen Angriff durchzuführen.
Vertrauen
Der zweite Ansatzpunkt, den sich Angreifer zunutze machen, ist Vertrauen. Wenn wir mit einer Reihe von Möglichkeiten konfrontiert werden, ist Vertrauen eine weitere Abkürzung, die unser Gehirn nutzt, um schnell eine Entscheidung zu treffen. Wenn wir eine Verbindung zu einer Marke oder Person sehen, der wir vertrauen, gewinnt die Kommunikation an Glaubwürdigkeit und die Schwelle, die erforderlich ist, damit wir klicken oder interagieren, wird gesenkt.
Beispiele dafür gibt es unzählige. Und dies ist auch der Grund dafür, warum gefälschte E-Mails viel häufiger mutmaßlich von „DHL“ oder „Amazon“ stammen als von anderen Lieferdiensten oder Online-Shops. Dieselbe Dynamik – also das in andere gesetzte Vertrauen zu missbrauchen – versuchen Angreifer auch auszunutzen, indem sie die Accounts von Personen kompromittieren, mit denen die eigenen Mitarbeiter und Geschäftspartner aus der Lieferkette vertraut sind und denen sie im Umkehrschluss auch vertrauen. Diese Konten sind für Cyberkriminelle besonders interessant, denn ein Link in einer E-Mail von einem Kollegen wird weitaus häufiger geklickt, als wenn diese offensichtlich von einem Fremden stammt.
Angreifer versuchen darüber hinaus auch das Vertrauen von Mitarbeitern auszunutzen, wenn es darum geht, den passenden Ort für ihre Malware zu finden. Untersuchungen von Proofpoint belegen, dass Benutzer viermal wahrscheinlicher auf gefährliche Links klicken, wenn diese auf Microsoft SharePoint verweisen, und sogar zehnmal wahrscheinlicher, wenn es sich um einen Link zu Microsoft OneDrive handelt. Dies zeigt, dass die Angreifer genau wissen, dass Benutzer darauf achten, auf welche Domains Links verweisen, um zu entscheiden, ob sie daraufklicken sollen. Das Wissen um diese Tatsache versetzt die Angreifer zudem in die Lage, die Klickraten zu steigern, indem sie ihre Malware an einem Ort hinterlegen, der als „vertrauenswürdig“ wahrgenommen wird.
Emotion
Wir alle wissen, dass wir nicht noch das zweite Stück Schokolade essen, den Sport ausfallen lassen oder das zweite Glas Wein trinken sollten, und doch tun wir oft genau das – warum? Unser Gehirn befindet sich in einem ständigen Kampf zwischen zwei konkurrierenden Zuständen.
Im Buch von Daniel Kahneman, „Thinking Fast and Slow“, beschreibt dieser zwei getrennten Systeme des Denkens: Zum einen den emotionalen und intuitiven Prozess und zum anderen den langsameren Prozess der rationalen Logik.
Unser emotionales Gehirn ist unglaublich leistungsfähig, es handelt schnell, kann Dinge leicht nachvollziehen und bietet oft eine sofortige Belohnung (hier kommt wieder der Gedanke mit dem zweiten Stück Schokolade ins Spiel!). Unser rationales Gehirn hingegen braucht Zeit und es bedarf einiger Anstrengungen, um es zu aktivieren. Doch dieses rationale Gehirn verhilft uns oft zu besseren, strategischeren Entscheidungen (Auf Wiedersehen, zweites Schokoladenstück!).
Angreifer sind sich dieser Gegebenheiten wohl bewusst und versuchen daher aktiv, emotionale Reaktionen hervorzurufen. Auf diese Weise trifft das Opfer eine schnelle Entscheidung, umgeht seine rationale Sphäre und erhöht so für den Angreifer die Wahrscheinlichkeit, dass ein Link geklickt wird, obwohl der Betroffene es im Grunde besser weiß.
Die überwiegende Mehrheit dieser emotionalen Reaktionen soll „schnell“ erfolgen. Diese Geschwindigkeit in der Reaktion soll beispielsweise hervorgerufen werden, indem gedroht wird: „Ihr Paket wird gleich ins Depot zurückgeschickt“, „Ihr Netflix-Konto wurde gesperrt“ oder „Ihre Überweisung wurde abgelehnt“. Die Intention dahinter ist, dass das rationale Gehirn umgangen werden soll. Und genau hier findet sich der Grund, warum Menschen klicken, obwohl sie es eigentlich besser wissen.
Es existieren jedoch auch langsamere Techniken der Angreifer, um Emotionen auszunutzen. Diese sind aber weit weniger häufig zu beobachten, da sie einen viel größeren Aufwand und mehr Zeit erfordern. Diese Arten von Angriffen werden üblicherweise als „Romance Scams“ bezeichnet.
Wie Mitarbeiter auf den Umgang mit Angriffen vorbereitet werden sollten
Wie erläutert, zielen die Angreifer speziell auf Emotionen der Nutzer ab, um deren rationales Denkvermögen zu umgehen, da dies der Teil des Gehirns ist, der normalerweise zum Analysieren von Dingen herangezogen wird.
Es ist wichtig zu verstehen, dass die niedrigeren, weniger rationalen Bereiche des Gehirns die Kontrolle übernehmen, wenn der logische Verstand müde oder abgelenkt ist. Genau diese Aspekte müssen den Mitarbeitern verdeutlicht werden. Diesen muss klar sein, dass bei jeder E-Mail, die eine emotionale Reaktion hervorzurufen versucht, alle Alarmglocken läuten müssen. Und dass sie umso vorsichtiger und überlegter handeln sollten, je stärker der emotionale Trigger ist. Besonders müssen Nutzer darauf achten, wenn sie müde oder überwältigt sind – doch auch hier darf die Wachsamkeit der Angestellten nicht nachlassen.
Darüber hinaus sollte ein Modell implementiert werden, das dem Grundsatz „Vertrauen ist gut, es aber mittels eines anderen Kanals überprüfen ist besser“ folgt, sobald einem Mitarbeiter eine Kommunikation auch nur ansatzweise verdächtig erscheint. Wird der Inhalt einer E-Mail also beispielsweise via Telefon verifiziert, kann dieser Verdacht schnell ausgeräumt werden – dabei sollte jedoch niemals die in der E-Mail enthaltene Telefonnummer verwendet werden.
Fazit
Schlussendlich ist es am besten, sich gewahr zu werden, dass Cyberkriminalität auch nur eine Sonderform des Verbrechens ist. Und wie bei Verbrechen üblich, sind es Menschen, die andere Menschen versuchen auszubeuten bzw. sie hinters Licht zu führen. Die Erkenntnis daraus muss lauten, dass sich Unternehmen besser schützen lassen, wenn sich die Security-Verantwortlichen auf den Menschen als primären Aspekt der Verteidigungsstrategie konzentrieren – denn auch für die Angreifer steht der Mensch als Ziel im Vordergrund, nicht die Technologie.
Jeder Nutzer hat es selbst in der Hand. Er kann sich dafür entscheiden, nicht zuzulassen, dass ein Angreifer seine Gefühle manipuliert und sein Vertrauen missbraucht – jedoch nur, wenn er weiß, worauf er achten muss. Wer beim Lesen von E-Mails wachsam und aufmerksam ist, nach emotionalen Triggern Ausschau hält und eine „Vorsicht geht vor Nachsicht“-Mentalität an den Tag legt, der kann viel dazu beitragen, unerwünschte Klicks zu vermeiden.
Der Weg in die Cyberkriminalität: Was ist die Motivation dahinter?
In einem aktuellen Bericht untersucht die britische National Crime Agency die Motive, warum die Jugendlichen den Weg in die Cyberkriminalität einschlagen.
In einem aktuellen Bericht stellt die britische National Crime Agency (NCA) fest, dass viele junge Leute nicht unbedingt durch finanzielle Anreize motiviert werden, den Weg zur Cyberkriminalität einzuschlagen. Die tatsächlichen Motivatoren sind Anerkennung unter Gleichaltrigen, Beliebtheit in angemeldeten Foren, Selbstbestätigung oder das Erleben eines Erfolgsgefühls.
Cyberkriminalität – was reizt Menschen daran?
Die Veröffentlichung beruht auf Gesprächen mit Straftätern. Es wurde erforscht, warum Jugendliche Gefallen an Internetkriminalität finden und sich dort einbringen. Man erkennt gleich mehrere Gründe, die dann in der Summe dazu führen. Zum einen ist es das Gefühl, eine Herausforderung erfolgreich bewältigt zu haben und das sich Beweisen innerhalb einer Gruppe, wobei der finanzielle Gewinn nicht unbedingt eine Priorität für junge Straftäter ist. Einer der Probanden meinte: “…es machte mich beliebt, ich genoss das Gefühl…” Ein 18-Jähriger, der wegen des unrechtmäßigen Zugangs zu einer US-Regierungs-Website verhaftet wurde, führte an: „Ich habe es getan, um die Leute in der Hackergemeinschaft zu beeindrucken und um ihnen zu zeigen, dass ich die Fähigkeiten hatte, es durchzuziehen […] ich wollte mich beweisen.“
Sind Hacker sicherer vor einem Zugriff?
Ein weiterer, zweiter entscheidender Faktor dafür, dass Jugendliche gerade diesen Weg wählen, ist das Gefühl, kein Verbrechen im „traditionellen Sinne“ begangen zu haben und zudem die Hoffnung dabei zu hegen, dass man nicht für die Durchführung eines Cyber-Angriffs verhaftet werden wird. Viele der cyber-kriminell aktiven, britischen Jugendlichen würden sich nicht in „traditionelle“ Verbrechen” verwickeln lassen, da ist sich die NCA sicher. Doch Cyberkriminalität ist genauso strafbar.
Als dritter Grund wird angegeben, dass die Barriere für den Einstieg in die Internetkriminalität aktuell niedriger wäre, als jemals zuvor. So stehen bereits eine Vielzahl von Hacker-Tools für geringes Entgelt zur direkten Verfügung eines jeden daran Interessierten. Dazu gibt es passende Video-Instruktionen und zweckdienliche Schritt-für-Schritt-Tutorials als Anleitung zum Handeln. Folglich ist es genau diese Leichtigkeit, mit der man Angriffe und bösartige Aktivitäten ausführen kann. Das verleitet die Jugendlichen dazu, diese Tools auch ausprobieren zu wollen. Dabei gibt es online alle nur denkbaren Arten davon. Sie sind weder teuer noch schwer zu bedienen.
Kein großes Startkapital nötig
Im vorliegenden Bericht heißt es. „Schon ein wenig Geschick genügt, um cyber-kriminelle Aktivitäten zu starten. Mit keinem oder wenig Startkapital beziehen Anfänger Tools wie Remote Access Trojaner (RAT) und beginnen Gesetze zu brechen. Ist das Gesetz erst einmal gebrochen, sinkt die Hemmschwelle für nachfolgende Übertretungen.“ Der Einstieg ins kriminelle Milieu beginnt für viele Straftäter mit der Teilnahme auf Gaming-Cheat-Webseiten und “Modding-Foren” (Spiele-Modifikations-Foren), der dann in der Folge zu kriminellen Hacker-Foren führt. Dort diskutiert man die entsprechend relevanten Themen offen.
Junge Täter
Das Durchschnittsalter derjenigen, die Cybercrime-Delikte begehen, ist wesentlich jünger als bei Tätern anderer Verbrechensarten. Im Jahr 2015 lag das Durchschnittsalter bei Cybercrime-Tätern bei gerade mal 17 Jahren. Im Vergleich dazu sind Täter im Drogenmilieu im Durchschnitt 37 Jahre alt, Täter in Sachen Wirtschaftskriminalität 39 Jahre.
Die National Crime Agency nimmt an, dass Jugendliche unter Aufsicht eines Mentors von dem Einstieg in die Cybercrime-Szene abgebracht werden können. „Ex-Täter, die ihre Cyber-Aktivitäten einstellten und sich einer Ausbildung oder Karriere in der IT widmeten, haben diesen Wandel einem positiven Mentor zu verdanken.“
Auf diese Weise will man die Kluft zwischen ihnen und den Behörden schließen. Der Bericht zeigt deshalb auch mögliche Alternativen für Jugendliche auf, wie Jobperspektiven, um die vorhandenen Fähigkeiten positiv einzusetzen. Mentoren sollen potenzielle Straftäter in Richtung einer zukünftigen Karriere lenken, wie der Cyber-Sicherheit, der Gaming-Industrie oder in Codierung und Programmierung. Richard Jones, Leiter des Prevent-Teams der National Cyber-Crime Unit, ist der Überzeugung, dass eine solche Perspektive ihnen immer noch das Gefühl vermitteln wird, dass sie doch suchten, nämlich das der Selbstverwirklichung und des Respekts.
Leichter Einstieg in die Szene
Als besonders bedenklich stufte man im Bericht ein. “Was bei uns schlussendlich Besorgnis erregt hat, ist die Tatsache, wie leicht Jugendliche in die Welt des Cybercrime gelangen können und wie sorglos sie selbst darüber denken. Dazu gehört auch, dass die jungen Menschen das Gefühl der Chancenlosigkeit haben und ohne Vorbild zu sein scheinen.”
Das Ziel dieser Studie war es, die Wegweiser zu verstehen, die in die Cyberkriminalität geführt haben. Gleichzeitig fand man die effektivsten Interventionspunkte, um die Jugendlichen auf einen positiveren Weg zu lenken.
Bildquelle: Blogtrepreneur, thx! (CC0 1.0 PD)
Tarnkappe.info