Beim Social Engineering steht der Mensch im Mittelpunkt. Cyberkriminelle wenden klassische Methoden aus Spionage und Psychologie an, und hacken beziehungsweise beeinflussen den Menschen, nicht den Computer. Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche E-Mails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht. Ziel ist entweder die Infizierung eines Rechners mit Schadsoftware oder die Preisgabe von sensiblen Informationen durch den Menschen selbst, zum Beispiel privaten Bankdaten und vertraulichen Informationen. Erkenntnisse aus der Cyberpsychologie schützen neben dem Einsatz von Virenschutzlösungen vor Cyberbetrug.
„Für Social Engineering greifen Cyberkriminelle auf grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing zum Einsatz“, erklärt Dr. Astrid Carolus, Medienpsychologin an der Universität Würzburg. „Denn Cyberkriminelle wissen, wie Menschen funktionieren – und genau das nutzen sie aus. Die Art wie wir denken und fühlen macht uns angreifbar. Unser Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen uns anfällig für Social Engineering.“
Psychologie als Basis für Social Engineering
Vertrauen geht auf das Grundvertrauen zurück, das sich jeder Mensch in den ersten zwei Jahren seines Lebens erwirbt. Man vertraut zum Beispiel seinen Freunden. Einer bekannten Person bringt man – auch wenn man sie nicht näher kennt – mehr Vertrauen entgegen als einer unbekannten. Dies kann sich in der digitalen Welt allerdings als Nachteil erweisen.
„Gerade wenn ein Angebot oder eine Information im Internet allzu verlockend klingt, sollten Nutzer besondere Vorsicht walten lassen. Auch das Akzeptieren von angeblichen Facebook-Freunden, die man gar nicht richtig kennt, kann ein Fehler sein. Denn als ‚Freund‘ erhält diese Person Zugriff auf zahlreiche wertvolle Informationen. Nutzer sollten sich auf Facebook nur mit Menschen anfreunden, die sie persönlich und wirklich gut kennen“, sagt Holger Suhl, General Manager DACH bei Kaspersky Lab.
Kaspersky Lab: 30 Prozent Finanz-Attacken
Ein weiterer Angriffspunkt der menschlichen Psyche ist die Autorität. Die Wirkungskraft von Autoritäten kommt beim Phishing zum tragen. Zumal Phishing-Attacken mittlerweile so professionell sind, dass sie oftmals selbst für erfahrene Internetnutzer schwer als solche zu erkennen sind. Menschen vertrauen E-Mails eher, die scheinbar von der eigenen IT-Abteilung im Unternehmen kommen, obwohl der Absender unbekannt ist.
Auch Banken und Finanzinstitute stellen Autoritäten dar. Phishing-Mails, die sich als offizielle E-Mail einer Bank tarnen und sensible Zugangsdaten abfragen, zählen mittlerweile zum Standardrepertoire Cyberkrimineller. Eine Studie von Kaspersky Lab zeigt, dass 44 Prozent der deutschen Nutzer in jüngster Zeit E-Mails von Banken erhalten haben, in denen sie aufgefordert werden, sensible Daten wie Passwörter preis zu geben. Deutschland liegt hier knapp über dem europäischen Durchschnitt (41 Prozent). Im Jahr 2013 richteten sich über 30 Prozent der Finanz-Phishing-Attacken auf Kunden von Banken und Onlinebezahldiensten, wie eine weitere Analyse von Kaspersky Lab ergab.
Lediglich Nutzer von Sozialen Netzwerken standen in punkto Phishing im Untersuchungszeitraum mehr unter Beschuss. Dass Onlinebetrug bei Anwendern Sozialer Medien funktioniert, wirkt aus cyberpsychologischer Sicht plausibel, wenn man das oben genannte menschliche Grundmotiv des Zugehörigkeitsgefühls in Betracht zieht.
Vom traditionellen Nigerianischen Spam bis zum modernen Spear-Phishing
Das Grundmotiv Neugierde machen sich Cyberkriminelle zu nutze, indem sie E-Mails, SMS oder Nachrichten in Messaging-Anwendungen versenden, die gefährliche Links oder infizierte Anhänge wie PDF-Dokumente enthalten. Neugierige Nutzer steigern die Chance, dass beispielsweise ein schädlicher Anhang geöffnet und der Rechner infiziert wird. Die Neugierde wird besonders beim Spear-Phishing ausgenutzt. Hier werden die Interessen der Anwender vor dem Angriff ausgekundschaftet und anschließend entsprechende Spear-Phishing-Mails zielgerichtet an das potenzielle Opfer je nach individuellem Interesse versendet.
Schließlich bleibt noch ein weiteres Grundmotiv menschlichen Handelns, das sich Cyberkriminelle zu nutze machen: die Hilfsbereitschaft. Das wohl bekannteste Beispiel des Ausnutzens der menschlichen Hilfsbereitschaft stellt das Versenden so genannter Nigerianischer Spam-E-Mails dar. Ein Beispiel aus dem vergangenen Jahr verdeutlicht den Social-Engineering-Aspekt: Kriminelle gaben sich als Mitglieder des Internationalen Roten Kreuzes im Zusammenhang mit dem Syrienkonflikt aus und appellierten per E-Mail an die Hilfsbereitschaft der Anwender.
Digitale Bildung gegen Social-Engineering-Anfälligkeit
„Studien zeigen, dass eher Frauen als Männer auf Pishing-Mails klicken“, erklärt Dr. Astrid Carolus, Medienpsychologin an der Universität Würzburg. „Ein Effekt, der möglicherweise auch auf Unterschiede im Wissensstand zurückzuführen ist. Männer kommen im Mittel immer noch besser in der digitalen Welt zurecht als Frauen. Immerhin: Es gibt Hoffnung! Eine Schulung konnte die Rate der Pishing-Opfer innerhalb der Studie fast halbieren.“
„Erkenntnisse aus der Cyberpsychologie legen nahe, dass Nutzer in der digitalen Welt leicht zu beeinflussen sind“, so Holger Suhl, General Manager DACH bei Kaspersky Lab. „Beim Thema IT-Sicherheit müssen wir daher den Aspekt des Mitdenkens noch stärker miteinbeziehen, vor allem im Hinblick auf die Social-Engineering-Anfälligkeit des Menschen und künftige technische Weiterentwicklungen. Sowohl im Unternehmensbereich als auch für private Anwender sollte die frühzeitige Schulung für den Umgang mit dem Internet selbstverständlich sein – ob es sich dabei um das Erlernen im Rahmen eines Schulfachs oder vorgeschriebene Mitarbeiterschulungen zur IT-Sicherheit handelt – die Aufklärungsmöglichkeiten sind vielfältig.“
Gast-Autor: Matthias J.Lange