Spear-Phishing & Co

Die Psychotricks moderner Phishing-Betrüger

| Autor / Redakteur: Dr. Niklas Hellemann / Peter Schmitz

Die von Cyberkriminellen zum Phishing genutzten Psychotricks sind oft verblüffend simpel und bleiben trotzdem erfolgreich. Unternehmen müssen Mitarbeiter so sensibilisieren, dass sie diese Taktiken im Arbeitsalltag erkennen.
Die von Cyberkriminellen zum Phishing genutzten Psychotricks sind oft verblüffend simpel und bleiben trotzdem erfolgreich. Unternehmen müssen Mitarbeiter so sensibilisieren, dass sie diese Taktiken im Arbeitsalltag erkennen. (Bild: gemeinfrei)

Die Angriffe von Phishing-Betrügern haben eine neue Qualität erreicht und komplexes „Spear-Phishing“ in den letzten Jahren massiv zugenommen. Das perfide dabei: die Angreifer bedienen sich tief verwurzelten Mechanismen unserer Psyche, um uns zu manipulieren und zu schwerwiegenden Handlungen zu verleiten. Die genutzten Psychotricks sind dabei oft verblüffend simpel.

Wir erinnern uns noch gut: pünktlich zum Jahresendgeschäft brachte im vergangenen Jahr eine erneute Abwandlung des Trojaners „Emotet“ deutsche Unternehmen und Organisationen durcheinander. Neben der Tatsache, dass sich der Schadcode von „Emotet“ laufend verändert und so nur schwierig für Anti-Malware-Programme zu entdecken ist, war die Ende 2018 gestartete Kampagne aus einem weiteren Grund sehr gefährlich. So bedienten sich die Betrüger Taktiken, die bisher nur von sog. APTs (Advanced Persistent Threats – ausgehend von professionellen und finanzierten Hacker-Teams) genutzt wurden. Denn die Malware wird in diesem Fall nicht über generische, eher leicht identifizierbare, E-Mails ausgespielt, sondern über gezieltes „Spear-Phishing“, bei dem die Nachrichten vermeintlich von einer bekannten Person ausgehen bzw. von einem Absender, mit dem das Opfer erst kürzlich Kontakt hatte.

Die Angst vor den „Bundestags-Leaks“ zu Beginn des Jahres war auch deshalb so groß, weil sie einen perfekten Fundus für weitere Social-Engineering-Angriffe darstellten. Spear-Phishing-Angriffe sind eben auch deshalb so überzeugend, weil sie spezifische Informationen aufgreifen, die die Angreifer im Vorfeld über ihre Opfer gesammelt haben. Daneben bedienen sie sich verschiedener psychologischer Mechanismen, um einen Klick oder Download hervorzurufen. Und da diese Taktik weiterhin zu den effektivsten zählt, rechnet das BSI auch „künftig mit einer weiteren Zunahme an gut gemachten, automatisierten Social-Engineering-Angriffen“.

Fakten und Stimmen zum Politiker- und Promi-Hack

Update: Datenleck bei Promis und Politikern

Fakten und Stimmen zum Politiker- und Promi-Hack

08.01.19 - Unbekannte Hacker haben vor Weihnachten die persönliche Daten von Politikern, Sängern, Schauspielern, YouTube-Stars und weiteren in der Öffentlichkeit stehenden Personen im Internet verbreitet. Schlimm, vor allem für die Betroffenen, aber in Zeiten von Data Breaches mit hunderten Millionen gestohlener Zugangsdaten kaum der Mega-Skandal der daraus derzeit gemacht wird. lesen

Doch die Psychotricks, die die Angreifer dabei verwenden, sind gar nicht so neu, sondern zählen schon seit langem zum Handwerkszeug eines jeden guten Betrügers. Sie spielen mit unseren tiefsten Emotionen und bringen uns dadurch dazu, unsere gesunde Skepsis auszuschalten und Dinge zu tun, deren unangenehme Konsequenzen wir eigentlich hätten kommen sehen können. Was sind dabei die häufigsten Taktiken der Spear-Phishing-Betrüger, um Sie oder Ihre Mitarbeiter hinters Licht zu führen?

Vertrauen / Gemeinsamkeiten

Dies war der Hauptmechanismus, der hinter der genannten „Emotet“-Welle steckt. Mittels automatisierten Durchpflügens der Kontaktliste ("Outlook-Harvesting") ist „Emotet“ in der Lage, Nachrichten zu erzeugen, die vermeintlich von einem bekannten Absender zu kommen scheinen. Während dies schon lange zum Repertoire von Trojanern und Würmern gehört, ist diese Variante allerdings in der Lage, auch Inhalte aus Nachrichten zu extrahieren, um der Phishing-Mail zusätzliche Legitimität zu verleihen. Vermeintliche Gemeinsamkeiten werden angeführt, um zusätzliches Vertrauen zu erzeugen („Wir haben doch kürzlich zu diesem Thema gesprochen“) oder Detailinformationen werden präsentiert, die theoretisch nur Sie und Ihr Gesprächspartner kennen könnten.

Vermeintliches Detailwissen

Gerade diesen letzten Punkt kennen wir auch aus einer anderen erfolgreichen Phishing-Masche: der sogenannten „Sextortion“-Taktik. Hierbei wird ein Opfer mit teilweise korrektem Detailwissen konfrontiert, um einem Erpressungsversuch mehr Gewicht zu verleihen. Dem Opfer wird glaubhaft gemacht, der Erpresser sei im Besitz kompromittierenden Videomaterials der schlüpfrigen Art und Weise. Als Beweis dafür wird z.B. ein Passwort genannt – das der Angreifer in diesem Fall aber aus einem vollkommen anderen Datensatz eines zumeist weitreichenden Datenlecks erworben hat. Das Detailwissen ist somit zwar manchmal korrekt, steht aber in keinem Zusammenhang zu der, völlig aus der Luft gegriffenen, Androhung belastendes Videomaterial zu veröffentlichen.

Druck / Angst

Das Ausüben von Druck auf ihr Opfer zählt generell zu den Klassikern unter den Psychotricks von Betrügern. Denn: unter hohem Stress schalten wir unser kritisches Denken aus. Das Androhen von schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln (z.B. Mahngebühren in einer falschen Rechnungs-E-Mail) sowie das Erzeugen von künstlichem Zeitdruck („Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“) sind häufige Werkzeuge von Phishing-Betrügern. Angreifer nutzen dabei oft auch die natürliche Hierarchie in einem Unternehmen, z.B. indem sie sich als Vorgesetzte oder Behörden ausgeben. Der Drang, autorisierten Personen zu gehorchen, steckt nämlich tief in uns – eine Erkenntnis, die wir bereits seit dem letzten Jahrhundert erlangt haben, z.B. durch berühmte psychologische Experimente wie die Milgram- oder das Stanford-Prison-Studien.

Neugier / Interesse

Eine ebenfalls starke Triebfeder unserer Psyche ist die natürliche Neugier und der Drang, unbekannte Informationen zu erlangen. Was menschheitsgeschichtlich ein absoluter Vorteil war, ist nun für Cyber-Betrüger ein fruchtbarer Ansatzpunkt. Vermeintlich brisante Informationen werden in Aussicht gestellt (z.B. eine Excel-Datei mit dem Titel „Gehaltsdaten-2018.xlsx“) oder spannende Inhalte werden angedeutet („Bist Du das auf dem Video?“). Auch direkte Gier wird hier stimuliert. Häufig arbeiten Spam- und Phishing-Betrüger dabei mit stumpfen Versprechen: Eine Belohnung oder mögliche Vorteile werden in Aussicht gestellt („Melden Sie sich hier an, um Mitarbeitervorteile zu erhalten“).

Hilfsbereitschaft

Zu guter Letzt machen sich Angreifer aber auch unsere edleren Motive zunutze. Denn die meisten Menschen verspüren auch einen mehr oder weniger starken Drang anderen Menschen zu helfen. Insbesondere unseren Mitmenschen die uns sehr ähnlich sind möchten wir sehr gerne etwas Gutes tun oder aus einer misslichen Lage helfen. So arbeiten Social Engineers z.B. mit unbeschrifteten USB-Sticks, die in den eigenen Laptop gesteckt werden, um herauszufinden, welcher nette Kollege denn seinen USB-Stick hier verloren hat.

Kein Kuschelkurs mehr bei Security Awareness

Paradigmenwechsel bei SecAware

Kein Kuschelkurs mehr bei Security Awareness

08.02.19 - Security Awareness (SecAware) hat sich auf die Fahnen geschrieben, den User hinsichtlich Cyberbedrohungen zur „Last Line Of Defense“ (LLOD) zu machen. Eine anspruchsvolle Aufgabe, denn zahlreiche Bedrohungen klopfen an die Gateway-Systeme der Unternehmen aber auch Privatpersonen und mancher Attacke gelingt es die Schutzmauern zu überwinden. lesen

Awareness als Schutzmaßnahme

Psychologische Studien zeigen: ist mir die Taktik bekannt, mit der mein Gegenüber versucht, mich zu manipulieren, lasse ich mich wesentlich schwerer überzeugen. Ein wichtiger Schritt ist es also, sich mit den genutzten Maschen der Hacker und Betrüger vertraut zu machen. Und so empfiehlt auch das BSI in diesem Kontext an oberster Stelle die regelmäßige „Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links“.

Neben einem ausreichenden technischen Grundschutz sind Awareness-Maßnahmen also einer der effektivsten Schritte für Unternehmen, um die Gefahr zu verringern, Opfer von „Spear-Phishing“-Kampagnen à la „Emotet“ zu werden. Hierbei ist es wichtig, dass Mitarbeiter nicht einfach nur mit Wissen konfrontiert werden. Vielmehr sollten sie das Erkennen von komplexen Angriffsmustern auch nachhaltig eintrainieren, wie z.B. durch die laufende Simulation von Phishing-Angriffen. Denn nur durch Übung sind Menschen in der Lage, Wissen in Handeln zu übersetzen. Und genau dieses Handeln ist erforderlich, wenn demnächst wieder einmal ein vermeintlicher Vorgesetzter Ihren Mitarbeitern mit schweren Konsequenzen droht, falls das angehängte PDF nicht geöffnet wird.

Über den Autor: Dr. Niklas Hellemann ist Psychologe, Unternehmensberater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45775603 / DDoS, Fraud und Spam)