Hat jemand
Dein Herz gehackt?

Infografik Social Engineering

Infografik Social Engineering - Klick öffnet große Version

Download Infografik (PDF, 659 kB)

Karikatur Social Engineering

Karikatur Social Engineering: Phishing-Hai - Klick öffnet große Version

Download Karikatur (JPG, 325 kB)

Hat jemand Dein Herz gehackt?

Von Kaspersky Lab beauftragte Cyberpsychologie-Studie zeigt: Cyberkriminelle machen sich menschliche Schwächen zunutze und bringen den Anwender selbst zur Preisgabe sensibler Daten

Beim Social Engineering steht der Mensch im Mittelpunkt. Cyberkriminelle wenden klassische Methoden aus Spionage und Psychologie an und hacken beziehungsweise beeinflussen den Menschen, nicht den Computer. Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche E-Mails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht. Ziel ist entweder die Infizierung eines Rechners mit Schadsoftware oder die Preisgabe von sensiblen Informationen durch den Menschen selbst, zum Beispiel privaten Bankdaten und vertraulichen Informationen. Erkenntnisse aus der Cyberpsychologie schützen neben dem Einsatz von Virenschutzlösungen vor Cyberbetrug[1] .

„Für Social Engineering greifen Cyberkriminelle auf grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing zum Einsatz“, erklärt Dr. Astrid Carolus, Medienpsychologin an der Universität Würzburg. „Denn Cyberkriminelle wissen, wie Menschen funktionieren – und genau das nutzen sie aus. Die Art wie wir denken und fühlen macht uns angreifbar. Unser Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen uns anfällig für Social Engineering.“

Psychologie als Basis für Social Engineering

Vertrauen geht auf das Grundvertrauen zurück, das sich jeder Mensch in den ersten zwei Jahren seines Lebens erwirbt. Man vertraut zum Beispiel seinen Freunden. Einer bekannten Person bringt man – auch wenn man sie nicht näher kennt – mehr Vertrauen entgegen als einer unbekannten[2]. Dies kann sich in der digitalen Welt allerdings als Nachteil erweisen. „Gerade wenn ein Angebot oder eine Information im Internet allzu verlockend klingt, sollten Nutzer besondere Vorsicht walten lassen. Auch das Akzeptieren von angeblichen Facebook-Freunden, die man gar nicht richtig kennt, kann ein Fehler sein. Denn als ‚Freund‘ erhält diese Person Zugriff auf zahlreiche wertvolle Informationen. Nutzer sollten sich auf Facebook nur mit Menschen anfreunden, die sie persönlich und wirklich gut kennen“, sagt Holger Suhl, General Manager DACH bei Kaspersky Lab.

Kaspersky Lab: 30 Prozent Finanz-Attacken

Ein weiterer Angriffspunkt der menschlichen Psyche ist die Autorität. Die Wirkungskraft von Autoritäten kommt beim Phishing zum tragen. Zumal Phishing-Attacken mittlerweile so professionell sind, dass sie oftmals selbst für erfahrene Internetnutzer schwer als solche zu erkennen sind. Menschen vertrauen E-Mails eher, die scheinbar von der eigenen IT-Abteilung im Unternehmen kommen, obwohl der Absender unbekannt ist[2].

Auch Banken und Finanzinstitute stellen Autoritäten dar. Phishing-Mails, die sich als offizielle E-Mail einer Bank tarnen und sensible Zugangsdaten abfragen, zählen mittlerweile zum Standardrepertoire Cyberkrimineller. Eine aktuelle Studie von Kaspersky Lab[3] zeigt, dass 44 Prozent der deutschen Nutzer in jüngster Zeit E-Mails von Banken erhalten haben, in denen sie aufgefordert werden, sensible Daten wie Passwörter preis zu geben. Deutschland liegt hier knapp über dem europäischen Durchschnitt (41 Prozent). Im Jahr 2013 richteten sich über 30 Prozent der Finanz-Phishing-Attacken auf Kunden von Banken und Onlinebezahldiensten, wie eine weitere Analyse von Kaspersky Lab[4] ergab.

Lediglich Nutzer von Sozialen Netzwerken standen in punkto Phishing im Untersuchungszeitraum mehr unter Beschuss[5]. Dass Onlinebetrug bei Anwendern Sozialer Medien funktioniert, wirkt aus cyberpsychologischer Sicht plausibel, wenn man das oben genannte menschliche Grundmotiv des Zugehörigkeitsgefühls in Betracht zieht.

Vom traditionellen Nigerianischen Spam bis zum modernen Spear-Phishing

Das Grundmotiv Neugierde[2] machen sich Cyberkriminelle zu nutze, indem sie E-Mails, SMS oder Nachrichten in Messaging-Anwendungen versenden, die gefährliche Links oder infizierte Anhänge wie PDF-Dokumente enthalten. Neugierige Nutzer steigern die Chance, dass beispielsweise ein schädlicher Anhang geöffnet und der Rechner infiziert wird. Die Neugierde wird besonders beim Spear-Phishing ausgenutzt. Hier werden die Interessen der Anwender vor dem Angriff ausgekundschaftet und anschließend entsprechende Spear-Phishing-Mails zielgerichtet an das potenzielle Opfer je nach individuellem Interesse versendet.

Schließlich bleibt noch ein weiteres Grundmotiv menschlichen Handelns, das sich Cyberkriminelle zu nutze machen[2]: die Hilfsbereitschaft. Das wohl bekannteste Beispiel des Ausnutzens der menschlichen Hilfsbereitschaft stellt das Versenden so genannter Nigerianischer Spam-E-Mails dar. Ein Beispiel aus dem vergangenen Jahr verdeutlicht den Social-Engineering-Aspekt: Kriminelle gaben sich als Mitglieder des Internationalen Roten Kreuzes im Zusammenhang mit dem Syrienkonflikt aus und appellierten per E-Mail an die Hilfsbereitschaft der Anwender[6].

Digitale Bildung gegen Social-Engineering-Anfälligkeit

„Studien[7] zeigen, dass eher Frauen als Männer auf Pishing-Mails klicken“,  erklärt Dr. Astrid Carolus, Medienpsychologin an der Universität Würzburg. „Ein Effekt, der möglicherweise auch auf Unterschiede im Wissensstand zurückzuführen ist. Männer kommen im Mittel immer noch besser in der digitalen Welt zurecht als Frauen. Immerhin: Es gibt Hoffnung! Eine Schulung konnte die Rate der Pishing-Opfer in einer Studie fast halbieren.“

„Erkenntnisse aus der Cyberpsychologie legen nahe, dass Nutzer in der digitalen Welt leicht zu beeinflussen sind“, so Holger Suhl, General Manager DACH bei Kaspersky Lab. „Beim Thema IT-Sicherheit müssen wir daher den Aspekt des Mitdenkens noch stärker miteinbeziehen, vor allem im Hinblick auf die Social-Engineering-Anfälligkeit des Menschen und künftige technische Weiterentwicklungen. Sowohl im Unternehmensbereich als auch für private Anwender sollte die frühzeitige Schulung für den Umgang mit dem Internet selbstverständlich sein – ob es sich dabei um das Erlernen im Rahmen eines Schulfachs oder vorgeschriebene Mitarbeiterschulungen zur IT-Sicherheit handelt – die Aufklärungsmöglichkeiten sind vielfältig.“

Quellen

[1] http://www.kaspersky.de/cyberpsychologie

[2] Perceived Online Safety – Current state of research & desiderata, Schwab & Carolus, 2013

[3] Die Umfrage wurde von Kaspersky Lab beauftragt und von B2B International im Jahr 2014 durchgeführt. Dabei wurden weltweit insgesamt 11.135 Nutzer aus 23 unterschiedlichen Ländern befragt, darunter 2.821 aus Europa.

[4] http://www.viruslist.com/de/analysis?pubid=200883849

[5] http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/Pictures_etc._NOT_for_Media_section/Kaspersky_Lab_infographics_financial_phishing_targets_2013.jpg

[6] http://www.kaspersky.com/de/about_kaspersky/news/spam/2013/Nigeria-Scam-Welle_aus_Syrien

[7] Wissenschaftler der Carnegie Mellon Universität veröffentlichten die Ergebnisse ihrer Versuche zum Thema Phishing. Demnach gibt es auch Unterschiede bei den Geschlechtern. Im Durchschnitt klickten 54,7 Prozent der Frauen auf Phishing-E-Mails, im Vergleich dazu waren es 49 Prozent bei den Männern. Mithilfe einer Mediator-Analyse isolierten die Forscher den unterschiedlichen Aufklärungsstand bei Männern und Frauen. Hierbei fiel die durchschnittliche Rate der Phishing-Opfer nach einer Schulung zum Thema von 47 auf 28 Prozent.

Quelle: http://lorrie.cranor.org/pubs/pap1162-sheng.pdf – Steve Sheng, Mandy Holbrook, Ponnurangam Kumaraguru, Lorrie Cranor, Julie Downs: Who Falls for Phish? A Demographic Analysis of Phishing, Susceptibility and Effectiveness of Interventions, Carnegie Mellon University 2010

Über Kaspersky Lab

Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner über 16-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.

Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/. Kurzinformationen erhalten Sie zudem über www.twitter.com/Kaspersky_DACH und www.facebook.com/Kaspersky.Lab.DACH. Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de und auf dem Kaspersky-Blog auf http://blog.kaspersky.de/ abrufbar.

Redaktionskontakt

essential media GmbH
Florian Schafroth
florian.schafroth@essentialmedia.de
Tel.: +49 89 747262-43
Fax: +49 89 747262-17

Landwehrstraße 61
80336 München

Kaspersky Labs GmbH
Stefan Rojacher
stefan.rojacher@kaspersky.com
Tel.: +49 841 98189-325
Fax: +49 841 98189-100

Despag-Straße 3
85055 Ingolstadt

Über Cyberpsychologie:

Unsere Psyche unter dem Einfluss des Internets

Das Internet ist zum neuen Leitmedium geworden und beeinflusst maßgeblich das Verhalten vieler Menschen. Unser Erleben in Sozialen Medien, unser Verhältnis zu Endgeräten wie Smartphones, Tablets oder Laptops und im Grunde die Art und Weise, wie unsere direkt erlebbare, physikalische Umgebung durch den „Cyberspace“ künstlich erweitert wird – das ist unter anderem das Thema der Disziplin „Medienpsychologie“.

Was stellen Social Apps, Online-Videos, Internet-Communities, Internet-Shops oder Chatforen mit uns an? Wenn schon in den 60er Jahren des vergangenen Jahrhunderts für das Fernsehen eine „Second Hand Reality“ postuliert wurde, was bewirkt dann die zunehmende elektronische Vernetzung der Bevölkerung mit verschiedenen gleichermaßen vermehrt intelligenten Technologien und Endgeräten? Ist unser digitales Leben riskanter als das Wirkliche? Sind manche von uns schon Cyberpsychos?

Kaspersky Lab ist diesen Fragen gemeinsam mit Prof. Dr. Frank Schwab und Dr. Astrid Carolus vom Lehrstuhl Medienpsychologie der Universität Würzburg nachgegangen.