Studie untersucht Psychologie von Phishing-E-Mails

8.8.19 21:21 von Antonia Frank Lesezeit: 3 Min.

Eine Studie der Uni Florida untersucht in Zusammenarbeit mit Google die Psychologie von Phishing-E-Mails. Gut Gelaunte sind leichtsinnig.

In Las Vegas findet aktuell, wie in jedem Jahr, die Black-Hat-Sicherheitskonferenz statt. Präsent sind dort Hacker, Regierungsbeamte und Mitarbeiter von Security-Firmen. Im Mittelpunkt stehen Vorträge über verschiedene sicherheitsrelevante Themen. So wurde am Mittwoch u.a. auch eine gemeinsame Studie von Google und der University of Florida vorgestellt, die sich mit der Psychologie von Phishing-E-Mails beschäftigt. Die Forscher gingen der Frage nach, wann genau Menschen am ehesten geneigt sind, bösartige Links in diesen Mails anzuklicken, berichtet cnet.com.

Eine reale Bedrohung: Phishing-Attacken

Das Risiko, Opfer einer Phishing-Attacke zu sein, ist stets vorhanden. Phishing-Betrüger gehen dabei ganz gezielt vor. Oftmals verschicken sie, unter Nutzung von Massenwerbungskampagnen, E-Mails an Tausende von Firmen-Mitarbeitern innerhalb nur weniger Stunden mit dem Ziel, dass wenigstens eine der angeschriebenen Personen auf den infizierten Link in der E-Mail klickt, der auf eine vorher präparierte, schädliche Website weiterleitet. Diese Aktion ermöglicht es dem Angreifer, die völlige Kontrolle über den betreffenden Rechner oder persönliche Informationen, wie Passwörter, zu erhalten. Da in der Regel keine Mail-Anhänge vorhanden sind, erkennt nicht einmal die Sicherheitssoftware den Angriff und löst entsprechend keinen Alarm aus. Laut einem Jahresbericht von Verizon ist Phishing die häufigste Ursache für Datenschutzverletzungen.

Studie untersucht Psychologie hinter den Angriffen

Die Studie zur Psychologie von Phishing-E-Mails fand unter der Leitung von Professorin Daniela Oliveira und Dr. Natalie Ebner statt. Sie wurde von Elie Burszstein, Leiter des Google Anti-Abuse Research Teams, unterstützt. Laut Burszstein blockiert Google täglich etwa 100 Millionen Phishing-E-Mails. Er informiert darüber, dass Phishing-Kampagnen sich situationsbedingt schnell anpassend ändern: „Angreifer ändern und aktualisieren ständig ihre Designs, um sie effizienter zu machen. Sie passen sich schnell an und halten die Anzahl der Zielbenutzer niedrig. Das macht es wirklich schwierig, sie zu erkennen.“

Im Rahmen der Studie bekamen während eines dreiwöchigen Experiments 158 Teilnehmer einmal täglich eine Phishing-E-Mail zugesandt. Ihnen wurde mitgeteilt, sie wären an einer Erforschung der Internetnutzung beteiligt und die Forscher würden nachverfolgen, ob sie darauf geklickt haben. Die E-Mails basierten auf echten Phishing-Kampagnen, die Google ermitteln konnte.

Studienergebnis: gut gelaunte Menschen neigen zu Leichtsinn

Die Studie kam zu dem Ergebnis, dass Phishing so ausgefeilt ist, dass die meisten Menschen entsprechend anfällig für Angriffe sind: Phishing-E-Mails werden so erstellt, dass sie die menschliche Natur ausnutzen, wobei Phisher sich darauf verlassen, dass Menschen schnelle Entscheidungen treffen, ohne nachzudenken. Das ist fast so, als wäre das Klicken auf den Link ein Reflex und keine kognitive Entscheidung. Oliveira führt in der Studie dazu aus.

„Wir sind anfällig für Phishing, weil es auf die Art und Weise Einfluss nimmt, auf welcher Basis unser Gehirn Entscheidungen fällt. Wenn es um die Entscheidungsfindung geht, kann unser Gehirn auf zwei Arten arbeiten, entsprechend der Dualprozesstheorie. Das Gehirn arbeitet automatisch bei alltäglichen Aktivitäten, wie dem Zähneputzen. Große Entscheidungen, wie der Kauf eines Hauses, erfordern hingegen größere Überlegungen und vermehrtes Nachdenken. Das Klicken auf E-Mail-Links fällt in die erste Kategorie.

Somit verlassen sich die Hacker auf eine schnelle Entscheidungsfindung bei Phishing-Opfern. Zum Glück haben wir alle einen psychologischen Schutz, der im Hintergrund funktioniert: Menschen, die großen Belastungen, wie Stress, ausgesetzt sind, sind besser in der Lage, Täuschungen, wie Phishing-E-Mails, zu erkennen und sie stehen Online-Betrügereien skeptischer gegenüber. Deshalb verwenden manche Phishing-Kampagnen psychologische Auslöser, um die Leute in gute Stimmung zu versetzen. Niemand sagt jemandem, dass er schlecht gelaunt und die ganze Zeit gestresst ist. Denken Sie also einfach nur daran, dass Ihre Wachsamkeit nachlässt, sobald Sie gute Laune haben.“

Bei einer Google-Befragung unter Internetnutzern in den USA, Großbritannien und Australien, konnte ungefähr die Hälfte nichts mit dem Begriff Phishing anfangen. Burszstein stellt fest, dass Google sich einem harten Kampf gegen Phishing-Angriffe gegenübersieht. Google plant nun nach der Studie eine Sensibilisierungskampagne.

Foto 422737 / 2074, thx!

Tarnkappe.info

TeamViewer installiert Schriftart für Web-Fingerprinting

TeamViewer installiert bei Windows-Nutzern eine ominöse Schriftart, welche Web-Fingerprinting, Phishing und Scam ermöglicht.

Signal Messenger von Twilio Hack betroffen

Signal Messenger betroffen: Twilio-Hacker erbeutet Rufnummern

Ein Angreifer konnte sich durch einen Hack auf Twilio Zugriff auf Registrierungsdaten des Signal Messengers verschaffen.

Ein Meteorit mit Microsoft-Branding rast auf die Erde zu

Ehemaliger Direktor im Weißen Haus: Microsoft ist eine Bedrohung für die nationale Sicherheit

Der ehemalige Direktor für Cybersicherheit beschreibt in einem Interview die Zusammenarbeit mit Microsoft. Es sieht nicht gut aus.

Symbolbild eines Phishing-Angriffs: Ein Mann sitzt auf einem Smartphone und fängt an einem Haken die Passwörter der Nutzer ein

Phishing-Angriffe auf mobile Geräte nehmen erschreckende Ausmaße an

Phishing-Angriffe auf mobile Geräte nehmen drastisch zu. Schütze dich vor Malware, Spyware und Phishing-Attacken auf Smartphones und Tablets.

Datenleck bei Microsoft: Interne Passwörter öffentlich zugänglich

Enthüllung einer schwerwiegenden Sicherheitslücke bei Microsoft: Interne Passwörter und Anmeldedaten waren lange Zeit öffentlich zugänglich.

GlobalProtect von Palo Alto Networks anfällig für Hacker

Palo Alto Networks. Die IT-Sicherheitsfirma Volexity entdeckte kürzlich den kritischen CVSS 10-Fehler in PAN-OS der VPN-Lösung GlobalProtect.

Schutz vor Phishing-Betrug wird immer wichtiger (Symbolbild)

Schutz vor Phishing: Die Tricks der Betrüger und wie man sich schützt

Heute wollen wir einen genaueren Blick darauf werfen, welche Arten von Phishing es gibt und wie man sich am besten davor schützen kann.

LinkedIn Hack: Schützt euren Account, bevor es zu spät ist!

Immer mehr LinkedIn-Nutzer sind von Account-Hacks betroffen. Wir zeigen euch, wie die Angreifer vorgehen und wie man sich schützen kann.

Ein Neonschild warnt vor Cyber-Kriminalität

World Cybercrime Index: Die Weltkarte der Internetkriminalität

Ob Viren, Trojaner oder Ransomware - die Angriffe nehmen zu. Der World Cybercrime Index hilft, Hotspots der Cyber-Kriminalität zu erkennen.

Ein männlicher Hacker mit Maske und einem Laptop

Phishing-Quiz: Gmail-Nutzer sollen Phishing-E-Mails erkennen

Lerne, Phishing-Mails zu erkennen, indem du das interaktive Phishing-Quiz von Google absolvierst. Auf zum Quiz!

Verschlüsselung, Kreditkarte, Polizei, Kölner

Illegaler Handel mit Datensätzen: Polizei nimmt Kölner fest

Der Zentralstelle Cybercrime Bayern und der Kriminalpolizeiinspektion Ingolstadt ist ein Schlag gegen einen 24-jährigen Kölner gelungen.

vpnMentor deckt Bitcoin-Betrug für Facebook-User auf

vpnMentor deckte eine Phishingoperation auf, die sich gegen Hunderttausende von Facebookuser weltweit richtete und auf Bitcoin-Betrug zielte

Ein Haken, ein Schloss und Kreditkarten. (Warnung vor Phishing und Betrug. Symbolbild)

Polizei und Volksbank Köln Bonn warnen vor Phishing und Betrug

Polizei und Volksbank Köln Bonn warnen vor Phishing und Betrug mit digitalen Girocards: Vorsicht bei verdächtigen SMS, E-Mails und Anrufen!

Cyber-Angriff mit erweitertem E-Mail-Phishing (Text zwischen ascii-Binärstil)

Google Collections-Phishing: Neue Betrugsmasche breitet sich aus

Cyberkriminelle haben eine neue und sehr raffinierte Methode gefunden, ihre Opfer in Sicherheit zu wiegen: Google Collections-Phishing.

Die virtuelle terra-Währung (Symbolbild)

Terra-Blockchain wegen Phishing-Angriffen vorübergehend offline

Die Terra-Blockchain hat mit Problemen zu kämpfen. Nach einem Hackerangriff am Wochenende musste das gesamte Netzwerk abgeschaltet werden.

Gefärbtes Bild der Silhouette eines Hackers mit Kapuzenpullover und Laptop

Telekopye: Telegram-Bot sorgt für hinterlistige Phishing-Betrügereien

Mit dem Telegram-Bot Telekopye ist Phishing kein Problem. Von Phishing-E-Mails bis zur Erstellung täuschend echter Websites ist alles dabei.

Polizeibeamte patrouillieren auf einer belebten Straße

LabHost-Phishing-Dienst zerschlagen: Über 30 Festnahmen weltweit

LabHost, einer der größten Anbieter von Phishing-Diensten, wurde zerschlagen. Die Betreiber des Dienstes wurden festgenommen.

Ein verzweifelter OneNote-Benutzer hat sich eine Malware eingefangen (Symbolbild)

Makros sind out: OneNote ist Microsofts neues Malware-Taxi

Als OneNote-Anwender solltest Du Dich ganz besonders vor E-Mail-Anhängen in Acht nehmen, denn Du könntest Dir sonst eine Malware einfangen.