Studie untersucht Psychologie von Phishing-E-Mails

In Las Vegas findet aktuell, wie in jedem Jahr, die Black-Hat-Sicherheitskonferenz statt. Präsent sind dort Hacker, Regierungsbeamte und Mitarbeiter von Security-Firmen. Im Mittelpunkt stehen Vorträge über verschiedene sicherheitsrelevante Themen. So wurde am Mittwoch u.a. auch eine gemeinsame Studie von Google und der University of Florida vorgestellt, die sich mit der Psychologie von Phishing-E-Mails beschäftigt. Die Forscher gingen der Frage nach, wann genau Menschen am ehesten geneigt sind, bösartige Links in diesen Mails anzuklicken, berichtet cnet.com.

Eine reale Bedrohung: Phishing-Attacken

Das Risiko, Opfer einer Phishing-Attacke zu sein, ist stets vorhanden. Phishing-Betrüger gehen dabei ganz gezielt vor. Oftmals verschicken sie, unter Nutzung von Massenwerbungskampagnen, E-Mails an Tausende von Firmen-Mitarbeitern innerhalb nur weniger Stunden mit dem Ziel, dass wenigstens eine der angeschriebenen Personen auf den infizierten Link in der E-Mail klickt, der auf eine vorher präparierte, schädliche Website weiterleitet. Diese Aktion ermöglicht es dem Angreifer, die völlige Kontrolle über den betreffenden Rechner oder persönliche Informationen, wie Passwörter, zu erhalten. Da in der Regel keine Mail-Anhänge vorhanden sind, erkennt nicht einmal die Sicherheitssoftware den Angriff und löst entsprechend keinen Alarm aus. Laut einem Jahresbericht von Verizon ist Phishing die häufigste Ursache für Datenschutzverletzungen.


Studie untersucht Psychologie hinter den Angriffen

Die Studie zur Psychologie von Phishing-E-Mails fand unter der Leitung von Professorin Daniela Oliveira und Dr. Natalie Ebner statt. Sie wurde von Elie Burszstein, Leiter des Google Anti-Abuse Research Teams, unterstützt. Laut Burszstein blockiert Google täglich etwa 100 Millionen Phishing-E-Mails. Er informiert darüber, dass Phishing-Kampagnen sich situationsbedingt schnell anpassend ändern: „Angreifer ändern und aktualisieren ständig ihre Designs, um sie effizienter zu machen. Sie passen sich schnell an und halten die Anzahl der Zielbenutzer niedrig. Das macht es wirklich schwierig, sie zu erkennen.“

Im Rahmen der Studie bekamen während eines dreiwöchigen Experiments 158 Teilnehmer einmal täglich eine Phishing-E-Mail zugesandt. Ihnen wurde mitgeteilt, sie wären an einer Erforschung der Internetnutzung beteiligt und die Forscher würden nachverfolgen, ob sie darauf geklickt haben. Die E-Mails basierten auf echten Phishing-Kampagnen, die Google ermitteln konnte.

Studienergebnis: gut gelaunte Menschen neigen zu Leichtsinn

Die Studie kam zu dem Ergebnis, dass Phishing so ausgefeilt ist, dass die meisten Menschen entsprechend anfällig für Angriffe sind: Phishing-E-Mails werden so erstellt, dass sie die menschliche Natur ausnutzen, wobei Phisher sich darauf verlassen, dass Menschen schnelle Entscheidungen treffen, ohne nachzudenken. Das ist fast so, als wäre das Klicken auf den Link ein Reflex und keine kognitive Entscheidung. Oliveira führt dazu aus:

„Wir sind anfällig für Phishing, weil es auf die Art und Weise Einfluss nimmt, auf welcher Basis unser Gehirn Entscheidungen fällt. Wenn es um die Entscheidungsfindung geht, kann unser Gehirn auf zwei Arten arbeiten, entsprechend der Dualprozesstheorie. Das Gehirn arbeitet automatisch bei alltäglichen Aktivitäten, wie dem Zähneputzen. Große Entscheidungen, wie der Kauf eines Hauses, erfordern hingegen größere Überlegungen und vermehrtes Nachdenken. Das Klicken auf E-Mail-Links fällt in die erste Kategorie. Somit verlassen sich die Hacker auf eine schnelle Entscheidungsfindung bei Phishing-Opfern. Zum Glück haben wir alle einen psychologischen Schutz, der im Hintergrund funktioniert: Menschen, die großen Belastungen, wie Stress, ausgesetzt sind, sind besser in der Lage, Täuschungen, wie Phishing-E-Mails, zu erkennen und sie stehen Online-Betrügereien skeptischer gegenüber. Deshalb verwenden manche Phishing-Kampagnen psychologische Auslöser, um die Leute in gute Stimmung zu versetzen. Niemand sagt jemandem, dass er schlecht gelaunt und die ganze Zeit gestresst ist. Denken Sie also einfach nur daran, dass Ihre Wachsamkeit nachlässt, sobald Sie gute Laune haben.“

Bei einer Google-Befragung unter Internetnutzern in den USA, Großbritannien und Australien, konnte ungefähr die Hälfte nichts mit dem Begriff Phishing anfangen. Burszstein stellt fest, dass Google sich einem harten Kampf gegen Phishing-Angriffe gegenübersieht. Google plant infolge nun eine Sensibilisierungskampagne.

 

Bildquelle: 422737 / 2074, thx! (Pixabay Lizenz)

Vielleicht gefällt dir auch