Wie Cyberkriminelle Emotionen und Vertrauen ausnützen

Trotz unzähliger Aufklärungskampagnen und Aufrufen zur Vorsicht, erreichen die kriminellen Akteure hinter Phishing-Attacken noch immer zu oft ihr Ziel. Viele von uns haben ein Bild vor Augen, bei dem Cyberkriminelle in dunklen Kellern sitzen und heimtückische Pläne schmieden, um technische Infrastrukturen zu unterwandern, indem sie beispielsweise eine Firewall durchbrechen. In Wirklichkeit jedoch ist das „Problem“ der Mensch hinter dem Endgerät. Denn die Technologie ist im Grunde sehr effektiv darin, Angriffen zu widerstehen. Daher zielen die Angreifer auf die verwundbarste Stelle – den Benutzer. Laut Untersuchungen von Proofpoint beginnen 94 Prozent aller Cyberangriffe mit einer E-Mail und mehr als 99 % davon erfordern eine menschliche Aktion, um den Angriff tatsächlich zu aktivieren bzw. zu ermöglichen.

Doch die Kriminellen beschränken sich keineswegs auf Phishing-E-Mails, die Gewinnchancen in fernen Ländern versprechen. Gerne werden Netflix-Kündigungen bzw. Paketbenachrichtigungen als Aufhänger genutzt, um Anwender zu überlisten. Und sogar tagesaktuelle Nachrichten dienen den Cyberkriminellen als Köder. Dementsprechend tief und umfangreich muss auch die Analyse der zugrundeliegenden Dynamik erfolgen. Um also einen effektiven Schutz zu erreichen, ist es daher dringend geboten, die Psychologie hinter diesen Angriffen zu erkennen. Nur so lassen sich Lehren daraus ziehen, warum diese häufig klischeehaft wirkenden Angriffe trotz aller Aufklärungskampagnen noch immer derart häufig – aus Sicht der Angreifer – erfolgreich sind.

Die Intention der Angreifer

Um zu verstehen, wie die Angreifer versuchen, ihr Ziel zu erreichen, ist es hilfreich, sich zunächst zu verdeutlichen, wie Menschen in die Falle gelockt werden. Dies sind primär drei Wege, auf denen Angreifer versuchen, sich einen Vorteil zu verschaffen: Erstens, indem sie den Benutzer dazu bringen, ihren Code auszuführen. Zweitens, indem sie den Benutzer dazu verleiten, Anmeldeinformationen auszuhändigen, oder drittens, indem die Opfer einfach direkt einen Transfer von Geld oder Daten an den Angreifer veranlassen.

In jüngster Zeit zeichnet sich ein Trend ab, dass Angriffe komplexer gestaltet und der Versuch unternommen wird, einen gewissen Abstand zwischen der ursprünglichen E-Mail und der beim Angriff verwendeten Malware zu schaffen. Dies soll die Malware-Erkennung erschweren, jedoch bedürfen diese Angriffe immer noch einer menschlichen Aktion. Der Benutzer ist folglich der Punkt, an dem die überwiegende Mehrzahl aller Cyberangriffe erfolgreich ist – oder eben scheitert. Entsprechend müssen auch die Sicherheitsstrategien diesem Umstand Rechnung tragen und den Menschen in den Mittelpunkt der Betrachtung rücken.

Wie Angreifer Menschen zum Klick motivieren

Die Intention der Angreifer ist es, Angestellte dazu zu verleiten, ihre zuvor absolvierten Sicherheitstrainings zu missachten und eine falsche Entscheidung zu treffen, um dadurch den Angriff voranzutreiben. Kriminelle Akteure versuchen hier hauptsächlich drei Aspekte auszunutzen, um dieses Fehlverhalten hervorzurufen: Emotionen, Vertrauen und Müdigkeit.

1. Müdigkeit

Nahezu jeder Chief Information Security Officer (CISO) wird bestätigen, dass ein hoher Anteil aller Cyberangriffe an einem Freitagnachmittag stattfindet. Das liegt zum einen daran, dass Angreifer darauf bauen, dass ihnen ein erfolgreicher Coup das ganze Wochenende Zeit verschafft, den erlangten Zugang auszunutzen, da an Wochenenden die Verantwortlichen der betroffenen Unternehmen mit hoher Wahrscheinlichkeit weniger wachsam sind.

Zum anderen ist für die Wahl dieses Zeitpunkts vor allem die Müdigkeit der Angestellten ausschlaggebend. Zum Ende des letzten Arbeitstags der Woche hin steigt die Wahrscheinlichkeit, dass die Benutzer eine schlechte Wahl treffen – besonders wenn eine Woche harter Arbeit hinter ihnen liegt. Doch wie funktioniert diese Dynamik?

Sobald das Gehirn eines Menschen müde wird, delegiert es scheinbar einfache Entscheidungen an niedrigere, stärker automatisierte Gehirnfunktionen. Das ist auch der Grund, warum Menschen am Ende eines hektischen Tages noch mit dem Auto nach Hause fahren können.

Einzelne Nutzer haben in ihrem Leben häufig bereits Millionen von E-Mails gelesen. Werden Mitarbeiter also müde, ist es vollkommen einleuchtend, dass deren Amygdala, auch bekannt als „Mandelkern“, an dieser Stelle eingreift und die Reaktionen fast in einer Art Autopilot steuert. Erhalten sie in diesem Zustand also beispielsweise eine E-Mail mit einem Dateianhang, erfolgt die Öffnung dieser Datei fast automatisch, um zu sehen, was sich dahinter verbirgt. Schon ist es geschehen! Das Problem ist, dass die Amygdala sehr schlecht darin ist, einen Kontext zu bewerten, der für die Identifizierung einer gefährlichen E-Mail entscheidend ist – dieses Hirnareal liefert eher eine „Echtzeit-Reaktion“ als eine analytische Unterstützung.

Ein weiterer Aspekt in Sachen Ermüdung ist der „Überwältigungseffekt“. Wenn der Angreifer sich dessen bewusst ist, dass seine Aktion beim Empfänger die Alarmglocken schrillen lässt, liegt es nahe, zunächst unzählige „Fehlalarme“ auszulösen. Der Nutzer wird in der Folge von den vermeintlichen Bedrohungen überwältigt und desensibilisiert – der perfekte Zeitpunkt, um den tatsächlichen Angriff durchzuführen.

2. Vertrauen

Der zweite Ansatzpunkt, den sich Angreifer zunutze machen, ist Vertrauen. Wenn wir mit einer Reihe von Möglichkeiten konfrontiert werden, ist Vertrauen eine weitere Abkürzung, die unser Gehirn nutzt, um schnell eine Entscheidung zu treffen. Wenn wir eine Verbindung zu einer Marke oder Person sehen, der wir vertrauen, gewinnt die Kommunikation an Glaubwürdigkeit und die Schwelle, die erforderlich ist, damit wir klicken oder interagieren, wird gesenkt.

Beispiele dafür gibt es unzählige. Und dies ist auch der Grund dafür, warum gefälschte E-Mails viel häufiger mutmaßlich von „DHL“ oder „Amazon“ stammen als von anderen Lieferdiensten oder Online-Shops. Dieselbe Dynamik – also das in andere gesetzte Vertrauen zu missbrauchen – versuchen Angreifer auch auszunutzen, indem sie die Accounts von Personen kompromittieren, mit denen die eigenen Mitarbeiter und Geschäftspartner aus der Lieferkette vertraut sind und denen sie im Umkehrschluss auch vertrauen. Diese Konten sind für Cyberkriminelle besonders interessant, denn ein Link in einer E-Mail von einem Kollegen wird weitaus häufiger geklickt, als wenn diese offensichtlich von einem Fremden stammt.

Angreifer versuchen darüber hinaus auch das Vertrauen von Mitarbeitern auszunutzen, wenn es darum geht, den passenden Ort für ihre Malware zu finden. Untersuchungen von Proofpoint belegen, dass Benutzer viermal wahrscheinlicher auf gefährliche Links klicken, wenn diese auf Microsoft SharePoint verweisen, und sogar zehnmal wahrscheinlicher, wenn es sich um einen Link zu Microsoft OneDrive handelt. Dies zeigt, dass die Angreifer genau wissen, dass Benutzer darauf achten, auf welche Domains Links verweisen, um zu entscheiden, ob sie daraufklicken sollen. Das Wissen um diese Tatsache versetzt die Angreifer zudem in die Lage, die Klickraten zu steigern, indem sie ihre Malware an einem Ort hinterlegen, der als „vertrauenswürdig“ wahrgenommen wird.

3. Emotion

Wir alle wissen, dass wir nicht noch das zweite Stück Schokolade essen, den Sport ausfallen lassen oder das zweite Glas Wein trinken sollten, und doch tun wir oft genau das – warum? Unser Gehirn befindet sich in einem ständigen Kampf zwischen zwei konkurrierenden Zuständen.

Im Buch von Daniel Kahneman, „Thinking Fast and Slow“, beschreibt dieser zwei getrennten Systeme des Denkens: Zum einen den emotionalen und intuitiven Prozess und zum anderen den langsameren Prozess der rationalen Logik.

Unser emotionales Gehirn ist unglaublich leistungsfähig, es handelt schnell, kann Dinge leicht nachvollziehen und bietet oft eine sofortige Belohnung (hier kommt wieder der Gedanke mit dem zweiten Stück Schokolade ins Spiel!). Unser rationales Gehirn hingegen braucht Zeit und es bedarf einiger Anstrengungen, um es zu aktivieren. Doch dieses rationale Gehirn verhilft uns oft zu besseren, strategischeren Entscheidungen (Auf Wiedersehen, zweites Schokoladenstück!).

Angreifer sind sich dieser Gegebenheiten wohl bewusst und versuchen daher aktiv, emotionale Reaktionen hervorzurufen. Auf diese Weise trifft das Opfer eine schnelle Entscheidung, umgeht seine rationale Sphäre und erhöht so für den Angreifer die Wahrscheinlichkeit, dass ein Link geklickt wird, obwohl der Betroffene es im Grunde besser weiß.

Die überwiegende Mehrheit dieser emotionalen Reaktionen soll „schnell“ erfolgen. Diese Geschwindigkeit in der Reaktion soll beispielsweise hervorgerufen werden, indem gedroht wird: „Ihr Paket wird gleich ins Depot zurückgeschickt“, „Ihr Netflix-Konto wurde gesperrt“ oder „Ihre Überweisung wurde abgelehnt“. Die Intention dahinter ist, dass das rationale Gehirn umgangen werden soll. Und genau hier findet sich der Grund, warum Menschen klicken, obwohl sie es eigentlich besser wissen.

Es existieren jedoch auch langsamere Techniken der Angreifer, um Emotionen auszunutzen. Diese sind aber weit weniger häufig zu beobachten, da sie einen viel größeren Aufwand und mehr Zeit erfordern. Diese Arten von Angriffen werden üblicherweise als „Romance Scams“ bezeichnet.

Wie Mitarbeiter auf den Umgang mit Angriffen vorbereitet werden sollten

Wie erläutert, zielen die Angreifer speziell auf Emotionen der Nutzer ab, um deren rationales Denkvermögen zu umgehen, da dies der Teil des Gehirns ist, der normalerweise zum Analysieren von Dingen herangezogen wird.

Es ist wichtig zu verstehen, dass die niedrigeren, weniger rationalen Bereiche des Gehirns die Kontrolle übernehmen, wenn der logische Verstand müde oder abgelenkt ist. Genau diese Aspekte müssen den Mitarbeitern verdeutlicht werden. Diesen muss klar sein, dass bei jeder E-Mail, die eine emotionale Reaktion hervorzurufen versucht, alle Alarmglocken läuten müssen. Und dass sie umso vorsichtiger und überlegter handeln sollten, je stärker der emotionale Trigger ist.  Besonders müssen Nutzer darauf achten, wenn sie müde oder überwältigt sind – doch auch hier darf die Wachsamkeit der Angestellten nicht nachlassen.

Darüber hinaus sollte ein Modell implementiert werden, das dem Grundsatz „Vertrauen ist gut, es aber mittels eines anderen Kanals überprüfen ist besser“ folgt, sobald einem Mitarbeiter eine Kommunikation auch nur ansatzweise verdächtig erscheint. Wird der Inhalt einer E-Mail also beispielsweise via Telefon verifiziert, kann dieser Verdacht schnell ausgeräumt werden – dabei sollte jedoch niemals die in der E-Mail enthaltene Telefonnummer verwendet werden.

Fazit

Schlussendlich ist es am besten, sich gewahr zu werden, dass Cyberkriminalität auch nur eine Sonderform des Verbrechens ist. Und wie bei Verbrechen üblich, sind es Menschen, die andere Menschen versuchen auszubeuten bzw. sie hinters Licht zu führen. Die Erkenntnis daraus muss lauten, dass sich Unternehmen besser schützen lassen, wenn sich die Security-Verantwortlichen auf den Menschen als primären Aspekt der Verteidigungsstrategie konzentrieren – denn auch für die Angreifer steht der Mensch als Ziel im Vordergrund, nicht die Technologie.

Jeder Nutzer hat es selbst in der Hand. Er kann sich dafür entscheiden, nicht zuzulassen, dass ein Angreifer seine Gefühle manipuliert und sein Vertrauen missbraucht – jedoch nur, wenn er weiß, worauf er achten muss. Wer beim Lesen von E-Mails wachsam und aufmerksam ist, nach emotionalen Triggern Ausschau hält und eine „Vorsicht geht vor Nachsicht“-Mentalität an den Tag legt, der kann viel dazu beitragen, unerwünschte Klicks zu vermeiden.