IT-Sicherheit Wie man Phishing-Mails durchschauen kann

Es gibt ein paar unumstößliche Wahrheiten über Phishing-Mails: Sie nerven, werden immer ausgefeilter, sind aber dennoch leicht als solche zu identifizieren – und darauf reinfallen tun immer nur die anderen, oder?

Was bewegt Menschen, auf die Links in dubiosen Phishing-Mails Mails zu klicken? Liegt es an mangelndem Problembewusstsein der Mitarbeiter? An Langeweile? Ein Forscherteam der Friedrich-Alexander-Universität (FAU) Erlangen ging dieser Frage nach und kam zur Erkenntnis, dass der Hauptgrund schlichte Neugier ist, gepaart mit einem Inhalt, der in Bezug zum Empfänger steht.

Phishing erfolgreicher als E-Mail-Marketing

In dem zugrundeliegenden Experiment schickten die Wissenschaftler kurz nach Neujahr eine Mail an 1.200 Studenten. Der Inhalt war ganz knapp gehalten: „Hey, die Silvesterparty war toll, hier sind die Bilder (Link), zeige sie aber keinem, der nicht dabei war. Bis bald…“

Die Klickrate betrug stolze 25 Prozent. Später nach den Gründen befragt, sagten 34 Prozent der Studenten, dass sie neugierig auf die Fotos gewesen seien, 27 Prozent betonten das richtige Timing kurz nach Silvester und 16 Prozent glaubten, den Absender aufgrund des angegebenen Namens zu kennen. Diese Zahlen belegen eigentlich nur den Eindruck, den Sicherheitsverantwortliche in den letzten Jahren gewinnen konnten: Gerade die Aussicht auf Bilder lässt die Mitarbeiter auf Links gehen – und je besser der Text in die gegenwärtige Situation des Empfängers passt, desto wahrscheinlicher ist sie erfolgreich.

Neugier plus Kontext

Neugier liegt in der menschlichen Natur, welche sich bekanntermaßen – trotz Aufklärung, Schulung und Sensibilisierung – nur schwer ändern lässt. Kommt dann noch der passende Kontext hinzu (im Fall des Experiments: Studenten, die auf einer Silvesterparty waren), ist der Erfolg der Cyber-Kriminellen fast schon programmiert. Zumal sie momentan gerade am Kontext immer weiter feilen. Das Ziel von Spearfishing ist genau dies, den Kontext und Inhalt so zu gestalten, dass der Inhalt legitim erscheint und Links damit klickbar werden. Mit ein wenig Recherche in Sozialen Medien wie Facebook oder LinkedIn und Xing ist es kein großer Aufwand, eine Mail auf den entsprechenden Mitarbeiter maßzuschneidern, etwa so:

„Hallo Thomas,
schade, dass ich dich auf der InfoSec dieses Jahr nicht gesehen habe. Ich traf deinen Kollegen Carl, der mir sagte, dass du dich vielleicht für meine Studie über Phishing und Nutzerverhaltensanalyse interessieren könntest. Hier (Link) findest du die Ergebnisse.
Ich hoffe, in deinem neuen Job bei Varonis läuft alles gut, bis bald …“

Die Leiterin der FAU-Studie Dr. Zinaida Benenson sagt wohl zu Recht, dass „mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier“ und hält „hundertprozentigen Schutz für nicht machbar.“ Was also ist die Konsequenz daraus? Was bedeuten diese Erkenntnisse für die Datensicherheit? An einer entsprechenden Schulung der Mitarbeiter, in der sie für die Problematik sensibilisiert werden, führt kein Weg vorbei, dies gilt gerade für technisch weniger versierte Angestellte. Aber dennoch wird es Fälle geben, in denen Mitarbeiter, auf Phishing-Mails hereinfallen.

Dabei wird klar, dass Perimeterschutz nicht ausreicht und Unternehmen gut daran tun, eine zweite Verteidigungslinie aufzubauen für eben jene Fälle, in denen Hacker ins Innere der Systeme gelangen. Diese muss in der Lage sein, ungewöhnliches Verhalten durch intelligente Nutzer- und Systemanalyse zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.

Thomas Ehrlich ist Country Manager DACH und Osteuropa.

Dieser Beitrag erschien zuerst auf unserem Partnerportal www.marconomy.de.

(ID:44878811)