Online-Sicherheit – Schwachstelle „Mensch“ bei Phishing-Angriffen
Phishing-Angriffe gelten derzeit als populär, weil sie mit einfachen Mitteln einen enorm hohen Verbreitungsgrad erzielen. Das Wort Phishing besteht aus den Wortteilen „phreaking“ (hacken) und „fishing“ (angeln). Der Grundgedanke hinter solchen Angriffen lautet: „Masse statt Klasse“. Je mehr Menschen einen Hyperlink in einer Phishing-Mail anklicken, desto höher ist die Wahrscheinlichkeit, dass jemand die Eingabedaten auf der nachfolgenden Seite ausfüllt. Da solche Hyperlinks dynamisch generiert werden können, können entsprechende E-Mails durch vorhandene Inhaltsfilter gelangen und so den Absender erreichen. Angreifende brauchen somit keine sicheren Perimeter wie Firewalls durchbrechen.
Die Schwachstelle heißt in derlei Fällen eindeutig „Mensch“. Genutzt wird sie, wenn wir versuchen andere Menschen von ihren eigenen Ansichten oder Motiven zu überzeugen. Hinter „überzeugen“ steckt nichts anderes, als einen anderen Menschen zu einer neuen oder veränderten Verhaltensweise zu bewegen. Und genau dafür steht auch die Definition von Social Engineering. Angreifende nutzen dabei gezielt menschliche Schwachstellen. Dass uns Menschen mehr verbindet als unterscheidet, das zeigen unsere Motive, Bedürfnisse und Wünsche. Genau das nutzen Angreifende für ihre Phishing-Attacken aus.
Welche Schwachstellen gibt es?
Robert Cialdini beschreibt in seinem Buch „Influence: The Psychology of Persuasion“ („Die Psychologie des Überzeugens“, 2000) insgesamt sechs unserer Schwachstellen:
1. Reciprocity: den Wunsch eine Gefälligkeit zu erwidern
2. Scarcity: die Angst vor Knappheit
3. Authority: Autoritätshörigkeit
4. Consistency: berechenbare Verhaltensweisen und Neugier
5. Liking: Zuneigung zu anderen in derselben Lebenslage/mit demselben Hintergrund
6. Consensus: der Drang nach sozialer Bestätigung
Ein Beispiel stellen aktuelle E-Mails in den USA mit dem Absender „Centers for Disease Control and Prevention“ (CDC) dar, also der amerikanischen Seuchenschutzbehörde. Die E-Mails enthalten einen Link, auf dessen Seite Empfängerinnen und Empfänger Informationen über den Verbreitungsgrad des Corona-Virus finden können. Ebenso versteckt die absendende Person auf der Seite einen Schadcode, der den Rechner infiziert.
Welche Schwachstelle des Menschen nutzen Angreifende in diesem Fall aus?
Die Autoritätshörigkeit. Wenn die Seuchenschutzbehörde eine E-Mail schickt, dann muss es wichtig sein.
Wichtiger Hinweis: Liebe Leserinnen und Leser, der Text ist kein Phishing-Aufruf! Er dient dem Verdeutlichen des Vorgehens, um Sie dafür zu sensibilisieren!
Verändern wir also unsere Perspektive und stellen uns vor, wir würden einen Phishing-Angriff planen. Wie gehen wir dabei vor? Eine angreifende Person sucht sich zuerst eine der menschlichen Schwachstellen heraus, die sie ausnutzen will. Nehmen wir gleich mal die Nummer 1, also den Wunsch, eine Gefälligkeit zu erwidern.
Ein maßgeschneiderter Angriff könnte Sie wie folgt ereilen:
„Sehr geehrte/r Frau/Herr Mustermann,
vielen Dank für die Informationen und die Unterstützung, die Sie mir haben zukommen lassen. Mir Ihrer Hilfe konnte ich [hier tragen Angreifende persönliches oder berufsspezifisches ein] erledigen. Ich bin Ihnen zu unschätzbarem Dank verpflichtet und werde mich beizeiten revanchieren. Das mit Ihrer Hilfe entstandene Ergebnis können Sie sich auf der Seite/in angefügtem Exposé [aussagekräftige/r Domain/Dateiname] ansehen.
Ihnen und uns das allerbeste.
Mit freundlichen Grüßen“
Mit einer gewissen und leider recht hohen Wahrscheinlichkeit dürfte der Angriff sogar klappen, wenn die E-Mail-Empfängerin oder der -Empfänger keine Ahnung hat, worum es überhaupt geht. Der Grund dafür liegt in dem Satz: „Das mit Ihrer Hilfe entstandene Ergebnis …“ Das nutzt die Schwachstelle vier (Consistency) aus – eine berechenbare Verhaltensweise wie Neugier.
Die in eckigen Klammern versehenen Platzhalter gelten als entscheidend für die Authentizität eines Angriffs. Beschaffe ich mir genügend Hintergrundinfos über mein Ziel, kann ich eine E-Mail so aussehen lassen, als kenne man sich. Im Social Engineering wird dieser Vorgang Reconnaissance genannt. Dieser Aspekt nutzt wiederum Schwachstelle Nummer fünf aus: Liking. Ebenso fordert eine professionelle URL mit einer einfachen und interessant gestalteten Domain so heraus, dass sie die Neugier noch verstärken kann. Und vielleicht sogar die Schwachstelle sechs, den Consensus ausnutzt: Den Drang nach sozialer Bestätigung. Vielleicht finden Sie sich hier wieder?
Welche Methoden zur Abwehr solcher Angriffe gibt es?
„Security Awareness“ (Sicherheitsbewusstsein) gilt als entscheidende Maßnahme. Sie schafft Bewusstsein, genau hinzuschauen. Wenn wir uns auf unsere Schwachstellen und unsere initialen Reaktionen zu derartigen E-Mails besinnen, können wir unsere eigenen Verhaltensweisen beeinflussen und sogar steuern. So hat Social Engineering keine Chance mehr, eine neue Verhaltensweise zu erzeugen oder eine bestehende zu verändern.
Bleiben Sie wachsam. Und vor allem gesund!
Markus Klimke – Anwendungsverantwortlicher für Werkezeuge zur Informationssicherheit bei IT.Niedersachsen
P.S.: Machen Sie vielleicht mal folgende Übung, wenn Sie mögen: Welche der oben genannten sechs Schwachstellen spricht Sie am ehesten an? Schreiben Sie sich selbst eine Phishing-Mail, auf die Sie reagieren würden. Was mein Beispiel von oben an mich selbst anbelangt: Wenn die Authentizität auf Basis valider Informationen hoch genug ist, würde ich wahrscheinlich darauf reagieren. Das ist meine ganz persönliche Schwachstelle. Seien Sie also bitte wachsam, für Ihre und unsere Sicherheit.