Phishing aus der Sicht des Opfers

Delores hatte wieder einmal einen anstrengenden Tag hinter sich. Da sie unterbesetzt war, waren die Mitarbeiter der gemeinnützigen Organisation, für die sie arbeitete, ständig überlastet. Sie fing bei der Agentur an, als ihre Freundin (jetzt ihr Chef) sie einstellte. Da sie befreundet waren, baten Delores und ihr Chef sich oft gegenseitig um Gefallen. Kurz vor Weihnachten des letzten Jahres erhielt Delores eine E-Mail von ihrem Chef, in der sie um einen dieser Gefallen gebeten wurde. Und so ging es weiter:

Chef: "Sind Sie beschäftigt?"

Delores: "Nein"

Boss: "Können Sie mir einen Gefallen tun?"

Delores: "Klar, was gibt's?"

Boss: "Ich habe meine Handtasche mit meinem Telefon verloren. Ich leihe mir das Telefon eines Freundes; können Sie mir eine SMS an diese Nummer schicken: xxx-xxx-xxxx?"

Delores hat die Nummer per SMS übermittelt.

Telefon eines Freundes: "Ich stecke in der Klemme: Ich brauche Geschenkgutscheine für alle anderen Teammitglieder, die ich als Preise für die Weihnachtsfeier verteilen soll. Ich habe mein Portemonnaie mit allem, was darin war, verloren und kann sie nicht kaufen. Ich muss sie heute noch besorgen, damit wir sie rechtzeitig zur Feier haben. Kannst du mir helfen?"

Delores: Obwohl dies eine ungewöhnliche Bitte war, war Delores froh, dass sie ihrer Freundin helfen konnte. Nach ein paar Stunden kaufte sie online iTunes-Geschenkkarten im Wert von 1.600 Dollar und leitete sie an ihren Chef weiter.

Telefon eines Freundes: "Bitte behalten Sie dies für sich, es ist eine Überraschung für die Weihnachtsfeier."

Die eigentliche Überraschung kam, als Delores erkannte, dass es nicht ihr Chef war, für den sie die Karten gekauft hatte. Die jüngste Verlagerung zur Heimarbeit hat zu einem Boom von Social-Engineering-Angriffen im Internet geführt. [1] Ich habe eine Vielzahl von Opfern befragt, um zu verstehen, wie und warum Menschen auf diese Betrügereien hereinfallen. Auf diese Weise lernte ich Delores (nicht ihr richtiger Name) kennen.

Ihr Interview hat mir geholfen, Betrug aus der Sicht des Opfers besser zu verstehen. Was für mich "rote Fahnen" gewesen wären, machte in Delores' Kontext Sinn.

Wenn ich Vorträge vor Sicherheitsexperten halte, ernte ich häufig Gelächter oder Kommentare über die Naivität der Opfer. Nach jahrelanger Forschung in diesem Bereich bin ich jedoch zu der Überzeugung gelangt, dass der Kontext die Anfälligkeit beeinflusst.

Kognitive Verarbeitung von oben nach unten vs. von unten nach oben

Die menschliche kognitive Verarbeitung funktioniert in zwei "Richtungen": von "unten nach oben", wenn wir Informationen aus der Umwelt beobachten und Schlussfolgerungen ziehen, und von "oben nach unten", wenn wir eine Erwartung haben und die Lücken ausfüllen. Während "Sehen ist Glauben", ist das Gegenteil - "Glauben ist Sehen" - auch oft wahr.

Eine einfache Möglichkeit, dies am eigenen Leib zu erfahren, ist die Betrachtung von mehrdeutigen Zahlen. Wenn Sie sich eine Website wie diese oder ansehen, werden Sie feststellen, dass die Zahlen das eine oder das andere zu sein scheinen. Wenn man Ihnen aber vorher sagt, was Sie zu sehen erwarten, dann werden Sie eher diese Form sehen. Dies kann dazu führen, dass Menschen Hinweise übersehen, selbst wenn sie sie direkt ansehen.

Ein fantastisches Beispiel wurde demonstriert, als Personen angewiesen wurden, ein Video eines Basketballspiels anzusehen und die Anzahl der Pässe zwischen den Spielern zu zählen. Unbemerkt von den Beobachtern läuft während des Videos offensichtlich eine Person in einem Gorillakostüm mitten durch die Szene. [2] Die meisten Beobachter "sehen" die Person im Gorillakostüm nicht einmal, wenn sie sie direkt ansehen, was durch Eye-Tracking-Studien bestätigt wurde. [3]

Die Folgen des Nicht-Klickens

Eine Studie des National Institute of Standards and Technology ergab, dass Menschen eher auf die Links in Phishing-E-Mails klicken, wenn die Prämisse der E-Mail mit der beruflichen Funktion oder den Erwartungen an eine E-Mail übereinstimmt. Dies mag nicht überraschend sein. Erstaunlich war jedoch, wie oft dieselben Personen Hinweise in der E-Mail bemerkten, wie z. B. einen nicht passenden Hyperlink oder einen Rechtschreibfehler, den sie zwar in Frage stellten, dann aber rechtfertigten, weil die E-Mail ihren Erwartungen entsprach.

Diese Studie ergab auch, dass Personen, die auf Hyperlinks in Phishing-E-Mails klickten, dies taten, weil sie sich Sorgen über die Konsequenzen machten, wenn sie nicht auf den Link klickten. [4] Wie viele Mitarbeiter in Ihrem Unternehmen wurden gemaßregelt, weil sie einer legitimen E-Mail nicht nachgegangen sind?

Die überzeugendste Phishing-E-Mail, die mir begegnet ist, ging von einer verspäteten Warnung wegen eines verpassten Schulungstermins aus. Die E-Mail zeigte das Firmenlogo, verwendete korrekte Grammatik und enthielt die Drohung, den Vorgesetzten des Mitarbeiters zu benachrichtigen, wenn die Schulung nicht sofort abgeschlossen wird. Leider nutzen diese Taktiken unsere kognitiven Prozesse gegen uns aus, und es gibt wenig, was wir daran ändern können. Das heißt aber nicht, dass alles verloren ist.

Die Quintessenz

Im Folgenden finden Sie drei Punkte, die Sie beachten sollten, wenn Sie Ihre Benutzer über Phishing-Bedrohungen aufklären:

• Machen Sie sich klar, dass Nutzer, die auf Phishing hereinfallen, wahrscheinlich in einer Situation waren, die ihren Erwartungen oder Überzeugungen entsprach. Wären die Umstände etwas anders gewesen, wären sie vielleicht nicht auf den Betrüger hereingefallen.
• Die Sensibilisierung für ist zwar ein notwendiger erster Schritt, reicht aber allein nicht aus. Die Menschen müssen sichere E-Mail-Gewohnheiten entwickeln. Unter Sanitätern gibt es ein Sprichwort: "Welcher Patient hat eine ansteckende Krankheit? Jeder von ihnen." Sanitäter behandeln jeden Patienten als potenziell ansteckend. Der Aufbau durchgängig sicherer E-Mail-Gewohnheiten ist entscheidend, auch für den Umgang mit persönlichen E-Mails. Die "Wiederholungsklicker", die ich befragt habe, können zwar die richtigen Sicherheitsrichtlinien zitieren, verhalten sich aber nicht entsprechend. Sie haben schlechte Gewohnheiten, nicht einen Mangel an Wissen.
• Schließlich sollte darüber nachdenken, wie sich die Richtlinien auf die Sicherheit auswirken können. Bei dem Beispiel mit der Schulungs-E-Mail ist ein Mitarbeiter, der ernsthafte Konsequenzen zu tragen hat, wenn er die Schulung nicht abschließt, anfälliger als ein Mitarbeiter, der weniger zu verlieren hat. Fragen Sie sich, wie Angreifer gut gemeinte Richtlinien zu ihrem Vorteil ausnutzen könnten.

[1] " 820%iger Anstieg der Bot-Angriffe auf elektronische Geschenkkarten seit Beginn der COVID-19-Sperren ," TechRepublic

[2] " Der unsichtbare Gorilla ," Christopher Chabris und Daniel Simons

[3] " Der unsichtbare Gorilla schlägt wieder zu ," Trafton Drew, Melissa L. H. Vo und Jeremy M. Wolfe

[4] " Benutzerkontext: An Explanatory Variable in Phishing Susceptibility ," Kristen K. Greene, Michelle P. Steves, Mary F. Theofanos, Jennifer Kostick