Das Sicherheitsbewusstsein der Benutzer schärfen - sie nicht verwöhnen

Warum klicken Menschen auf Hyperlinks von unbekannten Absendern? Diese Frage ist für viele Sicherheitsexperten ein ständiges Rätsel und eine Quelle der Verwirrung.

Die Forschung zeigt, dass sich viele Menschen bei der Interaktion mit E-Mails auf Gewohnheiten verlassen, [1] und Gewohnheiten umfassen in der Regel einen dreistufigen Prozess: einen Auslöser , der das gewohnheitsmäßige Verhalten initiiert; eine Routine , die aus einer Reihe von Handlungen besteht, die die Gewohnheit ausmachen, und schließlich ein Ergebnis, das Feedback darüber liefert, ob das gewohnheitsmäßige Verhalten die erwarteten Ergebnisse erzielt hat. [2]

Wenn ein Benutzer eine E-Mail öffnet, muss er entscheiden, ob diese E-Mail sicher oder bösartig ist (der Auslöser), eine Aktion wählen (die Routine) und dann das Ergebnis bewerten (das Feedback). Das Verständnis der Benutzerinteraktion mit E-Mails durch das Prisma der Gewohnheitsschleifen kann zu besseren Schulungs- und Interventionsstrategien führen. Phishing-Simulationen sind zum Beispiel am effektivsten, wenn sie sofortiges Feedback geben, [3] , da dies die Assoziation zwischen den Auslösepunkten eines Benutzers (potenziell bösartige E-Mail-Indikatoren) und den vom Benutzer durchgeführten Aktionen verstärkt.

Interviews, die ich persönlich mit Nutzern darüber geführt habe, wie sie potenziell bösartige E-Mails [4] erkennen, deuten darauf hin, dass sich viele Menschen auf mentale Schablonen verlassen, wie sie erwarten, dass eine Phishing-E-Mail aussieht. Kognitionspsychologen bezeichnen diese mentalen Repräsentationen als Schemata, [5] und wenn Benutzer auf Phishing-E-Mails treffen - entweder real oder simuliert - werden ihre Schemata trainiert und aktualisiert. Wenn ich Benutzer frage, wie sie Phishing-E-Mails erkennen, erhalte ich in der Regel Beschreibungen von Gebührenbetrügereien (auch bekannt als 419-Betrügereien). Dies deutet darauf hin, dass die Sicherheitsabteilungen durch das ständige Versenden von Phishing-Simulationen, die relativ leicht zu erkennen sind, die Benutzer möglicherweise darauf trainieren, bestimmte Arten von Phishing-E-Mails zu erkennen, nicht aber solche, die einen ausgefeilteren Ansatz verfolgen. Paradoxerweise könnten sie dadurch anfälliger für Speer-Phishing-Angriffe oder BEC-Betrügereien (Business Email Compromise) werden, die nicht in ihre eng definierte Vorlage passen.

Was macht es schwieriger, eine Phishing-E-Mail zu erkennen?

Aber was macht es schwieriger, bestimmte Arten von Phishing-E-Mails zu erkennen als andere? Um diese Frage zu beantworten, entwickelt das National Institute of Standards and Training (NIST) derzeit einen objektiven Maßstab, die so genannte Phish-Skala, [6] , um zu ermitteln, wie schwer eine simulierte Phishing-E-Mail für einen typischen Benutzer zu erkennen ist.

Phish Scale bewertet die Erkennbarkeit von Phishing-E-Mails anhand von zwei verschiedenen Attributen. Die erste, die so genannte "Cue Presence", bezieht sich auf visuelle Hinweise, die der Empfänger wahrnehmen könnte und die ihn zu dem Schluss führen, dass eine E-Mail potenziell bösartig ist. Beispiele für solche Hinweise sind Rechtschreib- oder Grammatikfehler sowie Unstimmigkeiten im Absenderfeld oder in der URL der E-Mail.

Die zweite Gruppe von Attributen, bekannt als "Prämissenausrichtung", beschreibt das Ausmaß, in dem die Nachricht mit dem Job oder der Funktion des beabsichtigten Opfers übereinstimmt. Mit anderen Worten: Wie genau entspricht die Nachricht dem Schema des Ziels für eine legitime E-Mail? Eine Phishing-E-Mail, die nach einer offenen Stelle fragt und einen angehängten Lebenslauf enthält, passt beispielsweise eher zu einem Mitarbeiter der Personalabteilung als zu jemandem in der Marketing-Abteilung. Phish Scale misst die Schwierigkeit, eine Phishing-E-Mail zu erkennen, anhand des Vorhandenseins von Hinweisen und der Ausrichtung der Prämisse.

Sicherheitsabteilungen stehen oft unter dem Druck, ihre Investitionen in verschiedene Produkte und Dienste zu validieren, und eine Möglichkeit, dies zu tun, ist der Nachweis geringerer Klickraten bei simulierten Phishing-Angriffen. Wenn die Simulationen jedoch alle einen niedrigen Schwierigkeitsgrad haben, kann dies zu einem falschen Gefühl der Sicherheit führen. Die Einbeziehung anspruchsvollerer Simulationen nach Maßstäben wie der NIST-Phish-Scale-Metrik kann ein genaueres Bild über das tatsächliche Sicherheitsbewusstsein der Mitarbeiter vermitteln.

Phishing-Übungen effektiver gestalten

Im Folgenden finden Sie drei Möglichkeiten, wie Fachleute für Cybersicherheit ihre Phishing-Schulungen effektiver gestalten können.

1. Verwenden Sie "entschärfte" Versionen echter Phishing-E-Mails, um die Mitarbeiter zu schulen. Wenn Sie die Benutzer anhand aktueller Phishing-E-Mails schulen, können sie die Angriffe, die derzeit gegen Ihr Unternehmen eingesetzt werden, besser erkennen.

2. Fügen Sie schwierig zu erkennende Spear-Phishing-E-Mails zu Ihrem Trainingsmix hinzu. Die Verbesserung der kognitiven Fähigkeiten ist wie die Konditionierung eines Muskels, und eine Möglichkeit, ihn zu stärken, besteht darin, ihn gelegentlich an seine Grenzen zu bringen. Indem sie Phishing-E-Mails in ihre Sensibilisierungskampagnen einbeziehen, die schwieriger zu erkennen sind, können Sicherheitsabteilungen die Vorstellungen ihrer Benutzer darüber erweitern, was mit Phishing möglich ist.

Hier sei ein Hinweis zur Vorsicht gegeben: Wenn zu viele dieser E-Mails verschickt werden oder die Mitarbeiter nicht ausreichend darin geschult werden, wie man sie erkennt, kann das nach hinten losgehen und dazu führen, dass die Mitarbeiter zu dem Schluss kommen, dass die Erkennung aussichtslos ist und sie den Versuch gleich aufgeben können. Der effektivste Weg, um Benutzer darin zu schulen, subtilere Phishing-Angriffe zu erkennen, besteht darin, ihnen unmittelbar nach der Übung zu zeigen, wie sie hätten erkannt werden können.

3. Verfolgen Sie, welche E-Mails bei welchen Mitarbeitergruppen am effektivsten sind. Sie können Ihre Schulungen verbessern und personalisieren, wenn Sie sich die Zeit nehmen, um herauszufinden, welche Test-E-Mails bei welchen Mitarbeitern nach Funktion und Abteilung am effektivsten waren. Mit diesem Wissen können Sie Ihre Sensibilisierungskampagnen so anpassen, dass Benutzergruppen, die für bestimmte Arten von Phishing-Angriffen besonders anfällig sind, darin geschult werden können, diese zu erkennen.

Die Quintessenz

Schulen Sie Ihre Mitarbeiter nicht zu wenig, indem Sie ihnen nur Phishing-E-Mails schicken, die relativ leicht zu erkennen sind. Ein effektiverer Ansatz besteht darin, Ihre Schulungsübungen mit E-Mails zu streuen, bei denen die Wahrscheinlichkeit größer ist, dass die Empfänger getäuscht werden, um sie für die vielen verschiedenen Arten von Phishing-Angriffen zu sensibilisieren.

[1] " Going Spear Phishing: Exploring Embedded Training and Awareness, " IEEE Xplore

[2] " Die Macht der Gewohnheit: Warum wir im Leben und im Beruf tun, was wir tun, " Amazon

[3] " Don't click: Auf dem Weg zu einem effektiven Anti-Phishing-Training. Eine vergleichende Literaturübersicht, " Springer Link

[4] "Merkmale von Wiederholungsklickern und schützenden Stewards," Figueroa, A., Hawkins, S. & Canham, M. (Manuskript in Vorbereitung)

[5] " Ein Rahmenwerk zur Darstellung von Wissen, " MIT Libraries

[6] " Kategorisierung der menschlichen Phishing-Schwierigkeit: A Phish Scale, " Journal of Cybersecurity