Warum Phishing funktioniert

Die Psychologie der E-Mail-Scams

Warum funktionieren Spam und Phishing? Wer öffnet verseuchte E-Mail-Anhänge? Wer sich diese Fragen stellt, muss diesen Beitrag lesen.

Voriges Jahr mussten 76 Prozent der IT-Sicherheits-Teams feststellen, dass ihre Organisation durch Malware bedroht wurde, die von den vorhandenen Intrusion-Detection- und Antiviren-Lösungen nicht erkannt wurde - zu diesem Ergebnis kommt die Ponemon-Studie "The State of Advanced Persistent Threats". Der "Verizon Data Breach Investigations Report 2013" besagt zudem, dass 95 Prozent der gezielten und APT-gesteuerten Bedrohungen per E-Mail als Spear-Phishing-Angriff in Umlauf gebracht wurden. Gezielte und ausgefeilte E-Mail-Angriffe, die sich Social-Engineering-Taktiken zunutze machen, sind jetzt die am häufigsten verwendete und weiterhin zunehmende Form der Cyber-Angriffe.

Die meisten hoch entwickelten Angriffe zielen sowohl auf menschliche als auch auf systemtechnische Fehler ab. Das Prinzip funktioniert, weil die Teams für IT-Sicherheit in der Regel nicht in Echtzeit über einen ausreichenden Einblick darüber verfügen, wer auf welche Weise Ziel einer Bedrohung ist, sodass kein effizienter Schutz des Unternehmens möglich ist.

Was sich jedoch stark verändert hat, sind die Intensität und das Volumen von Attacken, die direkt auf die Benutzer abzielen. Cyber-Kriminelle versenden nicht mehr Tausende von E-Mails nach dem Zufallsprinzip in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte Phishing-E-Mails, die sie maßgeschneidert auf die Empfänger ausrichten. Da dies mit einem hohen Zeitaufwand verbunden ist, besteht kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROI) rentieren muss.

Ein lukratives Geschäft

Die Cyber-Kriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben, und nutzen dies zu ihren Gunsten aus. Die anspruchsvollen Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen E-Mails zu unterscheiden. Kein Wunder, sind diese doch auf jeden Empfänger individuell zugeschnitten und wirken täuschend echt.

Das Resultat: Allein in den vergangenen drei Jahren ist die Anzahl der gezielten Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen. Diese sind so effektiv, weil sie die Empfänger und die installierte Sicherheitssoftware gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormen Erfolg: Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit der typischen Erfolgsrate einer E-Mail-Marketingkampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links.

Der Erfolg scheint sicher

Phishing-Attacken sind nicht nur lästig - sie können Personen und Unternehmen auch große Probleme bereiten. So wurde beispielsweise durch einen Longlining-Angriff ein Rechner der Firma FazioMechanical Services infiziert. Diese lieferte zu diesem Zeitpunkt Heizungs- und Lüftungsanlagen an den Multi-Milliarden-Konzern Target. Die Cyber-Kriminellen attackierten nun über das Netzwerk von Fazio die Firma Target und stahlen knapp 110 Millionen Personendaten. Darunter auch 40 Millionen Kreditkartendaten, die das Unternehmen gespeichert hatte. In den darauffolgenden Monaten verzeichnete Target einen Gewinneinbruch von 46 Prozent und einen Schaden von mehreren Milliarden Euro.