Warum Phishing funktioniert

Die Psychologie der E-Mail-Scams

Monika Schaufler ist Regional Director Central Europe bei Proofpoint. Sie blickt auf mehr als 25 Jahre Erfahrung in der IT-Branche zurück - zunächst bei Cisco, wo sie Kunden wie Bosch Telekom, heute Tenovis, und später auch die Deutsche Telekom betreute. Anschließend wechselte Schaufler zu Riverbed Technolgy, wo sie das deutsche Enterprise-Geschäft leitete. Während ihrer Zeit bei Cisco besuchte sie zudem die Kellogg, School of Management an der University in Chicago.
Warum funktionieren Spam und Phishing? Wer öffnet verseuchte E-Mail-Anhänge? Wer sich diese Fragen stellt, muss diesen Beitrag lesen.
Vorsicht, Phishing!
Vorsicht, Phishing!
Foto: www.mimikama.at

Letztes Jahr mussten 76 Prozent der IT-Sicherheits-Teams feststellen, dass ihre Organisation durch MalwareMalware bedroht wurde, die von den vorhandenen Intrusion-Detection- und Antivirus-Lösungen nicht erkannt wurde - zu diesem Ergebnis kommt die Ponemon-Studie "The State of Advanced Persistent Threats". Der "Verizon Data Breach Investigations Report 2013" besagt zudem, dass 95 Prozent der gezielten und APT-gesteuerten Bedrohungen per E-Mail als Spear-Phishing-Angriff in Umlauf gebracht wurden. Gezielte und ausgefeilte E-Mail-Angriffe, die sich Social-Engineering-Taktiken zunutze machen, sind jetzt die am häufigsten verwendete und weiterhin zunehmende Form der Cyberangriffe. Alles zu Malware auf CIO.de

Die meisten hochentwickelten Angriffe zielen sowohl auf menschliche als auch auf systemtechnische Fehler ab. Das Prinzip funktioniert, weil die Teams für IT-Sicherheit in der Regel nicht in Echtzeit über einen ausreichenden Einblick darüber verfügen, wer auf welche Weise Ziel einer Bedrohung ist, sodass kein effizienter Schutz des Unternehmens möglich ist.

Was sich jedoch stark verändert hat, ist die Intensität und das Volumen von Attacken, die direkt auf die Benutzer abzielen. Cyberkriminelle versenden nicht mehr Tausende von E-Mails nach dem Zufallsprinzip, in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte PhishingPhishing E-Mails, welche sie maßgeschneidert auf die Empfänger ausrichten. Da dies mit einem hohen Zeitaufwand verbunden ist, besteht kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROIROI) rentieren muss. Alles zu Phishing auf CIO.de Alles zu ROI auf CIO.de

Ein lukratives Geschäft

Die Cyberkriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben und nutzen dies zu ihren Gunsten aus. Die anspruchsvollen Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen E-Mails zu unterscheiden. Kein Wunder, sind diese doch auf jeden Empfänger individuell zugeschnitten und wirken täuschend echt.

Das Resultat: Allein in den letzten drei Jahren ist die Anzahl der gezielten Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen. Diese sind so effektiv, weil sie die Empfänger und die installierte Sicherheits-Software gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormen Erfolg: Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit der typischen Erfolgsrate einer E-Mail-Marketingkampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links.