Problematisches Erfolgsmodell: "Spearphishing"

Bild: betacontinua, Flickr

Großes Aufsehen erregte ein Vortrag auf der Security-Konferenz "Deepsec" in Wien, wurde dort doch aufgezeigt, wie erfolgreich das System "Spearfishing" mittlerweile selbst bei geschulten Personen ist.

Fischen vs. Speerfischen

Jeder Mailbenutzer bekommt sie jeden Tag zigfach in seinen Posteingang: Phishing-Mails. Meist tarnen sich die Mail-Absender als die eigene Hausbank und versuchen, Zugangsdaten und TACs zu ergaunern. Etwas gefinkelter wird dieses System aber, wenn "Spearphising" zum Einsatz kommt. In dem Fall werden nämlich Methoden des Social Engineerings angewandt, um genauere und um einiges schwieriger zu identifizierende Mails zu generieren. Es ist also durchaus wahrscheinlich, dass wir in Sachen Internetbetrug an der Schwelle zu einer ganz neuen Zeit stehen. Weg von der technischen Infiltration, hin zu den psychologischen Tricks.

Die nackten Zahlen

Italienische Sicherheitsexperten testeten im Auftrag von großen, international tätigen Unternehmen, wie anfällig die eigene Belegschaft für Phishing-Mails ist. Dabei wurden bewusst Informationen verwendet, die die Belegschaft für jedermann zugänglich auf Social-Media-Plattformen wie Facebook, Twitter und Youtube veröffentlichten. Im Detail wurden Emails versendet, die Rabatte für Urlaubsreisen versprachen. Man musste sich dafür nur mit dem Firmen-Login auf einer eigenen Webseite registrieren. Am Ende der Mail prangte das Unternehmenslogo der eigenen Firma, was natürlich bei vielen Personen Vertrauen erweckte.
Das Ergebnis: etwa 21 Prozent der Benutzer gaben Firmenzugangsdaten auf der Phishing-Seite ein. Und das, obwohl ganz bewusst Rechtschreibfehler eingestreut wurden und die Mail über einen russischen Server ging. Im Schnitt dauerte es nur 20 Minuten, um zehn Prozent der Firmenrechner zu kompromittieren. Nur etwa ein Prozent der Mitarbeiter schlug Alarm, als die Gefahr durch die Website offensichtlich wurde.

Da muss geschult werden! Oder nicht?

Es kommt aber alles noch schlimmer. Einige Unternehmen hatten ihre Mitarbeiter im Vorhinein ganz bewusst in Sachen Phishing schulen lassen. Der "Erfolg": von den Ungeschulten gingen 24 Prozent in die Falle, von den geschulten Mitarbeitern waren es immer noch 19 Prozent! Lag die Schulung auch noch länger als drei Monate zurück, war gar kein Unterschied mehr erkennbar.

Paradigmenwechsel

Es ist also zu befürchten, dass die Methoden zum Social Engineering, die bisher vor allem für Werbezwecke eingesetzt wurden, jetzt auch immer mehr in der Internetbetrugsszene Einzug halten werden. Der Schwerpunkt in der Bekämpfung wird sich also verschieben müssen. Psychologische Kompetenz wird wohl zukünftig in Sachen Betrugsbekämpfung immer wichtiger werden.

Ihre Meinung