Phishing-Psychologie: Der Prävalenzeffekt

Der Erfolg von Phishing hängt mit einem bekannten psychologischen Effekt zusammen.

Lange Zeit haben Cyberkriminelle die Psychologie als Täuschungsmittel eingesetzt. Wir können aber psychologische Phänomene auch nutzen, um zu erklären, warum bestimmte kriminelle Methoden funktionieren – und um die richtige Schutzstrategie festzulegen. Viele Psychologen analysieren sowohl die Angriffsschemata als auch die Gründe, wieso diese überhaupt effektiv sind. Heute untersuchen wir eine Hypothese, die den Versuch unternimmt, Folgendes zu erklären: Warum fordern E-Mail-Fallen trotz der Wirksamkeit moderner Antiphishing-Technologien immer noch Opfer und warum können sie noch immer erheblichen Schaden anrichten?

Spam- und Phishing-Schutzmaßnahmen sind wichtige Bestandteile der Online-Sicherheit eines Unternehmens. Bei der Untersuchung von Cyber-Vorfällen stellen unsere Experten in der Regel fest, dass das Problem mit einer E-Mail begann, unabhängig davon, ob es sich um ein Massenmailing oder einen zielgerichteten Angriff handelt. Heutzutage können E-Mail-Filter typische Phishing-E-Mails mit einem hohen Maß an Sicherheit identifizieren. Dennoch schaffen es Angreifer manchmal, beispielsweise durch das Hijacken des E-Mail-Postfachs eines Geschäftspartners, die Nachricht an ein menschliches Opfer zu übermitteln. Der Faktor Mensch ist nämlich nach wie vor das schwächste Glied in der Kette. Und je effektiver die Filter sind, desto größer ist die Wahrscheinlichkeit, dass die durchgemogelte Nachricht auch den Benutzer täuscht.

Das Experiment

Zwei US-amerikanische Forscher, Ben D. Sawyer vom Massachusetts Institute of Technology und Peter A. Hancock von der University of Central Florida, vermuten eine direkte Korrelation zwischen der Häufigkeit böswilliger E-Mails und ihrer erfolgreichen Identifizierung durch Benutzer. Sie stützten ihre Theorie auf dem in der Psychologie seit langem bekannten „Prävalenz-Effekt“, der im Wesentlichen besagt, dass eine Person mit größerer Wahrscheinlichkeit ein Signal übersieht (oder nicht erkennt), das weniger häufig ist als ein häufig auftretendes Signal.

Die Forscher beschlossen, ihre Vermutung in der Praxis umzusetzen, indem sie ein Experiment durchführten, bei dem den Teilnehmern E-Mails zugesandt wurden, von denen einige böswillige Anhänge enthielten. Der Prozentsatz der schädlichen E-Mails variierte für jeden Teilnehmer: Einige hatten nur 1 % Malware im Anhang, andere wiederum 5 % oder 20 %. Das Ergebnis bestätigte ihre Hypothese, dass es für Menschen umso schwieriger ist, eine Bedrohung zu erkennen, je seltener sie auftritt. Darüber hinaus ist die Abhängigkeit nicht einmal linear, sondern eher logarithmisch.

Wir sollten beachten, dass für das Experiment eine relativ kleine Stichprobe (33 Probanden) verwendet wurde und alle Teilnehmer Studenten waren, sodass es verfrüht wäre, die Schlussfolgerung blind zu akzeptieren. In der Psychologie gilt der Prävalenz-Effekt jedoch allgemein als erwiesen. Warum sollte er nicht für Phishing-E-Mails gelten? In jedem Fall versprechen Sawyer und Hancock, ihre Hypothese zu verfeinern, indem sie sie weiterentwickelten Tests unterziehen.

Die Forscher haben eine mögliche Erklärung für das Phänomen vorgeschlagen, bei dem ein starkes Vertrauen in die Sicherheit des Systems eine Rolle spielt. Im Wesentlichen gehen sie davon aus, dass Antiphishing-Technologien die Benutzer vor Bedrohungen schützen, gleichzeitig aber auch ihre Wachsamkeit beeinträchtigt. Im Übrigen postulieren die Forscher auch, dass Cyberkriminelle möglicherweise über die Auswirkungen Bescheid wissen und daher absichtlich weniger häufig Malware versenden.

Praktische Schlussfolgerungen

Wie Sie vielleicht erahnt haben, raten wir nicht dazu, automatisierte Sicherheitssysteme aufzugeben. Wenn jedoch die Hypothese von Sawyer und Hancock richtig ist, ist es möglich, dass Benutzer von der gelegentlichen Begegnung mit einer Phishing-E-Mail profitieren. Natürlich keiner richtigen Phishing-E-Mail.

Mit der Kaspersky Automated Security Awareness Platform, unserer Lösung für die Schulung von Mitarbeitern von Unternehmen aller Größen im Bereich Cybersicherheit, können Sie regelmäßig überprüfen, wie gut die Auszubildenden Sicherheitskenntnisse erwerben. So erhalten sie zur Kontrolle simulierte Phishing-E-Mails und müssen korrekt reagieren. Auf diese Weise bleiben Mitarbeiter auf Trab und vergessen somit nicht, wie Phishing aussieht.

Auch wenn die Theorie letztendlich diskreditiert wird, schaden solche E-Mails nicht. Zumindest wird der Schulungsleiter wissen, wer die schwächsten Glieder sind.

 

Tipps