Ich klicke, also bin ich: verstörende Forschungsergebnisse zum Phishing

Der Homo sapiens klickt auf Links in unbeholfenen, nicht personalisierten Phishing-E-Mails. Er tut das einfach. Es gibt Forschungsergebnisse, die nahelegen, dass ein kleiner Prozentsatz der Bevölkerung einfach so verdrahtet ist, dass er bei seinen Aktivitäten im Internet automatisch klickt. Bis vor Kurzem war das „Warum“ hinter dem Klick-Verhalten von Menschen ein Rätsel. Jetzt haben wir eine genauere Antwort auf diese Frage, die auf Forschungsergebnissen aus Deutschland basiert. Warnung:  Für IT-Sicherheitsverantwortliche sind die Schlussfolgerungen nicht gerade beruhigend.

Marketing-Experten aufgepasst: Hohe Klickraten!

Den Forschungsergebnissen von Zinaida Benenson und ihrer Kollegen ist das Anklicken von Phishing-Fallen häufig nur durch allgemeine Neugierde begründet, und erst an zweiter Stelle durch einen Inhalt, der eine Verbindung zum Opfer herstellt.

Die Forschungsgruppe verwendete bei ihrem Experiment die folgende E-Mail-Vorlage, die an über 1.200 Studenten an zwei unterschiedlichen Universitäten gesendet wurde:

Hi!

Die Sylvesterparty war der Hammer! Hier sind die Bilder:

http://<IP address>/photocloud/page.php?h=<participant ID>

Aber bitte nicht für Leute freigeben, die nicht dabei waren!

Bis zum nächsten Mal!

<Vorname des Absenders>

Die Nachricht wurde übrigens in den ersten zwei Januarwochen verschickt.

Und möchte jemand raten, welche allgemeine Klickrate diese Spam-Nachricht erreicht hat?

Unglaubliche 25 %.

Marketing-Experten überall sind jetzt offiziell neidisch auf diese phantastische Kennzahl.

De deutschen Wissenschaftler haben dann mit einem Fragebogen nachgehakt, um die Motivation der Klick-aholiker zu erkunden.

Von den Antwortenden gaben 34 % an, dass Sie neugierig auf die mit der Mail verlinkten Party-Fotos waren, weitere 27 % sagten, dass die Nachricht zur Jahreszeit passte, und 16 % gaben an, dass Sie nur aufgrund des Vornamens dachten, den Absender zu kennen.

Mit den Worten eines dieser Katzen-Memes gesagt: „Humans is EZ to fool!“

Die cleveren Wissenschaftler hatten eine klassische Tarngeschichte in ihr Experiment eingebaut. Sie rekrutierten Studenten angeblich für die Teilnahme an einer Studie zum Surfverhalten und boten als Anreiz Online-Shopping-Gutscheine an. Der Versand von Phishing-E-Mails wurde mit keiner Silbe erwähnt.

Und ja: Nach dem Ende der echten Untersuchung wurden die studentischen Testpersonen über den Hintergrund der Untersuchung und deren Ergebnisse informiert und nachdrücklich gewarnt, alberne Links in Phishing-Mails nicht anzuklicken.

Benenson hat Ihre Forschungsergebnisse auf der Black Hat im letzten Jahr präsentiert. Anschauen lohnt sich.

Phishing: Die hässliche Wahrheit

Im IOS-Blog haben wir über Phishing geschrieben und uns über die relevante Forschung auf dem Laufenden gehalten. Kurz gesagt: Wir sind nicht wirklich von den Erkenntnissen des deutschen Forschungsteams überrascht, insbesondere im Zusammenhang mit dem Anklicken von Links auf Bilder.

Die deutsche Studie scheint unsere eigene Intuition zu bestätigen: Menschen langweilen sich am Arbeitsplatz und suchen billige Unterhaltung in Form heimlicher Blicke in das Privatleben von Fremden.

OK, die menschliche Natur lässt sich nicht ändern.

Aber es ergibt sich ein noch verstörender Schluss im Zusammenhang mit dem allgemeinen Kontext der Nachricht. Die Studie legt nahe, das die Wahrscheinlichkeit eines Klicks steigt, je mehr der Absender weiß und über das Ziel der Phishing-Mail sagen kann. Und tatsächlich wurde in einer früheren Studie von Benenson eine Klickrate von 56 % erreicht, als die Phishing-Mail mit dem Namen adressiert war.

Und das hatten die Wissenschaftler über ihre aktuelle Studie zu sagen:

 … den Inhalt und Kontext der Nachricht auf die aktuelle Lebenslage einer Person abzustimmen, spielt eine wichtige Rolle. Viele Menschen klickten [die Links] nicht an, weil sie gelernt hatten, Nachrichten von unbekannten Absendern oder mit unerwarteten Inhalten zu vermeiden… Bei einigen Teilnehmern führte dieselbe Heuristik („Passt diese Nachricht zu meiner aktuellen Lage?“) allerdings zum Klicken, weil sie annahmen, dass die Nachricht von einer Person stammte, die an Ihrer Sylvesterparty teilgenommen hatte, oder dass sie den Absender kannten.

Implikationen für die Datensicherheit

Bei Varonis predigen wir seit langem, dass der Perimeterschutz nicht als letzte Verteidigungslinie betrachtet werden darf. Phishing gehört natürlich zu den Gründen, aus denen Hacker so leicht in die Intranets von Unternehmen eindringen können.

Aber Hacker werden laufend klüger und sammeln immer mehr Daten über die Ziele ihrer Phishing-Angriffe, um die Köder attraktiver zu machen. Die deutsche Untersuchung zeigt, dass sogar sehr schwach personalisierte Inhalte sehr effektiv sind.

Stellen Sie sich also vor, was passiert, wenn sie in den Besitz von Daten über echte persönliche Präferenzen oder sonstige Detailinformationen gelangen, indem sie die Seiten der Opfer in sozialen Medien beobachten, oder möglicherweise durch ein vorheriges Eindringen in eine andere Website, mit der das Opfer interagiert.

Ein schlauer Hacker, der mich aufs Korn genommen hat, könnte mir zum Beispiel diese durchtriebene E-Mail an meine Varonis-Adresse schicken:

Hallo Andy,

schade, dass wir uns dieses Mal auf der Black Hat nicht gesehen haben! Ich habe Deine Kollegin Cindy Ng getroffen, die mir sagte, dass Du sehr an meinen Studien über Phishing und Analysen des Nutzerverhaltens interessiert bist. Klick auf diesen Link und lass mich wissen, was Du denkst.  Ich hoffe, bei Varonis läuft alles gut!

Mit freundlichen Grüßen

Bob Simpson, CEO von Phishing Analytics

Hmmm. Wissen Sie, darauf könnte ich das nächste Mal, wenn ich nicht gut aufpasse, wirklich hereinfallen.

Die wichtige Lektion für die IT-Abteilung ist, dass sie eine zweite Schutzebene benötigt, die auf Hacker nach dem Überwinden der Firewall achtet und ungewöhnliche Verhaltensweisen durch Analysen der Aktivitäten im Dateisystem erkennen kann.

Wenn Sie mehr darüber erfahren wollen, klicken Sie hier!

Und – haben Sie geklickt? Gut, denn der Link führt nicht auf eine Domäne von Varonis!

Eine weitere Schlussfolgerung der Studie ist, dass Sie unbedingt Sicherheitsschulungen in Ihrer Organisation durchführen sollten, insbesondere mit nicht technikorientierten Mitarbeitern.

Wir stimmen dem zu: Die Investition lohnt sich!