Wie Phishing-Attacken unser Gehirn austricksen
Beim Entlocken von Login-Daten nutzen Hacker geschickt aus, dass Menschen Täuschungen abhängig von Faktoren wie ihre Gefühlsage und Motivation nicht erkennen. Aber noch immer wissen nur wenige Nutzer, wie man sich schützen kann.
- Patrick Howell O'Neill
Jemanden dazu zu bringen, auf einen schädlichen Link in einer E-Mail zu klicken und private Informationen wie ein Passwort einzugeben, ist die wichtigste Fähigkeit in den Toolkits vieler Hacker. Dieses sogenannte Phishing ist die häufigste Form von Cyberangriffen und wird immer häufiger eingesetzt. Laut Untersuchungen von Google und der University of Florida ist es deshalb so effektiv, weil es ausnutzt, dass Menschen Täuschungen abhängig von Faktoren wie emotionale Intelligenz, kognitive Motivation, Stimmung, Hormone und sogar die Persönlichkeit des Opfers nicht erkennen.
"Wir sind alle anfällig für Phishing, weil es die Art und Weise austrickst, wie unser Gehirn Entscheidungen trifft", sagte Daniela Oliveira, Associate Professor an der University of Florida, anfang August auf der Black Hat Cybersecurity-Konferenz in Las Vegas. Die Probleme beginnen schon damit, dass laut Oliveira und Google-Forscherin Elie Bursztein 45 Prozent der Internetnutzer nicht einmal wissen, was Phishing ist.
Glücklich, aber nicht wachsam
Auch die Stimmung spielt eine Rolle. Menschen, die sich glücklich und nicht gestresst fühlen, erkennen Betrug seltener. Das Stresshormon Cortisol erhöht die Wachsamkeit und macht dabei das Erkennen einer Täuschung wahrscheinlicher. Die Hormone Serotonin und Dopamin hingegen, die mit positiven Gefühlen verbunden sind, können zu riskantem und unvorhersehbarem Verhalten führen, das die Menschen anfälliger macht.
Phisher können auch außergewöhnlich gut Nachrichten verfassen, um eine Person zum Klicken zu überreden. Darüber hinaus ist Autorität eine der häufigsten und effektivsten Waffen – beispielsweise eine E-Mail, die angeblich vom Geschäftsführer des Unternehmens gesendet wurde und einen Mitarbeiter auffordert, durch Klicken auf einen Link Informationen bereitzustellen. Ein anderes Werkzeug im Arsenal der Phisher besteht darin, eine Gewinn-Verlust-Rechnung aufzumachen und beispielsweise mit einer Erstattungsmöglichkeit von Amazon zu locken.
Einige der auffälligsten Phishing-E-Mails spielen mit Emotionen. Nach den verheerenden und rekordverdächtigen Waldbränden in Kalifornien im Jahr 2018 beobachtete Google eine Welle von E-Mails, in denen nach Spenden für die Opfer gefragt wurde. Emotionale Hinweise wie das Versprechen, Spenden für Obdachlose zu sammeln, beeinträchtigten die Fähigkeit des Empfängers, sich auf Hinweise zu konzentrieren, dass die E-Mail eine Täuschung sein könnte. Durch das Auslösen dieser emotionalen Reaktion brachten die Hacker die Leute dazu, ihre Skepsis abzuschalten.
Schutz vor Phishing: Zwei-Faktor-Authentifizierung
Lesen Sie mehr zu Cyberangriffen:
Das bedeutet nicht, dass die einzige Verteidigung gegen Phishing darin besteht, ständig gestresst und zynisch vor Wut zu sein. Gesünder und effektiver ist die Aktivierung der Zwei-Faktor-Authentifizierung für jede Ihrer wichtigen Anmeldungen wie E-Mail, Online-Banking, soziale Medien und Einkaufsseiten. Dieser Link bietet eine Liste aller Webseiten, die die Zwei-Faktor-Authentifizierung unterstützen. Allerdings hatten laut Google 2018 weniger als zehn Prozent der Nutzer die Zwei-Faktor-Authentifizierung für ihre Konten aktiviert.
Wenn diese Funktion aktiviert ist, wird man beim Anmelden zusätzlich zum Kennwort auch nach einem Code gefragt, der per SMS zugesandt wird, oder nach einem Code aus einer Authentifizierungs-App. Die sicherste Methode ist Experten zufolge ein physischer Sicherheitsschlüssel auf einem USB-Stick, da sich Hacker ohne ihn auch dann nicht in fremde Kontos einloggen können, wenn man ihnen in einer Phishing-Attacke versehentlich sein Passwort gegeben hat.
(vsz)
