Skip to Main Content

Gut gelaunte Surfer fallen eher auf Phishing-Mails rein

Keiner hat gerne schlechte Laune. Allerdings kann eine miesepetrige Stimmung vor Hackerangriffen schützen. Das legt zumindest eine neue Studie nahe, die auf der Black-Hat-Konferenz vorgestellt wurde.

Wie CNET berichtet, haben Forscher der Universität von Florida und Google die Psychologie hinter Phishing-Mails untersucht. Welche menschlichen Schwächen nutzen die Hacker aus, um den User zum Klick auf den Link zu bewegen?

Das Problem dahinter ist kein kleines, denn Phishing-Mails sind immer noch der Hauptgrund für Datendiebstahl. Allein Google blockt jeden Tag rund 100 Millionen davon. Dazu kommen die Spamfilter zig anderer Mail-Provider und Antiviren-Lösungen.

Viele Phishing-Mails wirken absolut echt

Eine Phishing-Mail funktioniert immer nach dem selben Prinzip: Der Anwender soll den Eindruck erhalten, die offizielle Mail eines Web-Dienstes vor sich zu haben (z.B. Paypal, Amazon). Folgt er dem Link und gibt seinen Login oder andere Daten ein, werden diese an die Hacker übertragen. Anschließend wird der Nutzer an die richtige Webseite weiter geleitet, so dass er den Diebstahl nicht bemerkt.

Waren solche Phishing-Versuche früher oft recht plump gehalten, werden mittlerweile hochwertige Kopien originaler Mails angefertigt. Außerdem können Phishing-Kampagnen innerhalb weniger Minuten auf aktuelle Themen angepasst werden.

Testkandidaten erhalten tägliche Phishing-Mail

Phishing-Mails sind so gut geworden, dass prinzipiell jeder Anwender Opfer werden kann, solange er keine Zwei-Schritt-Authentifizierung aktiviert hat. Dann kommt noch Glück hinzu, wie man bislang zumindest dachte. Oder wie es Werner Vogels, der CTO von Amazon, kürzlich formulierte: „Es wird immer den einen Idioten geben, der auf den Link klickt“.

Die neue Studie legt allerdings nahe, dass die Wirksamkeit von Phishing-Mails nichts mit der Intelligenz des Opfers zu tun hat. Die Forscher haben dazu 158 Teilnehmer über drei Wochen beobachtet. Offiziell wollte man das Surfverhalten der User untersuchen.

Dabei wurden allen Teilnehmern jeden Tag auch eine Phishing-Mail geschickt, die Google zuvor sichergestellt hatte. Bei der Auswertung des Nutzerverhaltens stellten die Forscher schnell ein wiederkehrendes Muster fest.

Links werden im Reflex geklickt

Die Mails beuten menschliche Schwächen aus und stützen sich darauf, dass der Anwender schnelle Entscheidungen trifft, ohne darüber nachzudenken. Sie sind am erfolgreichsten, wenn der Klick aus einer Art Reflex erfolgt und nicht durch eine selbständig getroffene Entscheidung.

Laut jüngster Studien teilt der Mensch seine Entscheidungsfindung in zwei Methoden: Werden wichtige Entscheidungen getroffen, wie etwa ein Hauskauf oder die Namensfindung für den Nachwuchs, werden alle Vor- und Nachteile genau abgewogen und erst dann eine Entscheidung gefällt.

Andere Tätigkeiten wie Zähne putzen oder Kaffee kochen werden dagegen automatisch ausgeführt ohne dass man gezielt darüber nachdenkt. Und der Klick auf Links in E-Mails fällt demnach auch in diese Kategorie.

Gute Laune senkt unser Mißtrauen

Dieser Vorgang wird noch verstärkt, wenn wir eine ausgesprochen gute Laune haben. In diesem Moment sind unsere Skepsis und Mißtrauen nur wenig ausgeprägt. Deshalb versuchen Phishing-Mails uns oft mit positiven Botschaften zu ködern.

Haben wir dagegen großen Stress nehmen wir den Betrugsversuch besser wahr und sind allgemein skeptischer. Laufend schlechte Laune zu haben, ist aber natürlich auch kein Allheilmittel. Wer aber weiß, wie die Phishing Mails funktionieren, kann besser darauf reagieren.

Phishing-Mails sind vielen Surfern völlig unbekannt

Google hat zudem festgestellt, dass rund die Hälfte aller Internet-User gar nicht wissen, was eine Phishing-Mail ist. Der Konzern plant deshalb eine groß angelegte Aufklärungs-Kampagne.

Das Ergebnis haben Professorin Daniela Oliveira und Dr. Natalie Ebner auf der Black-Hat-Konferenz in Las Vegas vorgestellt. Am Vortrag beteiligt war auch Elli Burszstein, die Googles Anti-Abuse-Forschungsteam leitet.