Phishing und Social Engineering gehören zu den grössten Cyber-Bedrohungen und bilden das Einfallstor für jegliche Cyber-Attacken. Awareness-Schulungen und interaktive Lerninhalte spielen hier eine zentrale Rolle. Ein tiefes Verständnis der Taktiken von Cyberkriminellen ist entscheidend, um effektive Programme zu entwickeln und Schutz zu bieten. Inwiefern liefern die psychologischen Tricks der Betrüger einen Ansatz für präventive Sicherheitsmassnahmen?

Phishing-Angriffe sind oft deshalb erfolgreich, weil sie das von Daniel Kahneman beschriebene System 1 aktivieren. Das schnelle, intuitive Denken führt zu automatischen und unüberlegten Reaktionen. Dadurch werden Opfer dazu verleitet, Links anzuklicken oder sensible Informationen preiszugeben, ohne Gelegenheit die Nachricht kritisch zu prüfen.

Bild: System 1 und 2 nach D. Kahneman. Quelle: Darstellung entnommen von HSLU.ch, 2024

Aufbauend auf diesem Mechanismus nutzen Phishing-Angriffe bewährte Prinzipien der sozialen Beeinflussung. Der Psychologe Robert Cialdini beschreibt in seiner Arbeit die folgenden sechs Schlüsselprinzipien der Persuasion

1. Prinzip: Reziprozität

Wir Menschen verhalten uns von Natur aus prosozial und fühlen uns verpflichtet, einen Gefallen zu erwidern. In einer Studie zu Reziprozität (2016) gab fast die Hälfte der Befragten ihr Passwort preis, nachdem man ihnen Schokolade geschenkt hatte.

Bild: Phishing mit einem Gutschein angeblich von Twint, ktipp.ch, 2024

In einer Phishing-E-Mail kann dieses Verhalten durch Betrügende ausgenutzt werden, in dem der Bitte ein Geschenk vorgeschoben wird. Beispielsweise enthält eine E-Mail einen Coupon, um das Vertrauen der Empfänger zu gewinnen. Sobald das Angebot angenommen wurde, fühlen sich Empfangende in der Pflicht die Anfrage zu erfüllen.

2. Prinzip: Konsistenz

Wir möchten in unseren Handlungen konsistent bleiben. Dieser Mechanismus macht und anfällig auf die sogenannte «Foot-in-the-door-Technik». Diese Beeinflussungsstrategie stellt zuerst eine kleinere Bitte, die sicher erfüllt wird und die Bitten werden dann immer grösser. Wir als gefragte Personen wollen dann unserem Selbstbild der hilfreichen Person treu bleiben und erfüllen weiterhin die an uns gestellten Bitten.

Bei Phishing-Angriffen lässt sich das Prinzip der Konsistenz gut bei sogenannten Robocalls – automatisierten Telefonansagen – beobachten. Zunächst werden die Angerufenen aufgefordert, die Taste 1 zu drücken. Sobald diese erste Bitte erfüllt wird, steigt die Wahrscheinlichkeit, auch den weiteren Anweisungen zu folgen, wie dem Anklicken eines Links oder der Eingabe von Login-Daten, um konsistent zu bleiben.

3. Prinzip: Soziale Bewährtheit

Menschen orientieren sich am Verhalten anderer, besonders in unsicheren Situationen. Solche Situationen können beispielsweise der Kauf einer Waschmaschine sein. Es ist wahrscheinlicher, dass ein gleichwertiges Produkt online bestellt wird, das zahlreiche gute Rezensionen hat als wenn diese fehlen.

Bild: Werbung angeblich mit Roger Federer, der Kryptoinvestments tätigt, Quelle: Cybercrimepolice.ch

Cyberkriminelle nutzen häufig die Formulierung in betrügerischer Werbung, die suggeriert, dass bereits viele von einem bestimmten Kryptoangebot profitiert haben. Dies kann auch in Form von Phishing-E-Mails geschehen, in denen gefälschte Statistiken verwendet werden, um darzustellen, wie viele Personen bereits ein Passwort-Update durchgeführt haben. Dadurch sollen die Empfänger dazu motiviert werden, diesem vermeintlichen Vorbild zu folgen.

4. Prinzip: Sympathie

Wir sind eher bereit einer Bitte nachzukommen, wenn sie von einer Person gestellt wird, die wir sympathisch finden. Ein Beispiel dafür ist der Halo-Effekt, bei dem positive Eigenschaften wie Attraktivität oder Freundlichkeit dazu führen, dass wir die gesamte Person als vertrauenswürdiger und kompetenter einschätzen – was unsere Bereitschaft zur Zustimmung erhöht.

Bild: Meistgephishte Brands 2024, Quelle: statista.com, 2024

Aus diesem Grund werden für Phishing-E-Mails oder Scams bevorzugt bekannte Personen und Marken imitiert. Mit bekannten Marken wie Microsoft, Google, oder in der Schweiz die Post und Swisscom verbinden wir vertrauenswürdige Gefühle und ein Klick auf einen falschen Link ist demnach wahrscheinlicher.

5. Prinzip: Autorität

Wir neigen dazu, Anweisungen von als autoritär wahrgenommenen Quellen zu befolgen. Ein bekanntes Beispiel für die Wirkung von Autorität ist das Milgram-Experiment, in dem Versuchspersonen dazu gebracht wurden, anderen auf Anweisung eines vermeintlichen Experten Elektroschocks zu verabreichen. Das Experiment zeigte, wie stark Menschen bereit sind, Anweisungen von Autoritätspersonen zu folgen, selbst wenn diese ethisch fragwürdig sind.

Bild: Angebliches Bussgeld als Nachricht von der Polizei, ktipp, 2024

In Phishing-E-Mails zeigt sich dieser Effekt häufig in Form von CEO-Fraud bei dem Kriminelle vorgeben, der CEO zu sein, und zu einer Zahlung auffordern. Wenn zusätzlich Zeitdruck erzeugt wird, handeln die Empfänger oft überstürzt und führen ungewollte Aktionen aus, wie das Anklicken von Links oder das Tätigen von Geldüberweisungen.

6. Prinzip: Knappheit

Wir bewerten Dinge als wertvoller, wenn sie selten oder nur begrenzt verfügbar sind. Dieser Effekt kann oft auf Buchungsseiten für Ferien beobachtet werden. Darauf wird teils künstliche Knappheit erzeugt, um die Kunden zu schnellerem Handeln zu drängen (bspw. Booking.com, „nur noch 7 Räume“).

Bild: Phishing-E-Mail mit Zeitdruck, Zahlung sei schon 2 Tage überfällig, Quelle: ktipp, 2024

In einer Phishing-E-Mail wird diese Taktik in Zusammenhang mit Zeitdruck angewandt. Es wird Druck erzeugt, indem nur noch ein Tag für die Rückerstattung eines hohen Betrages verbleibt und sofort ein Link angeklickt werden sollte. Die künstlich erzeugte Dringlichkeit verleitet uns dazu, sofort zu handeln, ohne die Nachricht gründlich zu prüfen.

Präventionsstrategien für das Awarenessprogramm

• Schulungen: Regelmässige Trainings und Kommunikationskampagnen, die das Bewusstsein für psychologische Taktiken schärfen, sind essenziell. Dazu gehört das Erkennen von den oben genannten Techniken.

• Förderung kritischen Denkens: Mitarbeitende sollten ermutigt werden, Nachrichten zu hinterfragen, z. B. „Ist die Anfrage plausibel?“ oder „Würde meine Vorgesetzte so eine E-Mail senden?“

• Anwendung von Persuasionstechniken: Unternehmen sollten diese Prinzipien auch in ihrer internen Kommunikation nutzen, um Awareness-Programme überzeugender zu gestalten.

Phishing-Angriffe sind effektiv, weil sie auf bewährte psychologische Prinzipien setzen und die schnelle, intuitive Reaktion der Opfer nutzen. Nun wisst ihr, welche Techniken Social Engineers bevorzugen und könnt ihnen entgegen wirken!

Was sind eure Taktiken Phishing zu erkennen und nicht auf Links zu klicken??

Bis bald

Jill

Referenzen

• Jill Wick. „Deceptive Patterns: Manipulation by Design“, 8. Oktober 2024. https://jillwick.com/2024/10/08/deceptive-patterns-manipulation-by-design/

• „Robert Cialdinis ‚Waffen der Einflussnahme‘“, 27. Juni 2019. https://www.hogrefe.com/de/thema/robert-cialdinis-waffen-der-einflussnahme

• Team, Microsoft Security. „The Psychology of Social Engineering—the “Soft” Side of Cybercrime“ Microsoft Security Blog, 30. Juni 2020. https://www.microsoft.com/en-us/security/blog/2020/06/30/psychology-social-engineering-soft-side-cybercrime/