Warum lassen sich so viele Menschen abzocken?
Die Psychologie hinter dem Phishing
Vermeidung von Angst – Spaß am Gewinn
Warum lassen sich so viele Menschen abzocken?
Selbst einem Angestellten des Hosted-CRM-Unternehmens Salesforce ist es neulich passiert: Er hat sich auf eine gefälschte Webseite versurft und dort im guten Glauben Passwörter eingegeben.
Als Ergebnis fischten die Identitätsdiebe die Datenbank leer und schickten gefälschte Salesforce-Rechnungen an die Kunden.
Wie bekommen Phisher das immer wieder hin? Vielleicht hilft die Psychonalyse. “Freud und Phishing” – mit diesem für IT-Veranstaltungen ungewöhnlichen Vortragstitel versuchte Andrew Klein, Senior Product Manager von SonicWall, dem Thema auf der Kongressmesse Interop Anfang November in Berlin auf den Grund zu kommen.
Wer auf Phishing-Attacken hereinfällt, will Angst vermeiden, so Andrew. Und Angst kann man schon bekommen bei Mails wie: “Jemand hat Ihren Account benutzt, und Sie müssen nun ganz schnell Ihre Daten verifizieren – sonst peng. Sonst wird Ihr Account gelöscht.”
Anfällig für Phishing-Attacken macht aus psychologischer Sicht auch der Wunsch, etwas zu gewinnen (“Sie wurden ausgewählt”). Ein Geschenk oder eine Rückerstattung, für die man nur mal eben schnell ein paar Daten eingeben soll. Oder gefälschte Spendenaufrufe, die an das Mitgefühl appellieren.
Phishing lohnt sich, rechnete Klein vor: Wenn von zwei Millionen versandten Phishing-E-Mails nur fünf Prozent durch alle Filter hindurch bis zum Empfänger gelangen, der abends zu Hause sitzt oder als Unternehmens-Mitarbeiter mit geschäftskritischen Daten hantiert, dann sind das 100.000 Adressaten. Wenn nur fünf Prozent, also 5.000 von ihnen weiterklicken und danach nur zwei Prozent tatsächlich Passwörter eingeben – das sind das 100 Personen, die man abräumen kann!
Tipps zum Schutz der Unternehmens-Daten
Warum lassen sich so viele Menschen abzocken?
Auch Zugangsdaten zu betriebseigenen Servern und Kreditkarten oder anderen Payment-Systemen eignen sich als Beute – Grund genug für Unternehmen, sich mit diesem Thema zu beschäftigen.
Darüber hinaus könnte das eigene Unternehmen selbst interessant sein für eine Phishing-Attacke. Denn, so stellt das Sicherheitsunternehmen McAfee in einer aktuellen Studie fest, schießen sich Datendiebe zunehmend auf weniger bekannte Websites ein, da sich die renommieren Anbieter wie Ebay und Co. immer besser gegen Hacker schützen und schnell reagieren. Da ein großer Teil der Nutzer ohnehin bei allen Online-Angeboten die gleichen Login-Daten benutzt, gelangen die Phisher auch über kleine Sites an die gewünschten Daten.
Andrews Tipps:
– Absender von E-Mails verifizieren
– die eigene E-Mail-Adresse schützen
– wenig und kurze Domains nutzen
– mit den Mitarbeitern über das Thema sprechen
– die eigene Marke schützen. Denn im Unterscheid zum Spam ist das wichtigste Attribut der Phishing-E-Mail die Glaubwürdigkeit der Marke.
Wer seinen Phishing-IQ verbessern will, kann mit dem ?Phishing IQ Test? überprüfen, inwieweit er eine gute E-Mail von einer betrügerischen unterscheiden kann.
(Kleines Bild: Panda Software)