Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Ich klicke, also bin ich: verstörende Forschungsergebnisse zum Phishing

Der Homo sapiens klickt auf Links in unbeholfenen, nicht personalisierten Phishing-E-Mails. Er tut das einfach. Es gibt Forschungsergebnisse, die nahelegen, dass ein kleiner Prozentsatz der Bevölkerung einfach so verdrahtet ist,...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Inhalt

    Der Homo sapiens klickt auf Links in unbeholfenen, nicht personalisierten Phishing-E-Mails. Er tut das einfach. Es gibt Forschungsergebnisse, die nahelegen, dass ein kleiner Prozentsatz der Bevölkerung einfach so verdrahtet ist, dass er bei seinen Aktivitäten im Internet automatisch klickt. Bis vor Kurzem war das „Warum“ hinter dem Klick-Verhalten von Menschen ein Rätsel. Jetzt haben wir eine genauere Antwort auf diese Frage, die auf Forschungsergebnissen aus Deutschland basiert. Warnung:  Für IT-Sicherheitsverantwortliche sind die Schlussfolgerungen nicht gerade beruhigend.

    Marketing-Experten aufgepasst: Hohe Klickraten!

    Den Forschungsergebnissen von Zinaida Benenson und ihrer Kollegen ist das Anklicken von Phishing-Fallen häufig nur durch allgemeine Neugierde begründet, und erst an zweiter Stelle durch einen Inhalt, der eine Verbindung zum Opfer herstellt.

    Die Forschungsgruppe verwendete bei ihrem Experiment die folgende E-Mail-Vorlage, die an über 1.200 Studenten an zwei unterschiedlichen Universitäten gesendet wurde:

    Hi!

    Die Sylvesterparty war der Hammer! Hier sind die Bilder:

    http://<IP address>/photocloud/page.php?h=<participant ID>

    Aber bitte nicht für Leute freigeben, die nicht dabei waren!

    Bis zum nächsten Mal!

    <Vorname des Absenders>

    Die Nachricht wurde übrigens in den ersten zwei Januarwochen verschickt.

    Und möchte jemand raten, welche allgemeine Klickrate diese Spam-Nachricht erreicht hat?

    Unglaubliche 25 %.

    Marketing-Experten überall sind jetzt offiziell neidisch auf diese phantastische Kennzahl.

    De deutschen Wissenschaftler haben dann mit einem Fragebogen nachgehakt, um die Motivation der Klick-aholiker zu erkunden.

    Von den Antwortenden gaben 34 % an, dass Sie neugierig auf die mit der Mail verlinkten Party-Fotos waren, weitere 27 % sagten, dass die Nachricht zur Jahreszeit passte, und 16 % gaben an, dass Sie nur aufgrund des Vornamens dachten, den Absender zu kennen.

    Mit den Worten eines dieser Katzen-Memes gesagt: „Humans is EZ to fool!“

    Die cleveren Wissenschaftler hatten eine klassische Tarngeschichte in ihr Experiment eingebaut. Sie rekrutierten Studenten angeblich für die Teilnahme an einer Studie zum Surfverhalten und boten als Anreiz Online-Shopping-Gutscheine an. Der Versand von Phishing-E-Mails wurde mit keiner Silbe erwähnt.

    Und ja: Nach dem Ende der echten Untersuchung wurden die studentischen Testpersonen über den Hintergrund der Untersuchung und deren Ergebnisse informiert und nachdrücklich gewarnt, alberne Links in Phishing-Mails nicht anzuklicken.

    Benenson hat Ihre Forschungsergebnisse auf der Black Hat im letzten Jahr präsentiert. Anschauen lohnt sich.

    Phishing: Die hässliche Wahrheit

    Im IOS-Blog haben wir über Phishing geschrieben und uns über die relevante Forschung auf dem Laufenden gehalten. Kurz gesagt: Wir sind nicht wirklich von den Erkenntnissen des deutschen Forschungsteams überrascht, insbesondere im Zusammenhang mit dem Anklicken von Links auf Bilder.

    Die deutsche Studie scheint unsere eigene Intuition zu bestätigen: Menschen langweilen sich am Arbeitsplatz und suchen billige Unterhaltung in Form heimlicher Blicke in das Privatleben von Fremden.

    OK, die menschliche Natur lässt sich nicht ändern.

    Aber es ergibt sich ein noch verstörender Schluss im Zusammenhang mit dem allgemeinen Kontext der Nachricht. Die Studie legt nahe, das die Wahrscheinlichkeit eines Klicks steigt, je mehr der Absender weiß und über das Ziel der Phishing-Mail sagen kann. Und tatsächlich wurde in einer früheren Studie von Benenson eine Klickrate von 56 % erreicht, als die Phishing-Mail mit dem Namen adressiert war.

    Und das hatten die Wissenschaftler über ihre aktuelle Studie zu sagen:

     … den Inhalt und Kontext der Nachricht auf die aktuelle Lebenslage einer Person abzustimmen, spielt eine wichtige Rolle. Viele Menschen klickten [die Links] nicht an, weil sie gelernt hatten, Nachrichten von unbekannten Absendern oder mit unerwarteten Inhalten zu vermeiden… Bei einigen Teilnehmern führte dieselbe Heuristik („Passt diese Nachricht zu meiner aktuellen Lage?“) allerdings zum Klicken, weil sie annahmen, dass die Nachricht von einer Person stammte, die an Ihrer Sylvesterparty teilgenommen hatte, oder dass sie den Absender kannten.

    Implikationen für die Datensicherheit

    Bei Varonis predigen wir seit langem, dass der Perimeterschutz nicht als letzte Verteidigungslinie betrachtet werden darf. Phishing gehört natürlich zu den Gründen, aus denen Hacker so leicht in die Intranets von Unternehmen eindringen können.

    Aber Hacker werden laufend klüger und sammeln immer mehr Daten über die Ziele ihrer Phishing-Angriffe, um die Köder attraktiver zu machen. Die deutsche Untersuchung zeigt, dass sogar sehr schwach personalisierte Inhalte sehr effektiv sind.

    Stellen Sie sich also vor, was passiert, wenn sie in den Besitz von Daten über echte persönliche Präferenzen oder sonstige Detailinformationen gelangen, indem sie die Seiten der Opfer in sozialen Medien beobachten, oder möglicherweise durch ein vorheriges Eindringen in eine andere Website, mit der das Opfer interagiert.

    Ein schlauer Hacker, der mich aufs Korn genommen hat, könnte mir zum Beispiel diese durchtriebene E-Mail an meine Varonis-Adresse schicken:

    Hallo Andy,

    schade, dass wir uns dieses Mal auf der Black Hat nicht gesehen haben! Ich habe Deine Kollegin Cindy Ng getroffen, die mir sagte, dass Du sehr an meinen Studien über Phishing und Analysen des Nutzerverhaltens interessiert bist. Klick auf diesen Link und lass mich wissen, was Du denkst.  Ich hoffe, bei Varonis läuft alles gut!

    Mit freundlichen Grüßen

    Bob Simpson, CEO von Phishing Analytics

    Hmmm. Wissen Sie, darauf könnte ich das nächste Mal, wenn ich nicht gut aufpasse, wirklich hereinfallen.

    Die wichtige Lektion für die IT-Abteilung ist, dass sie eine zweite Schutzebene benötigt, die auf Hacker nach dem Überwinden der Firewall achtet und ungewöhnliche Verhaltensweisen durch Analysen der Aktivitäten im Dateisystem erkennen kann.

    Wenn Sie mehr darüber erfahren wollen, klicken Sie hier!

    Und – haben Sie geklickt? Gut, denn der Link führt nicht auf eine Domäne von Varonis!

    Eine weitere Schlussfolgerung der Studie ist, dass Sie unbedingt Sicherheitsschulungen in Ihrer Organisation durchführen sollten, insbesondere mit nicht technikorientierten Mitarbeitern.

    Wir stimmen dem zu: Die Investition lohnt sich!

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?