Abo
  • Services:
Anzeige
Screenshot der Phising-Mail
Screenshot der Phising-Mail (Bild: Trendmicro)

Phishing-Studie: Neugier siegt über Sicherheitsbedenken

Screenshot der Phising-Mail
Screenshot der Phising-Mail (Bild: Trendmicro)

Allen Warnungen und Sicherheitsvorkehrungen zum Trotz: Nutzer lassen sich sehr leicht auf eine Webseite locken, wenn die Phishing-Mail verführerisch genug klingt. Das sollte Auswirkungen auf die Sicherheitsarchitektur haben, fordern Forscher.

Menschliche Nutzer stellen offenbar einen nicht zu eliminierenden Unsicherheitsfaktor in Computersystemen dar. Einer Studie der Universität Erlangen-Nürnberg zufolge hat sich fast die Hälfte der Versuchsteilnehmer durch eine Phishing-Mail dazu verleiten lassen, auf einen nicht vertrauenswürdigen Link zu klicken. Dabei war der großen Mehrheit von ihnen klar, dass solche Links eine Sicherheitsgefahr darstellen können.

Anzeige

Die Informatikerin Zinaida Benenson präsentierte ihre Ergebnisse auf der Hackerkonferenz Black Hat in Las Vegas. Demnach erhielten insgesamt 1.600 Studenten entweder eine E-Mail oder eine Facebook-Nachricht mit einem Link auf eine potenziell gefährliche Webseite. Bei einem ersten Versuch im September 2013 klickten 56 Prozent der E-Mail-Empfänger und 38 Prozent der Facebook-Nutzer auf einen Link, hinter dem Fotos einer privaten Party zu finden sein sollten.

Sicherheitsbewusstsein wird ausgeschaltet

Was die Forscher verwunderte: In einer anschließenden Befragung gaben nur 20 Prozent der Teilnehmer an, auf den Link geklickt zu haben. Aus diesem Grund entschied sich das Team für einen zweiten Test. Im Januar 2014 versprachen die Wissenschaftler 975 E-Mail-Nutzern und 280 Facebook-Nutzern Fotos von einer Silvester-Party. Dieses Mal jedoch ohne persönliche Ansprache. Dabei klickten nur noch 20 Prozent der E-Mail-Nutzer, jedoch 42 Prozent der Facebook-Mitglieder auf den gefährlichen Link.

Die hohe Klickrate verwunderte die Forscher. Denn in einer Befragung waren sich 82 Prozent der Teilnehmer der Gefahren bewusst, die durch das Anklicken eines Links entstehen können. Die Analyse der Daten habe jedoch gezeigt, dass es zwischen diesem Bewusstsein und dem Klickverhalten keine Verbindung gebe. Zudem hätten die Nutzer auch dann auf die Fotos geklickt, wenn sie vorher auf gar keiner Party gewesen seien. Die Wahrscheinlichkeit, dem Link zu folgen, sei zudem größer gewesen, wenn die Teilnehmer im Moment des Nachrichtenempfangs in guter Stimmung gewesen seien.

Neugier ist zu stark

Der häufigste Grund für die Sorglosigkeit: reine Neugier. Dies hätten 34 Prozent der klickenden Nutzer angegeben. Sie hätten sich für lustige oder private Inhalte interessiert, auch wenn sie gewusst hätten, dass diese eigentlich nicht für sie selbst bestimmt gewesen seien. Die Forscher hatten in der Mail die Neugier zusätzlich angestachelt, indem sie erwähnten, dass die Bilder nicht weitergegeben werden sollten. 27 Prozent der Nutzer fielen auf den falschen Inhalt herein, da sie vorher tatsächlich auf einer Party gewesen waren. 16 Prozent dachten demnach, dass sie den Absender kennen würden. Die Forscher hatten dazu Allerweltsnamen wie Sandra Müller oder Frank Bauer verwendet.

Angesichts solcher ernüchternden Ergebnisse fragen sich die Forscher, wie sich Firmen oder Organisationen vor sogenannten Spear-Phishing-Angriffen schützen sollen. Über eine präparierte E-Mail war es Hackern im vergangenen Jahr sogar gelungen, die IT-Systeme des Deutschen Bundestags großflächig zu infiltrieren. Ihr Fazit: "Mit sorgfältig gewähltem Design und Zeitpunkt der Nachricht sollte man praktisch jeden Menschen dazu bringen können, auf einen Link zu klicken. Denn jede Person interessiert sich für etwas Bestimmtes oder findet sich in einer Lebenssituation wieder, die Inhalt und Kontext der Nachricht entspricht."

Zu viel Misstrauen macht uneffizient

Der klassische Perimeterschutz, der das Eindringen von Angreifern verhindern soll, könne auf diese Weise nicht 100-prozentig garantiert werden. Trotz folgenreicher Angriffe mit Ransomware würde es die Arbeitseffizienz zu sehr beeinträchtigen, wenn Mitarbeiter jeder E-Mail grundsätzlich mit einem hohen Misstrauen begegneten und auf verschiedene Weise überprüften, bevor sie beispielsweise Anhänge öffneten. So schreiben die Forscher: "Wenn wir diesen Leuten beibringen, vorsichtig mit Rechnungen umzugehen, werden sie bald die richtigen übersehen, was sicherlich nicht begrüßt werden dürfte." Stattdessen sollten mit Hilfe einer tief gestaffelten Sicherheitsarchitektur (defense in depth) Nutzer und Organisationen geschützt werden. Die menschliche Neugier sei schließlich eine hoffentlich nicht zu patchende Sicherheitslücke.


eye home zur Startseite
ibsi 05. Aug 2016

Naja, aber da greift doch Regel #1: Klicke nie auf Links in Mails, sondern öffne die...

ibsi 05. Aug 2016

!!! DANKE! :D ymmd

Subsessor 05. Aug 2016

Oh man, danke. Ähnliches habe ich beim Lesen des Posts auch gedacht, wenngleich nicht so...

LennStar 04. Aug 2016

Klar kann man damit jeden zum Klicken bringen. Wenn mir X versprochen hat, er schickt mir...



Anzeige

Stellenmarkt
  1. Comline AG, Dortmund
  2. Schaeffler Technologies AG & Co. KG, Nürnberg
  3. Rohde & Schwarz GmbH & Co. KG, München
  4. IT Services mpsna GmbH, Herten


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  2. FTTH

    CDU für Verkauf der Telekom-Aktien

  3. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  4. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  5. Fahrdienst

    London stoppt Uber, Protest wächst

  6. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  7. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  8. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  9. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  10. Die Woche im Video

    Schwachstellen, wohin man schaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

  1. Re: *Gerade* Siemens und Bosch scheitern daran

    k@rsten | 18:06

  2. Re: Das stimmt imho so nicht, ...

    ArcherV | 18:06

  3. Re: Selbstgemachtes Problem

    Dragon0001 | 18:03

  4. Re: Ich lach mich schlapp...

    thinksimple | 18:01

  5. Re: wetten das?

    Schläfer | 18:01


  1. 15:18

  2. 13:34

  3. 12:03

  4. 10:56

  5. 15:37

  6. 15:08

  7. 14:28

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel