Die Psychologie des Phishing: Wenn E-Mails gefährlich sind

12 September, 2020
Hast du schon einmal eine verdächtige E-Mail erhalten, in der du aufgefordert wurdest, dringend zu handeln oder persönliche Daten preiszugeben? Das war vermutlich ein Fall von Phishing, einer weit verbreiteten modernen Betrugsmasche.
 

Mit der Entwicklung neuer Technologien passt sich auch alles andere an und verändert sich. Und kriminelle Aktivitäten stellen keine Ausnahme dar. Cyber-Kriminalität ist weit verbreitet und tritt in verschiedensten Formen auf. Es gibt Spyware, Adware, Würmer, Trojaner, Viren usw. Eine der häufigsten Formen von Cyber-Kriminalität ist das Phishing, bei dem vertrauliche und private Daten über E-Mail gestohlen werden.

Die Cyber-Kriminellen geben vor, eine bestimmte Person oder ein Unternehmen zu sein. Unter diesem falschen Namen senden sie dir E-Mails, in denen dir mitgeteilt wird, du müsstest dringend handeln und bestimmte Informationen bereitstellen.

Die E-Mails erwecken häufig den Anschein, von Unternehmen zu stammen, die du kennst oder bei denen du ein Konto führst. Häufig enthalten sie die Androhung, dein Konto würde gesperrt oder es würden zusätzliche Gebühren anfallen, wenn du den Forderungen des E-Mails nicht unverzüglich nachkommst.

Wenn du dann die schädliche Datei öffnest, die sich in vielen dieser E-Mails befindet, oder die geforderten Informationen (Bankdaten oder persönliche Informationen) lieferst, werden die Betrüger diese zu ihren Gunsten nutzen. Phishing ist ein sehr effektiver Weg, um viele Menschen auf einmal zu betrügen. Experten schätzen, dass es im Jahr 2019 neun Millionen Phishing-Angriffe gab.

Während diese Arten von Betrug relativ leicht identifizierbar sind, sind manche Cyber-Kriminelle dazu in der Lage, Menschen dazu zu bringen, in ihre Falle zu tappen. Sie spielen so geschickt mit den grundlegenden Emotionen und psychologischen Prozessen von Menschen, dass du nicht bemerkst, dass du getäuscht wirst.

 
Phishing - Hacker mit Kaputzenpullover

Phishing: Sozialer Einfallsreichtum

Cyber-Kriminelle nutzen für die Gestaltung ihrer Betrügereien soziologische und sozialpsychologische Konzepte. Sie spielen normalerweise mit vier verschiedenen menschlichen Emotionen: Gier, Neugier, Mitleid und Angst. Die Kombination dieser Emotionen führt dazu, dass Menschen beinahe instinktiv reagieren.

Daher haben Phishing-Angreifer verschiedene Taktiken entwickelt, mit denen sie Menschen dazu veranlassen, sensible Daten preiszugeben. Sie spielen mit diesen vier Emotionen und setzen ihr Wissen über andere soziale Verhaltensweisen ein.

Nachfolgend werden wir drei Verhaltensweisen aufzeigen, die Phishing-Angreifer ausnutzen, um Menschen zu betrügen. Natürlich hängt der Erfolg dieser Attacken von den persönlichen Merkmalen jedes Menschen und dessen Fähigkeit ab, verdächtiges Verhalten zu erkennen.

Phishing nutzt den Respekt vor Autoritäten aus

Menschen neigen dazu, Anweisungen oder Befehle von Autoritätspersonen zu befolgen. Mit anderen Worten, wir erliegen einer kognitiven Verzerrung, die uns (wenn auch nur für einen kurzen Augenblick) unsere eigene Meinung oder mögliche Konsequenzen unserer Handlungen vergessen lässt. Mit Angst als treibender Kraft beeilen wir uns daher, die Anweisungen unserer “Vorgesetzten” zu befolgen.

 

Phishing-Angreifer täuschen Autorität vor, indem sie sich als Direktor einer Firma, einer wichtigen staatlichen Organisation oder eines renommierten Unternehmens ausgeben. Sie senden häufig E-Mails, in denen sie vorgeben, ein großer Konzern oder ein bekanntes Unternehmen zu sein, und fordern dich dazu auf, etwas zu tun, was für deren Geschäft scheinbar relevant ist.

Wenn du einen bekannten Firmennamen siehst, vermittelt dir das ein Gefühl von Sicherheit. Daher bist du vermutlich eher dazu bereit, zu glauben, dass das Gelesene tatsächlich der Wahrheit entspricht.

Ein Beispiel für derartigen Betrug ist eine E-Mail, die angeblich vom Finanzamt kommt und dich auffordert, auf einen Link zu klicken, um eine Steuerrückerstattung zu erhalten. Ein weiteres Beispiel ist eine E-Mail von einem Unternehmen, in der du gebeten wirst, eine Datei bezüglich eines “neuen Projekts” zu öffnen.

Der Anschein von Dringlichkeit

Diese Manipulationsstrategie ist sehr verbreitet, und das nicht nur bei kriminellen Aktivitäten. Auch Marketingunternehmen setzen sie sehr häufig ein. Grundsätzlich geht es darum, eine Situation von angeblicher Dringlichkeit zu schaffen. Diese soll den Nutzer dann zu schnellen Entscheidungen und Handlungen veranlassen. Wenn diese Strategie angewendet wird, machen sich die Absender oft die Angst der Menschen zunutze, dass etwas Schlimmes geschehen wird, wenn sie nicht umgehend handeln.

Der Betreff der E-Mail ist so gestaltet, dass beim Empfänger bereits die Alarmglocken läuten. “Dein Computer hat einen Virus” oder “Jemand hat versucht, auf dein Konto zuzugreifen” sind nur zwei von zahlreichen Beispielen. Darüber hinaus ist eine weitere Variante, dass die E-Mail dir mitteilt, dass du der oder die Erste sein musst, der oder die etwas tut.

Zum Beispiel: “Nur die ersten 50 Personen, die sich anmelden, werden einen Preis erhalten”. Hierbei ist es deine Angst davor, eine Gelegenheit zu verpassen, die dich dazu veranlassen könnte, den Betrug zu glauben, ohne vorab weitere Möglichkeiten in Betracht zu ziehen.

Das Ziel ist es, Angst bei dir auszulösen, damit du eine vorschnelle und unüberlegte Entscheidung triffst. Die Betrüger rechnen damit, dass dein rationaler Verstand keine Zeit hat, die verdächtigen Aspekte der E-Mail zu hinterfragen, die auf einen Betrug hindeuten könnten.

Außerdem werden diese E-Mails häufig in Großbuchstaben geschrieben und die Farbe Rot soll den Eindruck von Dringlichkeit und Gefahr noch zusätzlich verstärken. Daher besteht das Problem bei derartigen E-Mails darin, dass du in diese Falle tappen könntest, obwohl du von der Nachricht gar nicht wirklich überzeugt bist. Das liegt daran, dass du handeln willst, nur für den Fall, dass sie tatsächlich der Wahrheit entspricht.

Phishing zielt darauf ab, dass du automatisierte Handlungen durchführst

Im Laufe des Tages erledigst du viele Dinge ganz automatisch, ohne dir darüber vollkommen bewusst zu sein. Diese Handlungen sind in der Regel das Resultat von Erfahrung und Wiederholung. Du aktivierst deinen Autopiloten und achtest nicht wirklich darauf, was du gerade tust. Du klickst beispielsweise auf den großen roten Button mit der Aufschrift “Klicke hier”. Anstatt den kleineren mit der Aufschrift “Abbrechen” zu wählen.

Phishing-Angreifer nutzen diese automatisierten Verhaltensweisen zu ihrem Vorteil aus. Sie bitten dich beispielsweise darum, eine E-Mail noch einmal zu senden, die anscheinend nie gesendet wurde. Oder sie fügen einen Link ein, der dich angeblich zu einer Website führen soll, auf der du dein Abonnement für einen Newsletter oder ähnliches kündigen kannst. Allerdings sind all diese Links natürlich falsch.

Diese Strategien sind sehr effektiv und gleichermaßen gefährlich. Denn sie erscheinen harmlos und ähneln sehr stark den Dingen, die wir ständig tun. Phishing nutzt genau diese Tendenzen aus. Die Betrüger spekulieren darauf, dass du bei den Dingen, die du sehr häufig tust, weniger aufmerksam bist und daher auf ihren Betrug hereinfallen wirst. Daher sind Phishing-Angriffe auch so effektiv, wenn sie uns dazu bringen können, die Details nur zu überfliegen und schnelle und unüberlegte Entscheidungen zu treffen.

Phishing - Computertastatur mit Phishing-Taste

Wie du diese Falle vermeiden kannst

Obwohl einige Menschen diese Betrügereien besser erkennen können als andere, ist letztendlich jeder ein potentielles Opfer. Wenn du vermeiden willst, Opfer derartiger Täuschungen zu werden, musst du dir unbedingt über die möglichen Gefahren bewusst werden. Daher solltest du jede E-Mail vollständig und sehr aufmerksam durchlesen. Wenn du den Absender nicht kennst, überprüfe, ob das E-Mail-Konto echt ist.

Aber das Wichtigste ist, dass du auf keinen Fall zu schnell reagieren darfst. Achte darauf, dass du einen Moment innehältst und die möglichen Konsequenzen abwägst. Überlege, ob die Nachricht tatsächlich Sinn macht. Frage dich, ob dir das Unternehmen oder die Person, von der die Nachricht scheinbar stammt, tatsächlich eine derartige E-Mail schicken würde.

Dann solltest du dir etwas Zeit nehmen und überlegen, was die E-Mail bedeutet und sie auf verdächtige Anzeichen überprüfen. Wenn du erkennst, dass es sich um einen Phishing-Angriff handelt, solltest du außerdem die Behörden informieren.