„Apple hat das neue iPhone 7 rausgebracht. So bekommen Sie es als erstes, kostenlos und ohne Vertrag: 1.) Testen Sie diese Seite 2.) Sie bekommen für den Test 1200,00 Euro auf Ihr Konto 3.) Kaufen Sie sich Ihr Wunschhandy Nie war es einfacher und schneller, denn in nur 48 Stunden erhalten Sie das Geld auf Ihr Paypal oder Girokonto. Haben Sie Fragen? Einfach kurz auf der Seite anmelden, wir rufen zurück!“
Na, neugierig geworden? Dann bist du mir auf den Leim gegangen. Diese anrüchige Headline und der unglaubliche Anreißer sind nicht nur Clickbait, sondern eben jener Text landete gestern in meinem E-Mail-Postfach. Der Absender war ein gewisser „Tester gesucht“. Natürlich handelt es sich bei dieser Mail um reinen Spam – Phishing und Abzocke inbegriffen – der aber darauf aus ist, unsere Neugierde zu wecken.
Wie gut das funktioniert, hast du selbst gerade erlebt. Unsere Neugier lässt uns manchmal über unser Sicherheitsbewusstsein hinwegsehen und lockt uns in die Falle. Das geht aber nicht nur dir so, sondern uns allen – mich eingeschlossen. Dass das Geschäft mit der Neugierde funktioniert, haben erst jüngst zwei kleine, aber feine Studien erneut bewiesen.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
Da liegt ein USB-Stick auf dem Boden – was mag da drauf sein?
Elie Bursztein, Leiter des Google Anti-Abuse-Teams präsentierte auf der Sicherheitskonferenz Black Hat USA seine Studie über herumliegende USB-Sticks (PDF). Auf dem Campusgelände der Universität von Illinios verteilte er zusammen mit Kollegen rund 300 USB-Sticks. Die Sticks waren beispielsweise auf dem Parkplatz, in Hörsälen oder Fluren zu finden. Um die Massenspeicher noch attraktiver zu gestalten, wurden diese mit Aufschriften, wie „Finale Prüfungsergebnisse“ oder „Vertraulich“ versehen.
Auf den Sticks waren einige HTML-Dateien, die sich als Word-Dokument oder Bild-Datei tarnten. Öffnete einer der Finder eine dieser Dateien, konnten die Sicherheitsforscher den Zugriff erfassen. Außerdem lagerte auf den Sticks in einer Datei eine Erklärung zu dem Experiment und ein Link zu einer Studienumfrage.
Das Ergebnis: 98 Prozent aller verteilten USB-Sticks wurden eingesammelt. Rund die Hälfe der Finder hat den USB-Stick angeschlossen. 45 Prozent haben Dateien auf dem Speichermedium geöffnet. Als Grund für das Anschließen des USB-Sticks gaben 68 Prozent an, Informationen über den rechtmäßigen Besitzer herauszufinden. Eine noble Geste, die schnell nach hinten losgehen kann. Denn über Flashspeicher lassen sich wunderbar Trojaner, Viren oder anderes Kleingewürm verteilen. Überraschenderweise hatten 86 Prozent der Finder keinerlei Sicherheitsbedenken.
Bei 18 Prozent siegte schlussendlich die Neugier. Zugegeben Malware-Angriffe mit USB-Sticks sind selten. Aber im Alltag kommt es öfter mal vor, dass wir unbedarft fremde Massenspeicher anschließen und dadurch mitunter unbewusst Schadsoftware wandert. Hier würde es beispielswesie schon weiterhelfen USB-Stick nur „read-only“ an den Computer anzuschließen und auf Viren zu prüfen. Ansonsten ist äußerste Vorsicht geboten.
Die Partybilder von gestern sind da, schau mal auf Facebook
Sicherheitsforscher der Friedrich-Alexander Universität Erlangen-Nürnberg (FAU) untersuchten das Klickverhalten auf Links, die via E-Mail oder Facebook-Nachricht verschickt wurden. Die Studie erfolgte in zwei Etappen. Die Forscher erstellten auf Facebook einige Fake-Profile mit und ohne Profilbild und verwendeten die zehn gebräuchlichsten Namen der Zielgruppe. Dann verschickten sie an 1.700 Studierende der Fakultät Mitteilungen, in denen ein Link zu angeblichen Party-Fotos der vergangenen Woche enthalten war.
Die Probanden wurden einmal mit und einmal ohne Vornamen angesprochen. Dafür gab es jedoch konkrete Informationen zur Party. Ziel war es, eine sogenannte „Spear Phishing“-Attacke zu simulieren. Klickte ein Opfer auf den Link, landete er auf einer harmlosen Seite, die eine „Zugriff verweigert“-Mitteilung zurückgab – jeder Aufruf wurde von den Forschern erfasst.
Das Ergebnis: Im ersten Anlauf wurden die Kandidaten mit Vornamen angesprochen. So klickten 56 der Mail-Empfänger und 38 Prozent der Facebook-Nutzer auf den Link. In der zweiten Runde wurde auf eine personalisierte Anrede verzichtet. Nun klickten nur noch 36 Prozent der Mail-Empfänger, dafür aber 42 Prozent der Facebook-User, um die vermeintlichen Partybilder zu sehen. Im Anschluss mussten alle Testprobanden einen Fragebogen ausfüllen. Darin wurden sie nach ihrem Sicherheitsbewusstsein und dem Grund für den Klick befragt.
Lediglich 20 Prozent gaben an, geklickt zu haben, obwohl es im Schnitt 45 Prozent waren. Interessanterweise gaben 78 Prozent an, sich der Sicherheitsrisiken bewusst zu sein. Trotzdem klickten 34 Prozent aus reiner Neugierde. Andere gaben an, jemanden mit dem Namen zu kennen oder vergangene Woche auf einer Party gewesen zu sein und die Nachricht für plausibel hielten.
Studienleiterin Zinaida Benenson sagte, „Ich denke, mit sorgfältiger Planung und Ausführung kann jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier.“ Außerdem wird deutlich, dass der Name auf Facebook keine große Rolle spielt. Benenson hält wenig von Mitarbeiterschulungen. In ihren Augen wäre es ein Schritt in die richtige Richtung, wenn legitime E-Mails von Unternehmen nicht wie Spam- oder Phishing Mails aussehen würden. Dem kann ich nur bedingt zustimmen, da auch Mail-Spam immer professioneller und perfider wird.
Wie wirksam sind Sicherheitstipps oder gar Sensibilisierung?
Auch wenn der Mensch von Natur aus ein neugieriges Wesen ist, sind sowohl Sicherheitstipps als auch Schulungen trotzdem sinnvoll und sehr wichtig. Sie schaffen immerhin ein gewisses Sicherheitsbewusstsein, auch wenn es bei Benensons Studie missachtet wurde. Es geht eher darum, wie diese Sichtweise vermittelt werden sollte. Denn auch Verbote sorgen oftmals dafür, dass wir gekonnt gelerntes ignorieren.
Der Reiz des Verbotenen hat mitunter auch eine verlockende Wirkung. Daher empfiehlt es sich vielleicht, anstelle solcher Aussagen, wie „Öffne keine Dateianhänge aus dubiosen Mails“, lieber zu sagen, „Das Öffnen von Dateianhängen aus dubiosen Mails, kann deinen Computer infizieren.“ Damit wird kein Verbot ausgesprochen, dafür explizit auf die Gefahr hingewiesen.
Lässt sich unsere Neugierde austricksen?
Wie Zinaida Benenson schon sagte, kann jeder von uns dazu gebracht werden, auf einen Link zu klicken. Desto professioneller und glaubwürdiger die Spam-Mail auf einen wirkt und je mehr Interesse sie in einem weckt, umso wahrscheinlicher ist der gefährliche Klick. Dagegen gibt es kein „Heilmittel“. Allerdings lässt sich unsere Neugier zügeln.
In Unternehmen würde beispielsweise der regelmäßige Versandt von gefakten Spam-Mails an Mitarbeiter dafür sorgen, dass diese mehr und mehr das Interesse an solchen Nachrichten verlieren und sie zudem besser erkennen können. Ein Risiko besteht nicht, da der harmlose Spam quasi kontrolliert verschickt wird.
Aus meiner persönlichen Erfahrung heraus hat meine Neugier mit der Zeit nachgelassen. Wenn du fast täglich Spam-Mails bekommst, dann lässt das einen irgendwann kalt. Die Inhalte lese ich trotzdem, da sie mitunter ganz unterhaltsam sind. Da ist schon mal die Rede von einem geschenkten Smartphone, einem Millionengönner oder aber einer super günstigen Krankenversicherung.
Neugierig bin ich nur insofern, dass ich wissen will, was hinter den Links steckt. Doch hierzu bedarf es einer sicheren Testumgebung – ansonsten geht’s schief!
Das steckt hinter der iPhone 7 Spam-Mail
Im Falle der anrüchigen iPhone 7 Spam-Mail fand ich heraus, dass die in der Mail verlinkte Webseite laut Virustotal scheinbar virenfrei ist, dafür aber eine satte Lüge verkauft. Die Anmeldung ist kostenlos und soll durch Sicherheitssymbole von VeriSign, TRUSTe und McAfee Secure Sicherheit vorgaukeln. Dabei läuft die Webseite nicht mal über HTTPS. Wahrscheinlich werden bei Registrierung die eingeben Daten abgegriffen – Vorname, Nachname, Mail-Adresse, Passwort und Handynummer. Geld gibt’s nach der Anmeldung keins, das darfst du selbst einzahlen und siehst es dann wohl nie wieder.