Cyberkriminelle setzen auf menschliches Fehlverhalten

Cyberkriminelle konzentrieren sich heute mehr auf die Ausnutzung menschlichen Verhaltens als auf Systemfehler. Welche Methoden dabei eingesetzt werden, zeigt die Studie "Der Faktor Mensch" von Proofpoint.

Um an Geld, persönliche Daten oder geistiges Eigentum zu gelangen, fokussieren sich Cyberkriminelle immer stärker auf menschliches Fehlverhalten anstatt auf technische Fehler. Dies ist das Ergebnis der Studie „Der Faktor Mensch“ von dem Cybersecurity-Unternehmen Proofpoint, Inc. In der jährlich durchgeführten Untersuchung geht es um die Rolle der Menschen und deren Verhalten bei Cyberattacken sowie um interessante Muster, die sich aus den Angriffen herausarbeiten lassen.

„Seit 2015 sehen wir eine immer schneller werdende Verlagerung der Angriffe, die menschliche Interaktion erfordern, anstatt auf Schwachstellen der Software abzielen“, berichtet Werner Thalmeier, Director Systems Engineering EMEA von Proofpoint. „Auf diese Weise führen die Opfer die Angriffe auf sich selbst aus.“ Entsprechend wichtig sollte es den Organisationen sein, sie so früh wie möglich zu unterbinden, rät Thalmeier. Schließlich gilt: Je früher die Attacke erkannt wird, desto einfacher ist deren Abwehr und desto geringer sind die durch diesen Angriff erzeugten Schäden.

Die Studie „Der Faktor Mensch“ basiert auf der Untersuchung unzähliger Angriffsversuche bei mehr als 5.000 Unternehmenskunden von Proofpoint im Jahr 2016. Im Detail kommt die Studie zu folgenden Ergebnissen.

Business-E-Mail-Compromise-Angriffe steigen

Der Anteil von Business-E-Mail-Compromise-Angriffen (BEC, auch CEO-Betrugsmasche) ist deutlich von einem Prozent im Jahr 2015 auf 42 Prozent im Jahr 2016 gestiegen (gemessen am Aufkommen von Mails mit Banking-Trojanern). BEC-Attacken sind dabei das am schnellsten wachsende Segment der Cyberkriminellen mit einem geschätzten Schaden von rund fünf Milliarden US-Dollar. Dabei senden Cyberkriminelle Mails ohne Malware, um die Empfänger zu täuschen und auf diese Weise die Mitarbeiter dazu zu bringen, Geld zu überweisen oder persönliche Daten zu offenbaren.

Irgendjemand klickt immer, und das schnell

Nahezu 90 Prozent aller Klicks finden innerhalb der ersten 24 Stunden nach Maileingang statt. Ein Viertel davon geschieht bereits in den ersten zehn Minuten, bereits die Hälfte schon nach etwa einer Stunde. Kaum überraschend ist dabei, dass die durchschnittliche Zeit zwischen Ankunft der Mail und dem Klick auf den betrügerischen Link während der Geschäftszeiten zwischen 08:00 Uhr und 15:00 Uhr am kürzesten ist.

Menschliche Interaktion im Fokus

Mehr als 90 Prozent der betrügerischen E-Mails sollten die Anwender dazu verleiten, ihre Anmeldedaten auf manipulierten Phishing-Sites einzugeben. Besonders bemerkenswert: Mittlerweile erfordern nahezu alle Angriffe (99 Prozent), die auf Betrug abzielen, menschliche Interaktion, um Malware zu installieren. Somit nutzen nur wenige die Schwachstellen in der Software aus. Bei den Phishing-Mails waren zwar diejenigen, die auf den Diebstahl der Apple ID abzielten, am häufigsten, aber solche, die nach den Daten für Google Drive fragten, wurden am meisten geklickt.

Einfallstor mobile Geräte

Die Hälfte aller Klicks auf betrügerische URL geschieht von Geräten, die nicht dem Systemmanagement der Unternehmen unterliegen. Rund 42 Prozent finden mittlerweile von einem mobilen Gerät statt. Damit hat sich diese Quote gegenüber dem langjährigen Vergleichswert von 20 Prozent mehr als verdoppelt. Immer noch acht Prozent aller Klicks erfolgen aus potenziell ungeschützten Versionen von Windows, für die es aufgrund des Alters keine Security-Patches mehr gibt.

Pseudo-Support über Social-Media-Account

Betrügerischer Pseudo-Support, um persönliche Daten via Social Media abzugreifen, ist im Jahr 2016 um 150 Prozent gestiegen. Bei dieser Vorgehensweise erstellen Cyberkriminelle einen Social-Media-Account für Support-Anfragen, der von dem eines seriösen Unternehmens kaum zu unterscheiden ist. Sucht ein Anwender nach Hilfe von genau diesem Unternehmen und tweetet beispielsweise seine Anfrage, versuchen diese Betrüger die Anfrage auf ihren Account umzuleiten. Sie fordern dann meist den Hilfesuchenden auf, seine Anmeldedaten einzugeben.

Achtung am Donnerstag

Am Donnerstag steigt das Aufkommen an Mails mit angehängter Schadsoftware um 38 Prozent gegenüber dem durchschnittlichen Aufkommen an Werktagen. Dienstag, Mittwoch und Donnerstag sind besonders beliebt bei den Versendern von Ransomware. Banking-Trojaner erreichen am Mittwoch ihren höchsten Stand. Kampagnen, die den Point-of-Sales angreifen, finden meist am Donnerstag oder Freitag statt. Keylogger und Angriffe via Backdoor bevorzugen den Montag.

Cyberkriminelle berücksichtigen Gewohnheiten der Mailnutzer

Die Angreifer kennen mittlerweile die Gewohnheiten der Mailnutzer und versenden ihre Mailattacken etwa vier bis fünf Stunden nach Beginn des normalen Arbeitstages, die meisten davon zur Mittagszeit. Bei der Reaktion auf diese Mails gibt es weltweit jedoch deutliche Unterschiede: Während in den USA, Kanada und Australien häufig genau in diesen vier bis fünf Stunden auf die Mails reagiert wird, klicken die Franzosen gern mittags gegen 13:00 Uhr. Deutsche und schweizerische Anwender hingegen sind eher ungeduldig und klicken bereits gleich in den ersten Stunden des Arbeitstages. Ganz anders in Großbritannien: Hier verteilt sich das Klicken gleichmäßig auf die Zeit bis etwa 14:00 Uhr, danach wird es deutlich weniger.

Die gesamte Studie „Der Faktor Mensch 2017“ steht auf der Internetseite von Proofpoint zur Verfügung.