Betrug und Diebstahl sind so alt wie die Menschheit selbst. Früher waren die Betrüger*innen auf der Straße unterwegs und haben zum Beispiel beim Hütchenspiel ihren Opfern Münzen und Scheine aus den Taschen gezogen oder Geld für in Wirklichkeit nichtexistierende Waisenkinder „gesammelt“. Heute sind die Täter*innen auch verstärkt im Internet aktiv und versuchen, uns Nutzer*innen mit Spam- und Phishing-Mails in die Falle zu locken. Pro Tag haben wir es mit einer Vielzahl von elektronischen Nachrichten in unseren Postfächern zu tun. Prognosen der Radicati Group besagen, dass in diesem Jahr weltweit insgesamt 333,2 Milliarden Mails verschickt werden. Schätzungen zufolge machen dabei Spam-Mails etwa 40 bis 50 Prozent aus.
Mit Psychologie zum Erfolg
Die Betrüger*innen verschicken per Mail Hilfeaufrufe für Bürgerkriegsflüchtlinge oder versuchen Angestellte in Unternehmen zur schnellen Überweisung eines Betrages an einen neuen Geschäftskontakt zu bewegen. Häufig senden die Täter*innen auch Mails mit Dateianhängen, die mit Malware verseucht sind oder Links zu Schadcode-Webseiten enthalten – verbunden mit der Aufforderung, die Datei zu öffnen oder auf den Link zu klicken. Diese und weitere Vorgehensweisen sind sehr erfolgreich. Warum aber funktioniert das so gut? Warum sind die Angreifer damit so erfolgreich?
Die Antwort lautet: Die Täter*innen nutzen spezielle Trigger, um an ihr Ziel zu gelangen. In der Psychologie sind Trigger Auslöser für eine Empfindung, einen Affekt oder eine Handlung. Ein bestimmter Geruch kann uns beispielsweise für kurze Zeit in unsere Kindheit zurückversetzen, weil er uns an die unübertroffenen Kochkünste der Großmutter erinnert.
Trigger lösen verschiedene Denk- und Handlungsmuster aus, die wir Menschen im Laufe der Zeit gelernt haben. Automatisch öffnen wir eine erhaltene E-Mail, um sie zu lesen. Diesen Mechanismus machen sich die Angreifer*innen zu nutze. Sie zielen bei ihren Angriffen auf Empfindungen und Gedanken ab. Sie appellieren zum Beispiel mit emotionalen Texten an unsere Hilfsbereitschaft für angebliche Menschen in Not, die dringend Unterstützung benötigen würden. Um zu helfen, müsse nur ein Anhang geöffnet oder etwas anderes gemacht werden.
Die Onlinebetrüger*innen setzen auf die Trigger Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Oft werden diese Trigger auch miteinander kombiniert, um den Effekt zu verstärken.
Der englische Historiker Thomas Fuller (1608-1661) hat es so formuliert – „Geld: Der beste Köder, um nach Menschen zu fischen.“ Viele Mails von Onlinebetrüger*innen setzen darauf. Wir Menschen möchten Geld haben und viele wollen auch gerne reich werden. Wie praktisch ist es da, wenn eine Mail im Postfach landet, in der es um ein hohes Erbe im Millionenbereich geht. Für dieses gebe es keinen Erben und daher werde jetzt eine*r gesucht. Der oder die Absender*in gibt sich oft als Anwält*in, Regierungsmitarbeiter*in oder Bankangestellte*r aus. Scheint auf den ersten Blick seriös zu sein, aber warum sollte jemand Mails an unbekannte Personen verschicken, um ein Erbe zu verteilen?
Geben wir unserer Gier bei diesem Beispiel nach, bekommen wir leider keinen Millionenbetrag ausgezahlt, sondern werden in illegale Geldwäschegeschäfte hineingezogen, weil wir unsere Kontoverbindung angeben. Das Bankkonto wird für den Transfer von kriminell „erwirtschafteten“ Geldern genutzt. Andere Alternative: Es fallen angeblich Gebühren für die Auszahlung der Erbschaft an und wenn diese gezahlt werden, ist der Betrag weg, im Gegenzug wird aber kein Erbe ausgezahlt.
Häufig wird Gier in Kombination mit Druck genutzt, um die Wirkung zu verstärken. Künstliche Verknappung ist ein probates Mittel. Blicken wir zurück auf das Beispiel des angebotenen angeblichen Erbes: Hier könnten die Betrüger*innen zusätzlichen Druck aufbauen, indem sie behaupten, dass innerhalb kürzester Zeit eine Antwort erfolgen müsse, um das Vermögen zu erhalten. Druck wird übrigens auch gerne beim Online- oder Teleshopping erzeugt, wenn Angebote nur wenige Stunden gelten oder nur eine sehr begrenzte Anzahl des Artikels verfügbar ist.
In einigen Mailings setzen die Kriminellen darauf, Menschen in Panik zu versetzen. Bei Mailkampagnen in der Vergangenheit gaben sich die Betrüger*innen als Ermittler von Europol, des BKAs oder LKAs aus. Es läge eine dringende Vorladung aufgrund einer Straftat im Internet oder im kinderpornografischen Bereich. Reagiere der oder die Angeschriebene nicht, würden Familienmitglieder informiert werden – so die Drohung.
Onlinebetrüger*innen spielen gerne mit Ängsten von Menschen. In Kombination mit Angst erzeugen sie zeitlichen, sozialen oder emotionalen Druck. Drohen Angreifer*innen in einer E-Mail zum Beispiel damit, persönliche Informationen zu veröffentlichen, wenn nicht sofort die Zahlung eines bestimmten Geldbetrages erfolgt, haben die Opfer Angst, dass genau das passiert. Furcht kann aber auch entstehen, wenn man eine Gelegenheit nicht verpassen möchte – zum Beispiel das zeitliche begrenzte und supergünstige Angebot für einen schon lange gewünschten Artikel.
Angst ist auch bei Mails im Spiel, in denen die Rede von einem gehackten Bankkonto oder Nutzeraccount eines Onlineversandhauses oder Zahlungsdienstleister ist. Das Passwort müsse umgehend geändert werden. Weil niemand einen finanziellen Schaden erleiden möchte, klicken Opfer auf den angegebenen Link, um das Problem zu lösen. Sie geben dadurch ungewollt ihre Zugangsdaten und vielleicht auch weitere persönliche Informationen preis.
Menschen sind neugierig. Was gibt es heute zum Essen oder was sind aktuelle Schnäppchen bei Onlineversandhäusern? Wir lassen uns gerne und schnell locken, um unsere Neugier zu befriedigen. Dieser Umstand macht diesen Trigger besonders gefährlich. Viele Nutzer*innen wissen nicht, dass sie durch ein bloßes Anschauen schon in der Falle der Betrüger*innen sitzen könnten. Die Angreifer*innen setzen dabei auf mitreißende Mailingbetreffs bei ihren Nachrichten, zum Beispiel „So was Schockierendes haben Sie noch nie gesehen“ oder „Diese Diät lässt die Pfunde purzeln“. Diese Überschriften machen neugierig. Vergleichbar ist das mit sogenannten Clickbait-Angeboten. Dabei werden Waren besonders reißerisch betitelt und beschrieben, damit sie unsere Neugier wecken. Die Mailings enthalten Dateianhänge oder Links zu Webseiten.
Natürlich wollen wir die Angebote oder die angepriesenen Bilder sehen, wenn wir die Mail schon einmal öffnen. Dummerweise führt das Klicken auf die angehängte Datei oder auf den Links zu einer umgehenden, unbemerkten Infektion des Gerätes mit Schadcode. Bilder gibt es in Wirklichkeit natürlich auch nicht zu sehen, das Versprechen diente als Lockmittel.
An einem Freitag um 16 Uhr sitzt Herr Müller noch im Büro, um die letzten Aufgaben vor dem Wochenende zu erledigen, seine Kolleg*innen sind schon im Feierabend. Da trudelt eine Mail mit der Bitte des Geschäftsführers ein, ganz dringend noch 25.000 Euro an einen Geschäftskontakt zu überweisen, damit ein Deal zustande kommt. Schnell erledigt Herr Müller diese Überweisung noch, weil er sehr pflichtbewusst ist und alles erledigen möchte. In Wirklichkeit stammte die Nachricht nicht vom Geschäftsführer, sondern von Betrüger*innen. Hier handelt sich um einen sogenannten CEO Fraud – einer Betrugsmasche, bei der Mitarbeiter*innen in Unternehmen mit Hilfe falscher Identitäten zur Überweisung von Geldbeträgen bewegt werden sollen.
Kriminelle nutzen das Pflichtbewusstsein gerade von Mitarbeitenden in Unternehmen aus und verschicken gezielt Mails zu verschiedenen Uhrzeiten, zum Beispiel kurz vor dem Feierabend. So steigt die Erfolgswahrscheinlichkeit für die Angreifer*innen. Hier kommt außerdem noch ein weiterer Faktor ins Spiel: Die Nachricht kam vermeintlich vom Geschäftsführer, also einer Person, die in der Hierarchie deutlich über der des Buchhalters steht. Hilferufe von angeblichen Kolleg*innen sprechen das Pflichtbewusstsein und auch die Hilfsbereitschaft an.
Wir Menschen sind soziale Wesen und dazu gehört auch, anderen zu helfen. Nach der Flutkatastrophe an der Ahr im vergangenen Sommer, haben viele für den Wiederaufbau gespendet. Genauso groß ist die Hilfsbereitschaft bei Kriegsflüchtlingen aus der Ukraine. Dies nutzen Kriminelle aus, drücken bei Mailempfängern auf die Tränendrüse und setzen auf fingierte Spendenaufrufe.
Diesen Trigger nutzen Kriminelle auch in einer anderen Art: Angreifer*innen verschaffen sich zum Beispiel Zugriff auf ein Kundenkonto bei einem großen Online-Versandhaus und setzen danach auf die Hilfsbereitschaft des Kundensupports. Die Mitarbeitenden sind sehr hilfsbereit und antworten auf gezielte Fragen der Täter*innen im Chat und nennen weitere persönliche Daten, zum Beispiel eine Kreditkartennummer. Im ersten Schritt hatten die Angreifer das Konto mit einem Namen oder einer Mailadresse verifiziert. Sie können nach der Übernahme des Benutzerkontos auf Kosten ihres Opfers Bestellungen aufgeben und die Daten für weitere kriminelle Zwecke missbrauchen. Die Betrüger*innen haben hier gezielt die Hilfsbereitschaft des Kundensupports ausgenutzt.
Für uns gehören Gewohnheiten mit zum Leben, zum Beispiel das Nutzen der immer gleichen Kaffeetasse im Büro oder der Einkauf in bestimmten Geschäften. Wir sind es auch gewohnt, Mails mit Anhängen und Links zu erhalten – daran ist per se erst einmal nichts auszusetzen. Oft kopieren Kriminelle aber das Layout von legitimen Mails bekannter Absender, wie Onlineversandhäuser oder Banken. Menschen sind es gewohnt, Nachrichten in diesen Formaten zu bekommen und öffnen die Mail der Kriminellen. Sie klicken auch auf angehängte Dateien, in denen sich in Wirklichkeit ein Schadprogramm befindet oder öffnen Webseitenlinks, die in die Schadcodefalle führen oder zu einer Seite, auf der persönliche Informationen abgefragt werden.
Phisher profitieren stark davon, wenn wir Menschen spontane Entscheidungen aus dem Bauch heraus treffen, ohne lange darüber nachzudenken. Schnell übersehen wir so die Anzeichen einer Phishingmail und öffnen zum Beispiel, wie wir es gewohnt sind, den Dateianhang an der Nachricht.
Menschliches Verhalten unterscheidet der israelisch-US-amerikanischer Psychologe Daniel Kahneman in zwei Systeme: Das erste basiert auf schnellen Entscheidungen „aus dem Bauch heraus“ ohne große Überlegungen. Beim zweiten System überlegen Menschen zunächst genau, hinterfragen und analysieren. Auf dieser Basis folgt die Entscheidung über ein Ja oder Nein, beziehungsweise die Vorgehensweise. Cyberbetrüger*innen und Kriminelle im Allgemeinen zielen bei ihren Opfern auf das erste System ab. Denken wir länger über eine erhaltene Mail nach, könnte uns auffallen, dass sie gefährlich und unseriös ist.
Wer die Tricks kennt, weiß sich zu schützen
Cyberkriminelle agieren sehr geschickt, indem sie auf Trigger setzen, um erfolgreich zu sein. Wir Anwender*innen können uns trotzdem dagegen schützen. Allerdings können wir uns nicht auf eine Sicherheitslösung und in Unternehmen auf eine Security-Infrastruktur alleine verlassen. Dies ist nur die Basis – wir müssen selbst unseren Beitrag zur Cybersicherheit leisten, wachsam sein, genau hinschauen und keine überstürzten Entscheidungen treffen. Viele Betrugsversuche sind durch einen genauen Blick schnell entlarvt. Ein gesundes Maß Misstrauen hilft hierbei.
Um das Wissen rund um IT-Sicherheit und Onlinegefahren aufzubauen und weiter zu vertiefen, lohnt sich in Unternehmen der Einsatz von speziellen Schulungen, zum Beispiel G DATA Security Awareness Trainings. Mitarbeitende werden so ein Teil der Cyberabwehr und profitieren auch im Privatleben von dem Wissen.
