Coronavirus - Phishing - Home Office
COVID-19 – Vorbereitung auf Phishing E-Mails im Home-Office
Phishing Versuche auf Heimarbeiter wird steigen
Von Morgan Wright, Chief Security Advisor bei SentinelOne
Erdbeben, Überschwemmungen, Tsunamis, Waldbrände, Erdrutsche, Hurrikane, Tornados SARS, H1N1 (Schweinegrippe), MERS, Ebola, HIV sowie Zika und nun COVID-19, in den Medien auch als Coronavirus bekannt. Naturkatastrophen und Epidemien haben vieles gemeinsam, auch den tragischen Verlust von Menschenleben. Aber es gibt sogar noch eine dunklere und unheimlichere Verbindung – bösartige Akteure nutzen die Tragödie, um Malware zu verbreiten, Phishing- und Speerphishing-Kampagnen zu starten. Die Weltgesundheitsorganisation (WHO) hat weiterhin vor der fälschlichen Verwendung des Coronavirus-Notfalls gewarnt. Dennoch wird der Begriff in Betreffzeilen von unzähligen Phishing-E-Mails verwendet, die Malware enthalten.
Die Verwendung von Angst zur Unterstützung und Förderung von Betrug
Die Kriminellen beschränken sich nicht auf Malware. Die US Food and Drug Administration warnt die Verbraucher vor betrügerischen Produkten, die „behaupten, die Coronavirus-Krankheit 2019 (COVID-19) zu verhindern, zu behandeln, zu lindern, zu diagnostizieren oder zu heilen“. Im Dezember 2019 veröffentlichte SentinelLabs einen bahnbrechenden Bericht über die Beziehung zwischen der Cyberkriminalitätsgruppe TrickBot und Nordkorea, einem anerkannten Advanced Persistent Threat (APT)-Akteur. Der Einsatz von TrickBots Fähigkeiten wird noch verstärkt, wenn die Psychologie gegen E-Mail-Empfänger eingesetzt wird. Kürzlich hat SentinelLabs eine bösartige Kampagne identifiziert, die eine Coronavirus-Benachrichtigung der kanadischen Behörden zur Verbreitung von Malware verwendet, die sich an Finanzinstitute richtet.
Die Johns Hopkins University und das Center for Systems, Science, and Engineering haben eine Karte entwickelt, um die wichtigsten betroffenen Länder aufzuzeigen, darunter sind China, Italien, Iran, Südkorea, Spanien, Frankreich, Deutschland, die USA und Japan. Das bedeutet, dass jedes Land zum Kontext für Phishing-E-Mails wird, die auf eine große Anzahl von Benutzern abzielen. Der Kontext ist äußerst wichtig, wenn eine E-Mail erstellt wird, die einen bösartigen Workload verschicken soll. Die menschliche Natur hat schon immer mehr eher auf die Angst vor Verlust als auf die Hoffnung auf Gewinn reagiert. Welche Betreffzeile einer E-Mail würde zum Beispiel im Zusammenhang mit COVID-19 eine höhere Wahrscheinlichkeit für eine Antwort erzeugen:
„Wie man die Verbreitung des Coronavirus in drei einfachen Schritten verhindern kann“, oder „DRINGEND: Sie waren mit einem verifizierten Coronavirus-Patienten in Kontakt“? Die erste Betreffzeile erzeugt keine Verlustangst, sondern nur die Möglichkeit, mehr Informationen über die Eindämmung der Ausbreitung des Coronavirus zu erhalten. Die zweite Betreffzeile greift den Kern der Sache an – die Angst vor dem Tod. Ein verwandtes Verhalten beeinflusst den Glauben an die Knappheit eines Wertgegenstandes. Bei COVID-19 könnte es die Verfügbarkeit von Testkits sein: „Verpassen Sie nicht Ihre Chance, diese schwer zu findenden Coronavirus-Testkits zu erhalten.“
Der letzte E-Mail-Betreff kombiniert sowohl die Angst vor Verlust als auch vor Knappheit. Tausende von Jahren der menschlichen Evolution haben uns verlustfeindlich gemacht. Dieselbe Entwicklung hat unser Gehirn dahingehend manipuliert, dass wir alles tun, um am Leben zu bleiben. Alles darüber hinaus ist ein Bonus. Es ist irrelevant, dass die Bürger diese Testkits nicht kaufen können und dass nur die Regierung sie hat. Die Angst vor Verlust, das Gefühl der Dringlichkeit und die Menge der Medien, die sich mit COVID-19 beschäftigen, schaffen Bedingungen, die unseren gesunden Menschenverstand überfordern und uns zwingen, auf der Grundlage von Urängsten zu handeln. Der Tod ist die ultimative Trumpfkarte.
Ausnutzung menschlicher Schwachstellen
Social Engineering basiert auf der Prämisse, dass ein Mensch den anderen dazu bringen kann, Maßnahmen zu ergreifen, von denen er glaubt, dass er ein netter Mensch ist, aber in Wirklichkeit bösartig ist. Dafür setzt er sämtliche Mittel der Manipulation und Täuschung ein. Nationalstaatliche Akteure verlassen sich seit langem auf Social Engineering, um gezielte Ziele für Spionage, Systemkompromittierungen, Einfluss auf Wahlen und Manipulation in den sozialen Medien zu erreichen. Business Email Compromise (BEC) ist darauf angewiesen, den Empfänger einer E-Mail davon zu überzeugen, dass der Absender eine Person mit Autorität ist und dass eine bestimmte Aktion (wie die Überweisung von Hunderttausenden von Euro) zwingend durchgeführt werden sollte. Die von Regierungen und Cyberkriminellen angewandte Taktik Nummer eins ist nicht die Ausnutzung einer Schwachstelle. Es ist die Ausnutzung menschlicher Schwäche. Niemand ist immun gegen Social Engineering.
Die Psychologie der Angst, der Unsicherheit und des Zweifels ist eine mächtige Waffe. Jemanden dazu zu bringen, auf einen Link in einer E-Mail zu klicken, ist nicht schwierig. Mitarbeiter klicken auf einen verdächtigen Link oder öffnen ein mit Malware versuchtes Dokument aus einem Grund: Um die Antwort herauszufinden und die manifestierte Angst vor der Unsicherheit und des Zweifels zu lindern. Es geht darum, dass unabhängig davon, wie viel Sicherheitsschulungen durchgeführt, wie viele Poster zur Cyberhygiene in Büros geklebt oder wie viele wöchentliche Erinnerungen in einer E-Mail versendet werden, am Ende Hunderttausende von Jahren menschlichen Verhaltens sich nicht verändern werden. Das bedeutet, dass die Angst vor Verlust (Tod) und Selbsterhaltung (Abbau von Angst/Stress) den gesunden Menschenverstand übertrumpfen werden.
Ausblick: Angst funktioniert nicht bei Maschinen
Es gibt jedoch einen Silberstreif am Horizont. Der Einsatz von künstlicher Intelligenz und maschinellem Lernen hat das Kräfteverhältnis von den Angreifern zu den Angegriffenen verschoben. Anstatt auf Angriffe zu reagieren und sich von ihnen zu erholen, hat die KI/ML die Geschwindigkeit und Präzision der Erkennung und Prävention erhöht. Die Verhaltensweisen, die sich über Tausende von Jahrhunderten in unsere DNA eingeprägt haben, können durch die bewusste Anwendung von Technologie ausgeglichen werden. Anstatt von einem Anwender zu verlangen, dass er feststellen muss, ob etwas „sicher“ ist, ist es einfacher, es überhaupt zu verhindern. Es ist leichter, einen Lösegeldangriff zu verhindern, als sich von einem solchen zu erholen. Künstliche Intelligenz gibt der Angst nicht nach. Sie hat keine menschlichen Emotionen, die manipuliert werden können und sie kann sich nicht mit dem Coronavirus infizieren. Dies könnte das perfekte Gegenmittel gegen Angst, Unsicherheit und Zweifel sein.