Die Psychologie der Malware: Menschliche Schwächen gezielt ausnutzen

Psychologie ist zweifellos untrennbar mit dem Thema Computing verbunden, ob es nun um das Design künstlicher Intelligenz geht oder darum, die Interaktion zwischen Mensch und Computer besser zu verstehen. Ein Faktor, der die Entscheidungen der Entwickler beeinflusst und der im besten Falle zusätzlich dazu beiträgt, die User Experience zu verbessern. Leider sind sich auch Malware-Entwickler durchaus der praktischen Vorteile dessen bewusst, wenn man die Erkenntnisse einer Wissenschaft für eine andere benutzt.

 

Bits und das menschliche Gehirn: Eine Liebesgeschichte

Beim Computing geht es um Interaktionen zwischen Computern und Menschen. Psychologie macht diese menschlichen Interaktionen messbar und hilft uns, Computing zu verstehen und mit seiner Hilfe, unsere Umwelt zu gestalten. Wie etwa beeinflusst Psychologie die Gestaltung von Lernstrategien im Rahmen künstlicher Intelligenz? Umgekehrt lernen wir anhand der Reaktionen des menschlichen Verstandes auf Reize, wie man KI-Modellierungen daran anpassen kann. Ein aktuelles Beispiel ist die neuronale Verarbeitung, die auf unserem Verständnis der physischen Eigenschaften des Gehirns und seiner Reiz-Reaktions-Schemata basiert.

 

Malware-Designer und Psychologie

Manipulation ist eine uralte Kunst. Aber psychologische Studien enthüllen ständig neue Aspekte wie man Menschen zu bestimmten Verhaltensweisen bewegen kann. Malware-Designer sind nur zu gerne bereit, diese Techniken für sich einzusetzen. Einige Beispiele sind

  • eine Ransomware, die sich als Antiviren-Lösung tarnt,
  • sich der Sprache legitimer Apps zu bedienen und
  • Warnhinweise, die mit hoher Dringlichkeit zu schnellem Handeln auffordern.

Ähnlich verhält es sich, wenn ein Bad Actor versucht, Informationen zu erhalten, um sie einem zweiten Bad Actor zu übergeben. Zum Beispiel informiert ein Popup-Fenster den betreffenden Nutzer über ein bestehendes Risiko. Wenn dieser dann das betreffende Programm aufruft, wird eine Malware aktiviert.

 

Aufkommende Malware-Vektoren

Jeder durchschnittliche Technologieanwender nutzt bei seinen alltäglichen Aktivitäten mittlerweile Zwei-Faktor-Authentifizierung und Social-Media-Kommunikation. Hier sehen Malware-Designer neue Möglichkeiten. Vertrautheit birgt auch Risiken.

  1. Zwei-Faktor-ID
    Sobald sicherheitsorientierte Prozesse wie die Zwei-Faktor-ID zur Gewohnheit werden, sind sie für Malware-Designer ausreichend vorbereitet, um sie für ihre Zwecke auszunutzen. Jede Benutzererfahrung, die eine automatische Reaktion auslöst, birgt dieses Risiko, wie z. B. Popups mit Cookie-Benachrichtigungen.
  2. Soziale Medien
    Soziale Medien animieren zu schnellen Reaktionen und schaffen ein Umfeld, in dem wir den Menschen um uns herum tendenziell mehr vertrauen. Hier kommunizieren wir mit Freunden und Familie, sodass Interaktionen in einem Kontext von Nähe stattfinden. Malware-Anbieter profitieren von dieser Art vertrauensbasierter Verknüpfungen und nutzen emotionale Befindlichkeiten wie Stress, Angst und Unruhe für sich aus. Solche Gemengelagen verleiten zu vorschnellen Antworten und man ist eher geneigt Dinge preiszugeben als sonst.
  3. Verkaufs- und Marketingtechniken
    Malware-Designer haben inzwischen gelernt, sich geeignete Tricks aus den Playbooks der Verkäufer und Marketer abzuschauen. Verkaufs- und Marketingtechniken nutzen schon lange die Erkenntnisse der Psychologie etwa für Verkaufsmethoden, bei denen ein Zeitlimit gesetzt wird, das zum Handeln motivieren soll.

 

Vorausschauendes Nutzerverhalten

Wie kann man dann umgekehrt dafür sorgen, dass Nutzer besser gegen diese Tricks gewappnet sind? Es ist wichtig, dass Benutzer die Risiken kennen, verstehen und automatisch vermeiden. Unternehmen sollten Schulungen über die häufigsten Arten von Angriffen fördern.

Psychologie hilft auch hier, Schulungsprogramme zu Anti-Malware erfolgreicher zu machen:

  • Gestalten Sie die Informationen einfach und leicht verdaulich, nutzen Sie Sprache und Grafiken entsprechend
  • Erstellen Sie ansprechende und interaktive Schulungsprogramme
  • Bieten Sie Tests an, um das Gelernte zu vertiefen. Dabei sollte man die Dinge nutzen, von denen wir wissen, dass sie in der pädagogischen Psychologie funktionieren. Beispielsweise um das Erinnerungsvermögen zu verbessern und das Verständnis des Kernkonzepts zu vertiefen.

Nicht alle Lernhilfen und Tricks funktionieren bei allen Menschen gleich gut. Keine Anti-Malware-Schulungskampagne ist zu 100 Prozent effektiv. Bei einigen Menschen sind andere Lernmethoden vielleicht effektiver. Deshalb ist es wichtig, zu messen, welche Methoden erfolgreich waren und welche weniger. Die meisten IT-Schulungsprogramme haben hier Nachholbedarf. Man weiß also nicht, was bei wem gut oder weniger gut funktioniert hat. Man würde kaum immer wieder nach den gleichen Lehrplänen unterrichten, wenn man sicher wüsste, dass sie nur die Hälfte der Schüler erreichen.

 

Prävention, Erkennung, Reaktion

Ein vorausschauendes Nutzerverhalten kann dazu beitragen, dass Cyberkriminelle mit ihren Techniken deutlich weniger erfolgreich sind. Das kann allerdings nicht die primäre Verteidigung gegen solche Tricks sein, die selbst bei den sicherheitsbewusstesten Opfern weiterhin funktionieren. Obwohl es kaum möglich ist, menschliche Fehler vollständig zu eliminieren, sind die drei Säulen Prävention, Erkennung und Reaktion immer noch die beste Option, um die mit menschlichen Fehlern verbundenen Risiken anzugehen. Die Einführung eines Frameworks wie die »CIS Controls des Center for Internet Security« stützt diese Säulen. Ebenso wie Sicherheitstools, die Empfehlungen zur Fehlerbehebung geben, wenn ein Problem identifiziert wurde. Stellen Sie vor allem sicher, dass im Laufe der Zeit ein Programm implementiert wird, dass Sicherheit kontinuierlich verbessert.

Frank Augenstein, Senior Sales Engineer D/ACH bei Tripwire

 

455 Artikel zu „Malware Tipps“

»Change Your Password«: Tipps für starke Passwörter

Anlässlich des »Change Your Password Days« am Samstag, dem 1. Februar, erinnerte das Hasso-Plattner-Institut (HPI) an die wichtigsten Regeln zur Erstellung starker Passwörter. »Schwache Zahlenreihen wie etwa »123456« werden weltweit weiterhin viel zu häufig genutzt«, kritisiert HPI-Direktor, Professor Christoph Meinel. »Viele Internetnutzer verwalten bereits mehr als hundert Online-Konten – da fällt die Wahl viel zu…

Mobile Malware: Vom Konsumentenschreck zur veritablen Unternehmensbedrohung

Laut Verizon Mobile Security Index für 2019 räumen 33 Prozent der befragten Unternehmen ein, dass sie bereits von einer Datenschutzverletzung betroffen waren, bei der ein mobiles Endgerät beteiligt war. Das ist ein Anstieg um 27 % gegenüber 2018. Die Ergebnisse machen deutlich, dass es ganz offensichtlich an der Zeit ist, Mobilgeräte besser zu sichern. Allerdings…

Systemsicherheit: 3 Phasen der Malware-Abwehr

Die Welt der Malware ist ein weites Feld und es erweitert sich stetig. Ransomware ist in der Regel eine der am häufigsten diskutierten Formen von Malware. Nicht zuletzt, weil es sich um eine Art von Malware handelt, die sich selbst bemerkbar macht. Die meisten anderen Schadprogramme setzen sehr viel Aufwand dahinter, ihre Erkennung aktiv zu…

Tipps für sicheres Online-Shopping (nicht nur) in der Weihnachtszeit

Geschenke für Freunde und Familie, Dekorationen für zu Hause: In der Vorweihnachtszeit kaufen viele Menschen online ein. Aber auch Cyberkriminelle greifen jetzt verstärkt in die Trickkiste – zum Beispiel mit Phishing, gefälschten Webshops, Kreditkarten-Betrug oder mittels Apps mit einer Schadsoftware im Gepäck. Die Angreifer setzen häufig darauf, dass betrügerische Transaktionen auf der Kreditkartenabrechnung leicht übersehen…

13 Tipps rund um den Cyber Monday – sicheres Schnäppchenjagen und Daten schützen

Der vorweihnachtliche Shopping-Orkan tobt … Black Friday, Cyber Monday, Black Friday Week und viele ähnliche Kampagnen sollen die Schnäppchenjäger auf Touren bringen. Dabei erfolgen Jahr für Jahr immer mehr Einkäufe online, mit den entsprechenden Folgen für Daten- und IT- Sicherheit. Experten von Palo Alto Networks geben daher 13 Tipps, worauf man für einen sicheren und…

Mobile Malware und APT-Spionage in ungeahnten Dimensionen

Aktuelle Studie analysiert mobile Malware in plattformübergreifenden Überwachungs- und Spionagekampagnen durch organisierte APT-Angreifer, die im Interesse der Regierungen Chinas, Irans, Nordkoreas und Vietnams tätig sind . BlackBerry Limited veröffentlicht eine neue Studie mit dem Titel »Mobile Malware und APT-Spionage: erfolgreich, tiefgreifend und plattformübergreifend« [1]. Darin wird aufgezeigt, inwiefern organisierte Gruppen mittels mobiler Schadsoftware in Kombination mit…

Drei Tipps zum Schutz vor Insider-Bedrohungen

  Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten Jahren konstant geblieben: die stetig wachsende Zahl von Insider-Bedrohungen. Die jüngste Cybersicherheitsstudie von SolarWinds hat ergeben, dass interne Benutzerfehler in den letzten 12 Monaten mit 80 Prozent den weitaus größten prozentualen Anteil an Vorfällen im Zusammenhang mit der Cybersicherheit ausgemacht haben [1]. Während…

Advanced Malware: Fünf Best Practices zum Schutz gegen Spionage und Datendiebstahl

Cyberkriminelle nutzen Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten. Ziel ist in der Regel Spionage und Datendiebstahl. Opfer sind diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden.   Advanced Malware, auch als Advanced Persistent Threats (APT) bezeichnet, sind Malware-Stämme, die mit…

Fünf Tipps für sichere Cloud-Nutzung

Ab in die Cloud? Aber sicher! Die Cloud-Technologie hat in den vergangenen Jahren nicht nur den IT-Markt, sondern auch die Geschäfts- und Arbeitswelt stark verändert. Im Zuge der Digitalisierung und Vernetzung von Geschäftsprozessen hat die Datensicherheit außerdem eine neue Bedeutung erlangt. Diese Relevanz hat auch der Gesetzgeber erkannt und ergänzend zu bestehenden branchenspezifischen Vorgaben mit…

Vier Best Practices zum Schutz vor modularer Malware: Bösartige Multitalente

Modulare Malware bietet Cyberkriminellen eine Architektur, die robuster, flexibler und gefährlicher ist als klassische dokumentenbasierte oder webbasierte Malware. Denn die Schadware beinhaltet verschiedene Nutzlasten und Funktionen und kann diese selektiv starten, je nach Ziel und Funktion des Angriffs. Die Vorgehensweise der Cyberkriminellen Mit dem Aufkommen von Botnetzen, die Befehle von Cyberkriminellen ausführen, und Malware, die…

Marktanteile: Anti-Malware-Markt ohne klare Nummer 1

Der Anti-Malware-Markt hat keine klare Nummer 1. Das geht aus Daten des Unternehmens OPSWAT hervor, die sich auf englischsprachige Programm-Versionen für Windows beziehen [1]. Demnach liegen die Anbieter McAfee, AVAST Software und ESET mit Marktanteilen zwischen 11,5 und 13,1 Prozent fast gleichauf an der Spitze. Dahinter hält Bitdefender (9,7 Prozent) Anschluss an die Spitze. Kaspersky…

3 Tipps zum Welt-Passwort-Tag

Wie jedes Jahr soll der Welt-Passwort-Tag Verbraucher und Unternehmen über das Thema »Passwort-Sicherheit« aufklären. (Nicht nur) Am 02. Mai heißt es also: wie schütze ich meine Passwörter? Passwort-Schutz ist eines der wichtigsten Themen, wenn es um die Sicherheit der eigenen Daten im Netz geht. Dennoch vernachlässigen es viele, die eigenen Passwörter angemessen zu pflegen und…

Auswahl von Cloud-Anbietern und DSGVO: Fünf Tipps für klare Sicht in der Cloud

Die Nutzung von Cloudservices ist für viele Unternehmen eine betriebliche Notwendigkeit geworden. Werden personenbezogene Daten in die Cloud ausgelagert, gelten bei der Auswahl eines Cloudanbieters jedoch besondere Vorgaben durch die DSGVO. Um die Compliance-Vorgaben bestmöglich zu erfüllen, sollten Unternehmen einige wesentliche Punkte beachten. Für Cloudservices gilt das Modell der Shared Responsibility, das heißt, dass sowohl…

Die Sicherheit muss zuerst kommen: Die wichtigsten Tipps für App-Entwickler

Unternehmen für App-Entwicklung, die sich einen Namen machen wollen, kommen nicht ohne ausführliche Recherche und Marktsondierung aus. Egal ob es darum geht, Business-Lösungen zu entwickeln oder Apps für alle möglichen privaten Anwendungsbereiche. Unabhängig vom Projekt sollte man eine Sache zuerst angehen nämlich Cybersicherheit. Es liegt schließlich auch im Interesse des Entwicklers App auf den Markt…

5 Tipps um sicher durch den Cloud-Dschungel zu kommen

As-a-Service-Lösungen verbreiten sich immer weiter. Dabei haben wir es längst nicht mehr mit einer einzigen Cloud zu tun. 82 Prozent der Unternehmen nutzen mehr als zehn verschiedene Public-Cloud-Dienste, so eine aktuelle Studie von McAfee. Dazu kommen noch Private Clouds und On-Premises-Systeme. Traditionelle Sicherheitssysteme stoßen im Angesicht dieser neuen komplexen Architekturen schnell an ihre Grenzen und…

Fünf Tipps für sicheres Onlineshopping in der Weihnachtszeit

Die Weihnachtszeit steht vor der Tür und viele Menschen kaufen ihre Geschenke mittlerweile online ein: Eine Studie des Digitalverbands Bitkom ergab, dass im Jahr 2017 insgesamt 96 Prozent aller Internetnutzer ab 14 Jahren online eingekauft haben. Dieses Potenzial haben jedoch auch Cyberbetrüger erkannt. Für sie sind Onlineeinkäufe eine wahre Goldgrube und dementsprechend nutzen sie alle…

Fünf Tipps zum Tag der Computersicherheit

So schützen Sie sich am besten vor Datendiebstahl und sonstigen cyberkriminellen Aktivitäten. Ein Leben ohne Internet ist heute für die Meisten undenkbar – damit ist aber auch das Thema Sicherheit unumgänglich. Der internationale »Computer Security Day« am 30. November soll Menschen weltweit für das Thema Cyber-Sicherheit sensibilisieren. Handlungsbedarf besteht heute schließlich mehr denn je: Durchschnittlich…