Social Engineering: Jeder zweite fällt auf USB-Sticks und Facebook-Nachrichten rein

Würden Sie einen gerade gefundenen USB-Stick anschließen? Würden Sie auf den Link in einer Facebook-Nachricht einer Ihnen unbekannten Person klicken? Laut zwei Studien beantworten dies viele mit nein – tun es aber trotzdem.

Auch wenn sich herumgesprochen haben dürfte, dass es keine gute Idee ist, Dateien von einem gefundenen USB-Stick zu öffnen, macht es jeder zweite trotzdem. Das geht aus einer Studie hervor, die Elie Bursztein, Leiter von Googles Anti-Abuse-Team auf der Security-Konferenz Black Hat USA präsentierte. Aus einer weiteren, ebenfalls auf der Konferenz besprochenen Studie geht hervor, dass ähnlich viele unachtsam auf Links in Mails und Facebook-Nachrichten klicken; selbst dann, wenn sie den Absender nicht kennen. Doch nicht jeder gibt es auch zu.

Sticks machen neugierig

An einer US-Universität machte Bursztein die Probe aufs Exempel: Zusammen mit Kollegen verteilte er gut 300 Sticks überall auf dem Gelände einer US-Universität: auf dem Parkplatz, im Außenbereich, in Hörsälen oder den Fluren. Auf den Sticks fanden sich jeweils diverse HTML-Dateien, die sich per Dateiendung (.jpg.html oder .docx.html) als Bild oder Word-File tarnen wollten. In den HTML-Files war eine eindeutige Kennung, so dass die Forscher sofort sehen konnten, welcher Stick wie schnell nach dem Fund eingesteckt wurde und welche Dateien der Finder geöffnet hat.

Ergebnis: Quasi alle Sticks wurden mitgenommen, 45 Prozent der Finder klickten auf eine der Dateien, 20 Prozent taten dies sofort nach dem Mitnehmen des Sticks. In der anschließenden Befragung sagten fast 70 Prozent der Teilnehmer, dass sie lediglich Informationen auf dem Stick suchten, die den Besitzer identifizieren, so dass sie ihn zurückgeben können.

Selbstverständlich waren die eingesetzten Sticks ungefährlich. Welche folgenschweren Konsequenzen das leichtfertige Anschließen von USB-Sticks haben kann, demonstriert Bursztein in seinem Blog. Er hat einen USB-Stick gebastelt, in dessen Inneren ein Teensy-Board werkelt. Es meldet sich gegenüber dem Rechner als Tastatur und tippt dann zum Beispiel Skripte ein, die eine Backdoor öffnen – vergleichbar mit dem Bad-USB-Angriff.

Party-Fotos bei Facebook

Zu einem ganz ähnlichen Ergebnis kam Dr. Zinaida Benenson von der Friedrich-Alexander Universität Erlangen-Nürnberg. Sie untersuchte das Klickverhalten auf Links, die per Mail oder Facebook-Nachricht verschickt wurden. 56 Prozent aller Empfänger klickten auf den Link, obwohl die Nachrichten im Namen frei erfundener Personen versandt wurden. Um den Inhalt für die nichts ahnenden Studienteilnehmer relevant zu machen, war in der Nachricht jeweils von Party-Fotos die Rede. Diese gäbe es nach Klick auf einen Link zu sehen, der nicht mit Menschen geteilt werden solle, die nicht als Gast auf dem Fest waren. In den per E-Mail versandten Nachrichten wurde jeweils der Vorname des Empfängers als Anrede verwendet, was nach Auskunft von Benenson die hohe Klickrate erklärt. Auf die per Facebook versandten Links klickten immerhin noch 38 Prozent der Teilnehmer.

Interessant ist auch, dass lediglich 20 Prozent zugaben, auf die Links geklickt zu haben – de facto waren es im Schnitt aber 45 Prozent. In einer zweiten Runde ließen die Studienleiter die Anrede in der E-Mail weg – die Klickrate sank auf 20 Prozent, wohingegen sie bei Facebook gleich blieb. Nach den Gründen für den Klick befragt, gaben 34 Prozent Neugier an. 27 Prozent fanden es plausibel, dass ein völlig Unbekannter die Nachricht versandte, da sie ja nicht alle Partygäste kannten. Immerhin 16 Prozent glaubten, den Absender erkannt zu haben – obwohl der Name ebenso erfunden war wie die Inhalte im betreffenden Facebook-Profil. Besorgniserregend ist die Auskunft, die elf Prozent der Klickenden gaben: Sie fühlen sich vermeintlich sicher, da sie eine Antivirensoftware verwenden, mit Mac OS X arbeiten oder per Tor-Browser surfen.

Curiosity killed the cat

Benenson zeigte sich skeptisch, was die Wirksamkeit von Awareness-Trainings für Mitarbeiter angeht: Menschen seien von Natur aus neugierig und daher nur schwer im Zaum zu halten. Sie würden immer Gründe finde, warum sie eine risikobehaftete Aktion wie den Klick auf den Phishing-Link ausführten. Ein Schritt in die richtige Richtung wäre es Benenson zufolge, wenn legitime E-Mails von Unternehmen nicht aussehen würden wie Spam- oder Phishing-Nachrichten. (rei)