Menschen anstelle von Systemen ins Visier zu nehmen, ist die schnellste und erfolgversprechendste Methode des Hackings. COVID-19 bietet Hackern neue Möglichkeiten, ihre Opfer hinters Licht zu führen. Die konkrete Analyse einer Phishing-Mail mit Corona-Bezug und die dahinter liegende Psychologie sollen sensibilisieren und verhindern, selbst Opfer eines solchen Angriffs zu werden.
Der Dunning-Kruger-Effekt bezeichnet eine kognitive Voreingenommenheit, bei der Menschen ihr Wissen oder ihre Fähigkeiten in einem bestimmten Bereich überschätzen. Im Falle der Netzwerksicherheit überschätzen Menschen ihre Fähigkeit, riskantes Online-Verhalten abzuschätzen. Es gibt eine ganze Generation von Erwachsenen in der Arbeitswelt, die noch nie ein Leben ohne Internet erlebt hat. Seit frühester Kindheit konsumieren und generieren sie gleichzeitig digitale Inhalte. Auch die ältere Generation hat Zehntausende von Stunden Bildschirmzeit gesammelt. Im Jahr 2020 sind viele Menschen von ihren Fähigkeiten in dieser global vernetzten Welt überzeugt. Dennoch geht das Hacken weiter. Man ist desensibilisiert gegenüber Personen und Organisationen, die bekannt geben, dass ihre Konten und Rechenzentren betroffen sind. Jetzt fügt COVID-19 unserem digitalen Leben eine neue beunruhigende Schwachstelle hinzu.
Ein Verständnis darüber, wie Social Engineering – und im weiteren Sinne (Spear) Phishing – funktioniert und warum man Opfer dieser Art von Angriffen wird, ist essentiell. Der Psychologe Paul Ekman identifizierte sechs grundlegende Emotionen: Wut, Ekel, Angst, Glück, Traurigkeit und Überraschung. Das Ziel des Social Engineers ist es, bei der Zielperson Emotionen zu erzeugen, die irrationales Denken hervorrufen können, weil emotionale Menschen Fehler machen. Hacker adressieren auch die Eitelkeit der Zielperson, wenn Menschen glauben, sie seien schlau und würden nie Hackern zum Opfer fallen.
COVID-19 ist ein Thema von hoher Bedeutung, das die Bühne für eine emotionale Reaktion bereitet. Abhängig vom einzelnen Individuum sind die Chancen für eine emotionale Reaktion recht hoch. Laut einer kürzlich von der Society for Human Resources Management durchgeführten Umfrage über die psychologischen Auswirkungen von COVID-19 gibt fast jeder vierte Mitarbeiter an, sich oft niedergeschlagen, deprimiert oder hoffnungslos zu fühlen. Ferner fühlen sich 41 Prozent ausgebrannt, ausgelaugt oder erschöpft von ihrer Arbeit.
Hacker mit guten Informationen über ihr Ziel, die „Spear-Phishing“ einsetzen, sind in der Regel effektiver als mit dem „Spray and Pray“-Ansatz beim Phishing. Es braucht Zeit, um einen Auslöser zu finden und Dringlichkeit zu erzeugen. COVID-19, eine globale Gesundheitsbedrohung, passt in diese Kategorie. Jeder ist begierig darauf, mehr herauszufinden.