Die Psychologie der Malware

Psychologie ist zweifellos untrennbar mit dem Thema Computing verbunden, ob es nun um das Design künstlicher Intelligenz geht oder darum, die Interaktion zwischen Mensch und Computer besser zu verstehen. Ein Faktor, der die Entscheidungen der Entwickler beeinflusst und der im besten Falle zusätzlich dazu beiträgt, die User Experience zu verbessern. 

Leider sind sich auch Malware-Entwickler durchaus der praktischen Vorteile dessen bewusst, wenn man die Erkenntnisse einer Wissenschaft für eine andere benutzt.

Bits und das menschliche Gehirn: Eine Liebesgeschichte

Beim Computing geht es um Interaktionen zwischen Computern und Menschen. Psychologie macht diese menschlichen Interaktionen messbar und hilft uns, Computing zu verstehen und mit seiner Hilfe, unsere Umwelt zu gestalten. Wie etwa beeinflusst Psychologie die Gestaltung von Lernstrategien im Rahmen künstlicher Intelligenz? Umgekehrt lernen wir anhand der Reaktionen des menschlichen Verstandes auf Reize, wie man KI-Modellierungen daran anpassen kann. Ein aktuelles Beispiel ist die neuronale Verarbeitung, die auf unserem Verständnis der physischen Eigenschaften des Gehirns und seiner Reiz-Reaktions-Schemata basiert.

Malware-Designer und Psychologie

Manipulation ist eine uralte Kunst. Aber psychologische Studien enthüllen ständig neue Aspekte wie man Menschen zu bestimmten Verhaltensweisen bewegen kann. Malware-Designer sind nur zu gerne bereit, diese Techniken für sich einzusetzen. Einige Beispiele sind

• eine Ransomware, die sich als Antiviren-Lösung tarnt,
• sich der Sprache legitimer Apps zu bedienen und
• Warnhinweise, die mit hoher Dringlichkeit zu schnellem Handeln auffordern.

Ähnlich verhält es sich, wenn ein Bad Actor versucht, Informationen zu erhalten, um sie einem zweiten Bad Actor zu übergeben. Zum Beispiel informiert ein Popup-Fenster den betreffenden Nutzer über ein bestehendes Risiko. Wenn dieser dann das betreffende Programm aufruft, wird eine Malware aktiviert.

Neue Malware-Vektoren

Jeder durchschnittliche Technologieanwender nutzt bei seinen alltäglichen Aktivitäten mittlerweile Zwei-Faktor-Authentifizierung und Social-Media-Kommunikation. Hier sehen Malware-Designer neue Möglichkeiten. Vertrautheit birgt auch Risiken.

1. Zwei-Faktor-ID

Sobald sicherheitsorientierte Prozesse wie die Zwei-Faktor-ID zur Gewohnheit werden, sind sie für Malware-Designer ausreichend vorbereitet, um sie für ihre Zwecke auszunutzen. Jede Benutzererfahrung, die eine automatische Reaktion auslöst, birgt dieses Risiko, wie z. B. Popups mit Cookie-Benachrichtigungen.

2. Soziale Medien

Soziale Medien animieren zu schnellen Reaktionen und schaffen ein Umfeld, in dem wir den Menschen um uns herum tendenziell mehr vertrauen. Hier kommunizieren wir mit Freunden und Familie, sodass Interaktionen in einem Kontext von Nähe stattfinden. Malware-Anbieter profitieren von dieser Art vertrauensbasierter Verknüpfungen und nutzen emotionale Befindlichkeiten wie Stress, Angst und Unruhe für sich aus. Solche Gemengelagen verleiten zu vorschnellen Antworten und man ist eher geneigt Dinge preiszugeben als sonst.

3. Verkaufs- und Marketingtechniken

Malware-Designer haben inzwischen gelernt, sich geeignete Tricks aus den Playbooks der Verkäufer und Marketer abzuschauen. Verkaufs- und Marketingtechniken nutzen schon lange die Erkenntnisse der Psychologie etwa für Verkaufsmethoden, bei denen ein Zeitlimit gesetzt wird, das zum Handeln motivieren soll.

Vorausschauendes Nutzerverhalten

Wie kann man dann umgekehrt dafür sorgen, dass Nutzer besser gegen diese Tricks gewappnet sind? Es ist wichtig, dass Benutzer die Risiken kennen, verstehen und automatisch vermeiden. Unternehmen sollten Schulungen über die häufigsten Arten von Angriffen fördern.

Psychologie hilft auch hier, Schulungsprogramme zu Anti-Malware erfolgreicher zu machen:

• Gestalten Sie die Informationen einfach und leicht verdaulich, nutzen Sie Sprache und Grafiken entsprechend
• Erstellen Sie ansprechende und interaktive Schulungsprogramme
• Bieten Sie Tests an, um das Gelernte zu vertiefen. Dabei sollte man die Dinge nutzen, von denen wir wissen, dass sie in der pädagogischen Psychologie funktionieren. Beispielsweise um das Erinnerungsvermögen zu verbessern und das Verständnis des Kernkonzepts zu vertiefen.

Nicht alle Lernhilfen und Tricks funktionieren bei allen Menschen gleich gut. Keine Anti-Malware Schulungskampagne ist zu 100 Prozent effektiv. Bei einigen Menschen sind andere Lernmethoden vielleicht effektiver. Deshalb ist es wichtig, zu messen, welche Methoden erfolgreich waren und welche weniger. Die meisten IT-Schulungsprogramme haben hier Nachholbedarf. Man weiß also nicht, was bei wem gut oder weniger gut funktioniert hat. Man würde kaum immer wieder nach den gleichen Lehrplänen unterrichten, wenn man sicher wüsste, dass sie nur die Hälfte der Schüler erreichen.

Prävention, Erkennung, Reaktion

Ein vorausschauendes Nutzerverhalten kann dazu beitragen, dass Cyberkriminelle mit ihren Techniken deutlich weniger erfolgreich sind. Das kann allerdings nicht die primäre Verteidigung gegen solche Tricks sein, die selbst bei den sicherheitsbewusstesten Opfern weiterhin funktionieren. Obwohl es kaum möglich ist, menschliche Fehler vollständig zu eliminieren, sind die drei Säulen Prävention, Erkennung und Reaktion immer noch die beste Option, um die mit menschlichen Fehlern verbundenen Risiken anzugehen.

Die Einführung eines Frameworks wie die „CIS Controls des Center for Internet Security“ stützt diese Säulen. Ebenso wie Sicherheitstools, die Empfehlungen zur Fehlerbehebung geben, wenn ein Problem identifiziert wurde. Stellen Sie vor allem sicher, dass im Laufe der Zeit ein Programm implementiert wird, dass Sicherheit kontinuierlich verbessert.