Social Engineering: Passwort im Tausch gegen Schokolade
Für Computerhacker ist es sehr aufwendig, einen Trojaner zu programmieren und in die Rechner von Privatpersonen und Unternehmen einzudringen. Sie greifen daher zunehmend auf psychologische Strategien zurück, um Computernutzer so zu manipulieren, dass sie freiwillig ihre Zugangsdaten preisgeben. Die Methoden sind als „Social Engineering“ bekannt. Zum ersten Mal haben Psychologen der Universität Luxemburg in einer großangelegten Studie mit 1.208 Teilnehmern untersucht, wie Menschen bereits mit kleinen Gefälligkeiten dazu gebracht werden können, ihre Passwörter mit ihnen vollkommen unbekannten Personen teilen.
jackmac34, pixabay.com, CC0
„Das Ziel beim Social Engineering ist das schwächste Glied in der Kette und das ist der Nutzer“, erklärt Dr. André Melzer, Mitautor der in der aktuellen Ausgabe der Fachzeitschrift „Computers in Human Behavior“ erschienen Studie. „Konkret haben wir das psychologische Prinzip der Reziprozität untersucht. Wenn uns jemand etwas Gutes tut, fühlen wir uns dadurch automatisch unter Druck gesetzt, weil wir ihm den Gefallen zurückgeben wollen. Dieses Prinzip gilt überall auf der Welt und ist für unser Zusammenleben wichtig. Allerdings kann dieser innere Druck auch gezielt ausgenutzt werden, um bestimmte Ziele zu erreichen, so auch die Herausgabe eines Passworts.“
In dem Versuch stellten die Wissenschaftler zufällig ausgewählten Passanten Fragen zu deren Umgang mit Computersicherheit und baten sie dabei auch, ihr Passwort anzugeben. Dabei trugen die Interviewer Taschen der Universität Luxemburg, waren den Teilnehmern aber ansonsten unbekannt. Dem einem Teil der Probanden schenkten die Wissenschaftler Schokolade, bevor sie nach dem Passwort fragten, dem anderen erst nach dem Interview, also ohne Einfluss auf deren Antworten. Die Auswertung ergab, dass dieses an sich unbedeutende Geschenk die Wahrscheinlichkeit signifikant erhöhte, dass die Teilnehmer ihr Passwort verrieten. Wurde die Schokolade erst ganz am Ende gegeben, gaben 29,8 Prozent der Teilnehmer ihr Passwort preis. Erhielten sie die Schokolade jedoch bereits vorher, waren dazu insgesamt 43,5 Prozent der Befragten bereit. Noch einmal steigern ließ sich die Bereitschaft der Preisgabe des Passwortes, wenn die Schokolade unmittelbar vor der Frage nach dem Passwort überreicht wurde: Hier scheint der innere Druck der Empfänger besonders hoch zu sein, so dass 47,9 Prozent ihr Passwort nannten– verglichen mit den 39,9 Prozent der Teilnehmer, die ihr Geschenk bereits zu Beginn des Interviews erhalten hatten.
Die Studie zeigt, wie leicht sich viele Menschen mit Hilfe von einfachen Anreizen und dem Mechanismus der Reziprozität manipulieren lassen. „Dabei war diese simulierte Attacke keineswegs eine ausgefeilte kriminelle Strategie. Aber während die Folgen solcher Angriffe für Individuen oder Firmen schwerwiegend sein können, fehlt bei Vielen das Bewusstsein für solche Gefahren“, schlussfolgert Melzer.
Originalveröffentlichung
Happ, Christian et al.; „Trick with treat - Reciprocity increases the willingness to communicate personal data“; Computers in Human Behavior; 24-Mar-2016
Weitere News aus dem Ressort Wissenschaft
Holen Sie sich die Life-Science-Branche in Ihren Posteingang
Ab sofort nichts mehr verpassen: Unser Newsletter für Biotechnologie, Pharma und Life Sciences bringt Sie jeden Dienstag und Donnerstag auf den neuesten Stand. Aktuelle Branchen-News, Produkt-Highlights und Innovationen - kompakt und verständlich in Ihrem Posteingang. Von uns recherchiert, damit Sie es nicht tun müssen.
