Pretexting: Definition, aus dem Leben gegriffene Beispiele und Tipps zum Schutz Ihres Unternehmens
Laut Verizons Data Breach Investigations Report 2023 hat sich die Anzahl von Social-Engineering-Angriffen zwischen November 2021 und Oktober 2022 nahezu verdoppelt. Diese Art von Attacken macht nun 17% aller Angriffe aus. Dies liegt nicht zuletzt an einer Zunahme von Pretexting, dem „komplizierteren Cousin von Phishing“, das eine Rolle in der Hälfte aller untersuchten Social-Engineering-Attacken spielte.
Aber was ist Pretexting in Cybersicherheit und wie unterscheidet es sich von Phishing? Was sind Beispiele für Pretexting-Techniken und wie funktioniert Pretexting? In diesem Artikel werden wir auf genau das einen Blick werfen, von der Definition von Pretexting als eine Form von Social-Engineering-Angriffen bis hin zu der Frage, wie Ihr Unternehmen Pretexting umgehen kann, damit es nicht in die Statistiken eingeht.
Was ist Pretexting? Bedeutung und wichtige Fakten
Was also ist ein Pretexting-Angriff? Pretexting ist eine Social-Engineering-Methode, die dazu genutzt wird, um Opfer zum Preisgeben sensibler Informationen oder Gewähren des Zugriffs auf sichere Systeme zu bewegen. Definitionsgemäß gehört zum Pretexting das Erfinden eines falschen Vorwands (engl. „pretext“) oder Szenarios, um die Opfer so zu manipulieren, dass sie vertrauliche Daten offenlegen oder sonstige Handlungen ausführen, die ihre eigene Sicherheit – oder die des Unternehmens, für das sie tätig sind – aufs Spiel setzen können.
Pretexting ist keine neue Masche, wie Computerwoche.de erklärt. In Großbritannien wurde diese als „Blagging“ bekannte zwielichtige Praxis bereits jahrzehntelang vom Boulevard-Journalismus genutzt, um skandalhaltige News über Prominente und Politiker zu verbreiten. 2021 geriet die Methode bekanntlich in die Schusslinie, nachdem Vorwürfe laut wurden, dass Reporter von verschiedenen Klatschblättern sich mittels „Blagging“ Zugriff auf das Bankkonto, gerichtliche Dokumente und die Mailbox des ehemaligen Premierministers Gordon Brown verschafft hatten.
Im Hinblick auf Cybersicherheit kann Pretexting als eine der ältesten Methoden von Social Engineering angesehen werden, die im Jahr 2006 im Zuge des Hewlett-Packard-Bespitzelungsskandals ins Rampenlicht geriet. Der Vorfall führte zum Bekenntnis des Unternehmens, dass die von ihm angestellten Ermittler, die eine undichte Stelle für Informationen finden sollten, Pretexting genutzt hatten, um Telefongespräche zwischen HP-Managern und Journalisten aufzuzeichnen. Dies kostete die Direktoriumsvorsitzende und andere Top-Manager des Unternehmens ihre Posten.
Wie funktioniert Pretexting?
In einer Pretexting-Attacke gibt der Scammer gewöhnlicherweise vor, eine vertrauenswürdige Person wie ein Kollege, Strafverfolgungsbeamter, Bankmitarbeiter, Beauftragter einer Steuerbehörde oder Versicherungsdetektiv zu sein. Indem er eine Autoritäts- oder Vertrauensposition einnimmt, versucht der Angreifer, die menschliche Psychologie und unseren natürlichen Hang, den Aufforderungen von scheinbar legitimen Quellen nachzukommen, auszunutzen.
Der Pretexting-Prozess beginnt oftmals mit dem Zusammentragen von Informationen. Pretexting-Scammer recherchieren den Hintergrund, die Interessen und Verbindungen ihrer Opfer sowie die von ihnen imitierte Person äußerst sorgfältig, um mit einer überzeugenden Story aufzuwarten. Wer auch immer die Person ist, die sie zu sein vorgeben: Es handelt sich bei ihr gewöhnlich um jemanden, der dazu befugt ist, auf die angeforderten Informationen zuzugreifen, oder der dem Opfer durch den Zugriff auf die Informationen helfen kann. Dieser Umstand verweist auf ein Paradox, das allen Formen des Social Engineering zugrunde liegt: Je mehr die Angreifer über ihre Opfer wissen, bevor sie mit ihm in Kontakt treten, desto bereitwilliger geben die Opfer Informationen preis – und desto wertvoller sind die Informationen, die sie gewillt offenlegen.
Die Pretexting-Angreifer treten dann mit dem Opfer in Kontakt, normalerweise per Telefon, E-Mail, SMS oder Messenger-Dienst, um eine Beziehung und Vertrauen aufzubauen. Während dieser Interaktion geben sie einen triftigen Grund dafür an, sensible Informationen wie Anmeldedaten, Bankinformationen oder vertrauliche Geschäftsdokumente zu erbitten. Bei dem Vorwand kann es sich um jegliches Szenario handeln, das glaubwürdig genug ist, um die Opfer zum Preisgeben derartiger Informationen zu bewegen. Zum Beispiel: Ein Mitarbeiter des technischen Supports, der vorgibt, ein nicht existierendes IT-Problem zu beheben; ein Bankangestellter, der anruft, um Kontoinformationen bezüglich vermeintlicher verdächtiger Aktivitäten zu bestätigen, oder ein Personalbeauftragter, der eine routinemäßige Datenverifizierung ausführt.
Alternativ dazu werden die Opfer möglicherweise dazu aufgefordert, Handlungen auszuführen, die die Sicherheit gefährden können, wie das Herunterladen und Ausführen bösartiger Dateien oder das Gewähren unbefugten Zugriffs auf Systeme. Das Endziel ist jedoch immer unheilvoll: Die Beschaffung von Sozialversicherungsnummern oder Bankinformationen von Privatpersonen oder Betriebsgeheimnissen oder Finanzdaten von Unternehmen. Sobald die Angreifer diese in die Finger bekommen, können sie Identitäten stehlen, Finanzbetrug begehen oder Wirtschaftsspionage ausführen. Pretexting-Taktiken können außerdem dazu genutzt werden, sich unbefugten Zugriff auf IT-Systeme zu verschaffen, um dort bösartige Aktivitäten wie Erpressersoftwareangriffe oder Datenschutzverletzungen auszuführen.
Eine Erklärung der gängigsten Methoden für Pretexting-Attacken
- Phishing
- Vishing/Smishing
- Baiting
- Piggybacking
- Scareware
Laut dem Gabler Wirtschaftslexikon handelt es sich beim Phishing um eine von Cyberkriminellen verwendete Technik, um sensible Informationen wie Bankkontonummern über gefälschte Internetadressen, E-Mails oder SMS abzufangen, indem sich die Angreifer als vertrauenswürdige Webseite oder Person ausgeben. E-Mail ist bei weitem der gängigste Angriffsvektor für Phishing-Attacken und nahezu jedes Mal spielen Scam-Links dabei eine tragende Rolle.
Vishing bezieht sich auf Scams, in denen die Betrüger Telefonie und Sprachtechnologie einsetzen, um personenbezogene Informationen oder Geld von ihren Opfern zu erbeuten. Ein klassisches Beispiel hierfür ist, wenn ein sich als Vertreter eines Kreditkartenunternehmens ausgebender Scammer seine potenziellen Opfer anruft, um sie auf angebliche ungewöhnliche Kontoaktivitäten aufmerksam zu machen und sie zur Bestätigung ihrer Identität um die Angabe personenbezogener Informationen bittet.
In diesem Fall werden die Opfer mit dem falschen Versprechen einer Belohnung geködert. Bei dem Köder kann es sich um ein physisches Objekt handeln, wie z. B. einen vermeintlich verloren gegangenen USB-Stick mit dem Aufkleber „Mitarbeiter-Lohnabrechnungsdaten“ und dem Firmenlogo, oder um ein digitales Format, wie z. B. ein „exklusives“ Online-Sonderangebot. Sobald die geköderte Person angebissen hat, also z. B. den USB-Stick in ihren persönlichen Computer oder das Firmengerät einstöpselt oder auf den Link in der gefälschten Werbeanzeige geklickt hat, wird sie unbeabsichtigt böswillige Software herunterladen.
Beim Piggybacking manipulieren Angreifer eine vertrauenswürdige Person oder geben sich als diese aus, um Sicherheitsmaßnahmen zu umgehen und unbefugten Zugriff auf gesicherte Systeme oder Gebäude zu erlangen, ob durch ein entsperrtes Gerät oder die Nettigkeit oder Naivität einer Person. Diese Art von Pretexting tritt sowohl in physischen als auch digitalen Datenschutzverletzungen auf, was hervorhebt, wie wichtig strenge Sicherheitsprotokolle und die Stärkung des Mitarbeiterbewusstseins sind, um derartige Angriffe zu verhindern.
Bei Scareware handelt es sich um eine Art böswilliger Software, die Social-Engineering-Taktiken einsetzt, um bei Nutzern Schock, Angst oder das Gefühl einer Bedrohung auszulösen und sie so dazu zu bringen, eine gefälschte Webseite zu besuchen oder Schadsoftware zu erwerben oder herunterzuladen. Sie tritt oftmals in Form einer Pop-up-Nachricht auf dem Computer des Opfers in Erscheinung, die angibt, dass eine infizierte Datei entdeckt wurde. Die Nutzer werden zum Beheben eines fiktiven Problems aufgefordert, indem sie ein wertloses oder regelrecht schädliches Programm installieren.
Liebe und andere Betrügereien: Beispiele von Pretexting-Attacken, die Sie kennen sollten
- Die Nachahmungsmasche
- Die Masche mit dem Kontoproblem
- Die Liebesmasche
- Die Masche mit der Kryptowährung
- Die Masche mit der Steuerbehörde
Betrüger, die sich oftmals als Stakeholder, externe Zulieferer oder hochrangige Führungskräfte des Unternehmens ausgeben, können arglose Mitarbeiter dazu bringen, vertrauliche Daten offenzulegen oder ihnen Zugriff auf Systeme zu gewähren. Im Zuge dieser Masche erzeugen sie ein Gefühl der Dringlichkeit oder Angst oder locken mit einer Belohnung und verleiten die Opfer so zu übereilten Handlungen ohne angemessene Verifizierung. So mag der Scammer sich beispielsweise als CEO des Unternehmens ausgeben und einen Mitarbeiter der Finanzabteilung unter Druck setzen, eine „ausstehende Rechnung“ zu begleichen.
Wie der Name bereits verrät, geben sich die Betrüger bei dieser Art von Pretexting als legitimes Unternehmen aus, wie Banken oder Kurierdienste. Sie kontaktieren ihre Opfer mit dem Vorwand, dass ihr Konto aktualisiert oder ein Problem mit ihm behoben werden muss. Darüber hinaus lösen Sie bei den Opfern ein Gefühl der Angst oder Dringlichkeit aus, indem sie ihnen mitteilen, dass die von ihnen genutzten Lizenzen oder Dienstleistungen auf dem Spiel stehen, wenn sie nicht sofort handeln. Dann stellen sie einen Link zu einer betrügerischen Webseite zur Verfügung oder bitten direkt um die Eingabe von Anmeldedaten oder anderen sensiblen Informationen.
Diese Scams beginnen damit, dass der Angreifer eine romantische Beziehung mit seinem potenziellen Opfer aufbaut, im Regelfall über Online-Dating-Plattformen oder soziale Netzwerke. Wenn Sie den Netflix-Dokumentarfilm Der Tindler-Schwindler gesehen haben, wissen Sie bereits genau, was als Nächstes passiert. Sobald eine tiefe emotionale Bindung geschaffen wurde, beginnt der Betrüger damit, sein Opfer um Geld für diverse plausible Szenarios zu bitten, wie medizinische Notfälle, Reisekosten oder sogar Investitionen.
Pretexting-Betrüger reiten auf der Kryptowährungswelle mit und haben ihrem Charakter-Portfolio eine neue Rolle hinzugefügt: die eines renommierten Kryptowährungsanbieters oder -investors. Sie locken ihre Opfer oftmals mit lukrativen Investitionsmöglichkeiten oder fabrizierten Geschichten über den dringenden Bedarf an einer Kryptowährungstransaktion. Ihre dezentralisierte Beschaffenheit, Anonymität und die Unwiderruflichkeit der Transaktionen machen Kryptowährungen anfällig für Betrug und geben den Opfern wenig Möglichkeit, sich von derartigen Attacken zu erholen.
In den vergangenen Jahren haben über 75.000 US-Amerikaner 28 Millionen US-Dollar in Steuer-Betrugsmaschen verloren, lässt die US Federal Trade Commission verlauten. Die Scammer nutzen den Postweg, Telefon und E-Mails, um Privatpersonen, Unternehmen, Lohnabrechnungsstellen und Steuerexperten übers Ohr zu hauen, mahnt der US Internal Revenue Service, z. B. indem sie offizielle Mitteilungen fälschen und nach Informationen „bezüglich Rückerstattungen, dem Stand der Steuererklärung, der Bestätigung personenbezogener Informationen, der Anforderung von Transkripten und der Verifizierung von PIN-Informationen“ suchen.
Ja und nein. Pretexting, Phishing und Vishing sind allesamt gängige und effektive Social-Engineering-Techniken, die von Hackern eingesetzt werden, um durch die Ausnutzung menschlicher Schwächen sensible Informationen zu erbeuten oder über ahnungslose Opfer Zugriff auf Systeme zu erhalten. Pretexting bezieht sich jedoch auf die Methode, die Betrüger verwenden, um ihre Opfer dazu zu bringen, sensible Informationen preiszugeben, also das Konzipieren einer überzeugenden Geschichte, um ihre Anfrage glaubwürdig erscheinen zu lassen. Phishing bezieht sich definitionsmäßig auf das für die Attacke gewählte Medium, also z. B. betrügerische E-Mail-Nachrichten und Webseiten oder, im Fall von Vishing, Telefonanrufe und Mailbox-Nachrichten.
So verhindern Sie Pretexting: 4 unerlässliche Tools, um sich vor auf Vorwänden basierenden Social-Engineering-Angriffen zu schützen
- Mitarbeiterschulung
- Zugriffskontrolle
- Multi-Faktor-Authentifizierung
- Vorfallreaktionsplan
Schulen Sie Mitarbeiter regelmäßig darin, wie Social-Engineering-Attacken funktionieren, nach welchen Warnzeichen sie Ausschau halten sollten und wie sie reagieren sollten, wenn sie einen potenziellen Pretexting-Betrug entdeckt haben.
Beschränken Sie die Datenmenge, auf die Ihre Mitarbeiter Zugriff haben, indem Sie das Prinzip „Kenntnis nur, wenn nötig“ anwenden. Je weniger Daten für die einzelnen Mitarbeiter zugänglich sind, desto weniger können sie potenziell offenlegen.
Fügen Sie Ihren Daten eine zusätzliche Schutzebene hinzu, indem Sie verlangen, dass Nutzer sich mit mehr als einer Methode verifizieren. Auf diese Weise wird es für einen Angreifer nicht genügen, das Passwort eines Opfers zu kennen, um auf sensible Daten Zugriff zu nehmen.
Sie sollten über einen gut durchdachten Vorfallreaktionsplan verfügen, um die zeitnahe Aufdeckung verdächtiger Aktivitäten zu ermöglichen, Eindämmungsmaßnahmen bereitzustellen und die Schritte zur Wiederherstellung und zukünftigen Prävention zu erläutern.