Stellen Sie sich vor, Sie öffnen Ihren Posteingang und finden eine dringende Zahlungsaufforderung für eine Stromrechnung vor, da Sie sonst rechtliche Probleme bekommen. Der Absender scheint seriös zu sein und Panik macht sich in Ihnen breit – bin ich in Schwierigkeiten? In Wirklichkeit ist diese E-Mail Teil einer Masche, die als Pretexting bekannt ist. Heute sprechen wir darüber, was Pretexting ist, wie es funktioniert und wie Sie vermeiden können, das nächstes Opfer zu werden.
Inhalt:
Pretexting und Social Engineering
Pretexting ist eine Art von Social-Engineering -Angriff – einer Taktik, die von Cyberkriminellen eingesetzt wird, um ihre Opfer psychologisch so zu manipulieren, dass sie ihre Anmeldeinformationen, Bankdaten oder andere sensible Daten preisgeben, oft ohne es zu merken. Beim Pretexting müssen Hacker speziell einen Vorwand (auf Englisch „pretext“, daher der Name) schaffen, um die Informationen aus dem potenziellen Opfer herauszulocken.
Die Psychologie des Vorwands beruht auf zwei Aspekten: Der Täter muss gleichzeitig ein Gefühl des Vertrauens schaffen, indem er vorgibt, eine Autoritätsperson zu sein, und ein Gefühl der Dringlichkeit aufbauen, indem er hohen Druck auf das Opfer ausübt. Ziel ist es in der Regel, vertrauliche Informationen auszuspionieren, Zahlungsdaten für betrügerische Zahlungen zu erlangen oder sich unbefugten Zugriff auf wichtige Konten zu verschaffen.
Damit sie wirklich effektiv sind, bedienen sich Pretexting-Kampagnen oft einiger Tricks des Spear-Phishing, einem stärker personalisierten Ansatz, der sich an eine bestimmte Person oder Gruppe richtet und identifizierbare Details verwendet. Hacker können sich als Mitarbeiter von Migrationsämtern ausgeben, die ausländische Studierende um dringende Informationen bitten, als Steuerbehörden, die nach nicht erklärten Einkünften suchen, oder als Energieunternehmen, die unbezahlte Rechnungen einfordern. Auch Betrugsfälle mit vorgetäuschten Verwandten, die nach einer Notlage um Geld bitten, sind weit verbreitet.
Obwohl Pretexting gegen Einzelpersonen wirksam ist, wird es oft eingesetzt, um Unternehmen ins Visier zu nehmen und sich Zugriff auf deren Netzwerke zu verschaffen. Zwielichtige E-Mails der Personalabteilung, Anfragen von Vorgesetzten, die von E-Mail-Adressen stammen, die nicht die Domäne des Unternehmens haben, oder sogar unaufgeforderte externe Serviceangebote können als Vorwand dienen, um an Mitarbeiter- oder Kundendaten zu gelangen.
Wie funktioniert Pretexting?
Ein Pretexting-Angriff kann verschiedene Taktiken und Ansätze umfassen. Diese lassen sich in erster Linie in zwei Kategorien unterteilen:
Aus der Ferne
Persönlich
Pretexting aus der Ferne ist die einfachste Methode. In diesem Szenario erreichen Angreifer ihr Ziel in der Regel per Telefon oder E-Mail. Sobald sie Kontakt aufgenommen haben, können sie vorgeben, jemand zu sein, dem das Opfer bedenkenlos vertraut. Wenn der Vorwand überzeugend genug ist, können Angreifer nützliche Informationen über das Ziel oder das Unternehmen erbeuten, für das ihr Opfer arbeitet.
Der persönliche Ansatz ist eine risikoreiche Methode für den Angreifer, aber nicht unmöglich. Im Gegensatz zur Methode des Pretextings aus der Ferne wird ein persönlicher Vorwand mithilfe einer überzeugenden Verkleidung und einem Alibi aufgebaut. Kriminelle können in ein Büro oder einen Haushalt gelangen, indem sie eine falsche Uniform tragen und Menschen persönlich von ihrer Authentizität überzeugen. Angreifer, die sich als Handwerker oder Kuriere ausgeben, können Sicherheitseinschränkungen umgehen, ohne zu viel Aufsehen zu erregen.
Unternehmen sind besonders anfällig für solche Angriffe. Wenn das Pretexting erfolgreich ist, können Täter die Anmeldedaten für Unternehmenskonten oder E-Mail-Adressen von Mitarbeitenden erbeuten. Anschließend können sie mit diesen kompromittierten Konten weitere Operationen starten.
Cyber-Bedrohungen im Zusammenhang mit Pretexting
Alle Social-Engineering-Angriffe verlaufen relativ ähnlich: Sie nutzen Vertrauen aus, um potenzielle Opfer dazu zu bringen, wertvolle Informationen an Betrüger weiterzugeben. Alle derartigen Angriffe haben allerdings ihre Besonderheiten. Hier sind einige Beispiele für Social-Engineering-Angriffe, die Pretexting ähneln.
Tailgating
Tailgating ist eine Art von Social-Engineering-Angriff, bei dem Betrüger sich als jemand anderes ausgeben, um physischen Zugang zu gesperrten Bereichen zu erhalten, in denen sie wertvolle Informationen erhalten können. In der Regel versuchen sie, einem Mitarbeiter durch eine gesicherte Tür zu folgen, daher der Name. Tailgating-Angriffe können für Unternehmen extrem verheerend sein. So könnten sich beispielsweise böswillige Akteure als Mitarbeiter eines Lebensmittel-Lieferdienstes ausgeben, um die regulären Sicherheitsvorkehrungen zu umgehen und Zugriff auf Server oder entsperrte Geräte zu erhalten, die sensible Informationen enthalten.
Phishing
Phishing ist eine der häufigsten Arten von Social-Engineering-Angriffen. Das Konzept hinter Phishing besteht darin, den Namen einer bekannten Entität zu nutzen, um andere Menschen dazu zu bringen, ihre vertraulichen Informationen wie Passwörter und Benutzernamen preiszugeben. Normalerweise werden Phishing-Angriffe per E-Mail durchgeführt, indem Hacker gefälschte E-Mail-Nachrichten erstellen, die vorgeblich von einem bekannten Unternehmen stammen, um ahnungslose Benutzer zu täuschen.
Vishing und Smishing
Vishing ist ein Social-Engineering-Angriff, bei dem Telefondienste genutzt werden, um Menschen dazu zu bringen, wertvolle Informationen preiszugeben. Ein klassisches Beispiel wäre ein Betrüger, der sein Opfer anruft und vorgibt, ein Bankmitarbeiter zu sein, um Zugriff auf dessen Konto zu erhalten.
Smishing ist eine Form des Phishings über SMS-Nachrichten. Im Wesentlichen werden beim Smishing dieselben Ansätze und Techniken wie bei Phishing-Angriffen verfolgt – der einzige große Unterschied besteht im Medium, über das der Angriff ausgeführt wird.
Scareware
Scareware ist eine Art von Software, die darauf abzielt, das Opfer einzuschüchtern und ihm Angst zu machen. Sie überflutet den Benutzer mit einer Vielzahl von falschen Warn- und Fehlermeldungen. In den meisten Fällen enthalten Scareware-Nachrichten Download-Links und behaupten fälschlicherweise, dass Benutzer eine bestimmte Software benötigen, um ihr Gerät zu bereinigen. Leider führen diese Download-Links in der Regel zu Malware, deren Zweck häufig darin besteht, private Daten zu stehlen.
Whaling
Ein Whaling -Angriff, auch als CEO-Betrug bezeichnet, ähnelt in seiner Vorgehensweise einem Phishing-Angriff. Whaling basiert auf den gleichen Konzepten, aber es zielt auf größere Fische ab – meistens im großen Meer der Geschäftswelt. Die Ziele sind in der Regel hochrangige Mitarbeitende innerhalb eines Unternehmens, die E-Mails erhalten, die angeblich von einem CEO oder einer gleichrangigen Person stammen. Hierbei geht es darum, den Empfängern vertrauliche Informationen zu entlocken.
All diese Cyberangriffe, die auf Pretexting basieren, haben eines gemeinsam: die Ausnutzung des Vertrauens der Benutzer. In den meisten Fällen geschieht dies durch Imitationstaktiken, die für ein ungeübtes Auge nur schwer zu erkennen sind.
Beispiele für Pretexting
Wie bei Social-Engineering-Angriffen im Allgemeinen gibt es auch beim Pretexting viele verschiedene Formen und Größen. Während sich einige Taktiken nur an Einzelpersonen richten, nehmen andere ganze Unternehmen ins Visier. Im Folgenden sind einige der häufigsten Szenarien aufgeführt, die gegen Unternehmen eingesetzt werden.
Kontoaktualisierungsbetrug
Wenn Sie jemals eine verdächtige E-Mail erhalten haben, in der Sie aufgefordert werden, sich bei Ihrem Konto anzumelden, um vertrauliche Informationen zu aktualisieren, sind Sie wahrscheinlich auf einen Kontoaktualisierungsbetrug gestoßen. Bei diesen Pretexting-Angriffen geben sich die Hacker als Vertreter eines Unternehmens oder einer Website aus und fordern ihre Opfer auf, persönliche Daten im Zusammenhang mit einer Zahlung oder einer Rechnung zu bestätigen. Sobald der Benutzer den Link öffnet und sein Passwort oder seine Bankdaten eingibt, können die Hacker diese Informationen einsehen und für ihre Zwecke missbrauchen.
Kompromittierung von Geschäfts-E-Mails
Diese Angriffe, die auch als BEC-Angriffe (Business E-Mail Compromise) bezeichnet werden, stellen ein erhebliches Risiko für Unternehmen dar, da sie das Vertrauen der Mitarbeiter und menschliche Fehler bei der Verwaltung sensibler Daten ausnutzen. Die Betrüger verwenden ausgeklügelte Methoden wie gefälschte E-Mails und sogar von künstlicher Intelligenz erzeugte Bilder, um Geld oder sensible Daten über Geschäfts-E-Mailadressen zu stehlen.
Sie geben sich als hochrangige Mitarbeiter aus, bis hin zur Führungsebene, und bitten ihre „Kollegen“ in einer Nachricht um eine dringende Zahlung oder die Übermittlung von Anmeldedaten. Dadurch können Cyberkriminelle von „innerhalb des Unternehmens“ auf die sensiblen Unternehmensdaten zugreifen.
Kryptowährungsbetrug
Betrug mit Kryptowährungen wird in erster Linie durch finanzielle Motive angetrieben. Die Betrüger können eine Reihe von Methoden anwenden, um ihre Opfer um ihr Vermögen zu bringen. Eine gängige Methode ist der „Rug Pull“, bei dem Betrüger Vertrauen aufbauen, indem sie ein legitimes Projekt präsentieren, nur um dann alles zu löschen, nachdem sie das Geld der Investoren erhalten haben. Andere Betrugsfälle beinhalten den scheinbar legitimen Handel mit nicht-fungiblen Token (NFTs), die in Wirklichkeit Malware enthalten, um die digitale Geldbörse der Zielperson zu übernehmen.
Großelternbetrug
Der klassische „Großelterntrick“ oder "Enkeltrick" zielt auf ältere Menschen ab, die sich der digitalen Bedrohungen vielleicht nicht so bewusst sind. Der Betrüger gibt vor, ein nahes Familienmitglied zu sein, oft ein Enkelkind (daher der Name), das in einen Zwischenfall verwickelt wurde und nun dringend Geld benötigt. Großeltern- oder Enkeltricks werden oft per Telefon mit KI-generierten Sprachnachrichten oder einer einfachen SMS durchgeführt. Auch die Variante per E-Mail ist jedoch sehr geläufig.
Behördenbetrug
Betrugsfälle, bei denen die Täter vorgeben, vom Finanzamt oder einer Regierungsbehörde zu sein, sind wohl die häufigsten Beispiele für Pretexting. Das Drehbuch folgt jedes Mal einem ähnlichen Muster: Die Zielperson wird von einer Behörde, z. B. dem Finanzamt, kontaktiert und behauptet, dass ein Teil der Steuern nicht bezahlt wurde. Die Zielperson wird aufgefordert, dringend eine Zahlung auf ein bestimmtes Konto zu leisten, um eine Vorstrafe zu vermeiden. In Wirklichkeit sind es die Betrüger, die das Geld erhalten. Zu den Variationen dieser Masche gehören die Zahlung von Einwanderungs- oder Visagebühren, überfällige Hypotheken oder ein Strafzettel.
Tech-Support-Betrug
Pretexting kann für Hacker wertvoll sein, die ein Gerät oder ein ganzes Netzwerk in einem Unternehmen überlisten wollen. Sie wenden sich an ihre potenziellen Opfer und geben sich als technischer Support aus, der ein Problem mit der Hardware oder Software festgestellt hat. Sie können die Zielperson auffordern, eine Fernsteuerungssoftware auf ihrem Gerät zu installieren, um ihnen Zugriff zu gewähren, oder einfach wichtige Anmeldedaten für den Zugriff auf ein Programm oder ein Konto anfordern. Von dort aus können die Betrüger das Gerät oder die Konten des Benutzers verwüsten.
So können Sie Pretexting vermeiden
Prüfen Sie die Vorwände
Die größte Schwäche des Pretexting ist die Tatsache, dass Angreifer in der Regel auf einen bekannten Firmennamen zurückgreifen müssen. Das bedeutet, dass Mitarbeitende sich an das Unternehmen wenden können, für das Täter angeblich tätig sind, und ihre Legitimität überprüfen können. Als bewährte Vorgehensweise sollten Mitarbeitende deshalb stets versuchen, die Vorwände zu prüfen.
Fragen Sie bei einem persönlichen Pretexting-Angriff immer nach einem Ausweis
Wenn jemand versucht, ein Büro zu betreten oder Informationen im persönlichen Gespräch zu erhalten, fragen Sie immer nach einem Ausweis. Eine Uniform oder das Outfit eines Kuriers kann gefälscht sein, aber ein Ausweis ist oft schwieriger nachzuahmen. In Kombination mit dem Überprüfungsschritt sollte dies dazu beitragen, Kriminelle zu entlarven und Ihre Büroräume zu schützen.
Sensibilisierung der Mitarbeitenden
Mitarbeitende eines Unternehmens bilden stets die erste Verteidigungslinie bei der Bekämpfung von Sicherheitsbedrohungen. Sie sind aber auch die größte Schwachstelle, vor allem, wenn sie nicht die richtigen Methoden für sichere Kontoverwaltung anwenden. Es ist unerlässlich, dass die Mitarbeitenden mit den Sicherheitsprotokollen und bewährten Verfahren vertraut sind und auf ihren Arbeitsgeräten Cybersicherheitssoftware verwenden.
Die Verwendung von Tools wie Passwort-Managern für Unternehmen hilft dabei, einen hohen Standard bei der Einhaltung und Weitergabe von Passwörtern in Ihrem Unternehmen aufrechtzuerhalten. Dadurch wird ein Gefühl der individuellen und gemeinsamen Verantwortung geschaffen. Ein Passwort-Manager wie NordPass ermöglicht die Einrichtung einer zentralen, unternehmensweiten Richtlinie zur Verwendung von Passwörtern, wie z. B. Länge, Komplexität und Häufigkeit von Passwortänderungen. Darüber hinaus bietet er eine einfache und sichere Möglichkeit, Anmeldedaten über einen verschlüsselten Kanal zu teilen, wodurch die Gewohnheit, sensible Daten per E-Mail oder Textnachricht zu teilen, entfällt, was oft die Tür für Vorwände öffnet.
Durch die Einführung eines Sicherheitsstandards in Ihrem Unternehmen können Sie dafür sorgen, dass Ihre Mitarbeiter sich wohl dabei fühlen, im Zweifelsfall noch einmal nachzufragen, und Betrugsversuche leichter erkennen. All diese Maßnahmen werden einen großen Beitrag zur Abwehr von Pretexting leisten.