:format(avif))
:format(avif))
Wem kannst Sie vertrauen? Dem IT-Techniker, der Sie gerade angerufen und um Zugang zu einem Firmenkonto gebeten hat? Dem Kurier, dem Sie die Tür aufhielten, als Sie das Büro betraten? Man vertraut leicht Menschen, die selbstbewusst und überzeugend wirken – und genau darauf bauen Betrüger, die Pretexting anwenden. Was ist also Pretexting, wie funktioniert es, und könnten Sie das nächste Opfer sein?
Inhalt:
Pretexting und Social Engineering
Während Betrugsversuche wie Schütze dich vor Malware, sei auf der Hut vor Phishing und Betrug und lass keine Werbung zu, während du im Internet surfst. ein falsches Gefühl der Dringlichkeit erzeugen und ein Opfer zum Handeln zu drängen, ist Pretexting etwas subtiler. Diese Methode beinhaltet das Vorgeben eines überzeugenden Vorwands.
Es geht dabei um Vertrauen und den Aufbau einer Beziehung zu einer Person, damit diese sich dazu überreden lässt, Informationen offenzulegen, welche die Täter benötigen. Bei einer Pretexting-Aktion versuchen Angreifer, ein Opfer in Sicherheit zu wiegen, indem sie sich als jemand anderes ausgeben.
Pretexting ist eine klassische Form von Social Engineering und stellt ein einzigartiges Risiko für Unternehmen und Unternehmensnetzwerke dar.
Wie funktioniert Pretexting?
Ein Pretexting-Angriff kann verschiedene Taktiken und Ansätze umfassen. Diese lassen sich in erster Linie in zwei Kategorien unterteilen:
Aus der Ferne
Persönlich
Aus der Ferne Pretexting ist die einfachste Methode. In diesem Szenario erreichen Angreifer ihr Ziel in der Regel per Telefon oder E-Mail. Sobald sie Kontakt aufgenommen haben, können sie vorgeben, jemand zu sein, dem das Opfer bedenkenlos vertraut. Wenn der Vorwand überzeugend genug ist, können Angreifer nützliche Informationen über das Ziel oder das Unternehmen erbeuten, für das ihr Opfer arbeitet.
Persönlich ist ein risikoreicher Ansatz für den Angreifer, aber nicht unmöglich. Im Gegensatz zur Methode des Pretextings aus der Ferne wird ein persönlicher Vorwand mithilfe einer überzeugenden Verkleidung und einem Alibi aufgebaut. Kriminelle können in ein Büro oder einen Haushalt gelangen, indem sie eine falsche Uniform tragen und Menschen persönlich von ihrer Authentizität überzeugen. Angreifer, die sich als Handwerker oder Kuriere ausgeben, können Sicherheitseinschränkungen umgehen, ohne zu viel Aufsehen zu erregen.
Unternehmen sind besonders anfällig für solche Angriffe. Wenn das Pretexting erfolgreich ist, können Täter die Anmeldedaten für Unternehmenskonten oder E-Mails von Mitarbeitenden erbeuten. Anschließend können sie mit diesen kompromittierten Konten weitere Operationen starten.
Erhöhen Sie Ihren Online-Schutz
Datenlecks erkennen, bevor sie dem Unternehmen Schaden zufügen
Jetzt kostenlos testenCyber-Bedrohungen im Zusammenhang mit Pretexting
Alle Social-Engineering-Angriffe verlaufen relativ ähnlich: Sie nutzen Vertrauen aus, um potenzielle Opfer dazu zu bringen, wertvolle Informationen an Betrüger weiterzugeben. Es gibt jedoch auch Unterschiede zwischen diesen Angriffen: Hier sind einige Beispiele für Social-Engineering-Angriffe, die Pretexting ähneln.
Tailgating
Tailgating ist eine Art von Social-Engineering-Angriff, bei dem Betrüger sich als jemand anderes ausgeben, um physischen Zugang zu gesperrten Bereichen zu erhalten, in denen sie wertvolle Informationen erhalten können. Solche Angriffe können für Unternehmen extrem verheerend sein. Zum Beispiel könnten sich Kriminelle als Lebensmittellieferanten ausgeben, um die reguläre Sicherheitskontrolle zu umgehen.
Phishing
Phishing ist einer der häufigsten Arten von Social Engineering-Angriffe. Das Konzept hinter Phishing besteht darin, den Namen einer bekannten Entität zu nutzen, um andere Menschen dazu zu bringen, ihre vertraulichen Informationen wie Passwörter und Benutzernamen preiszugeben. Normalerweise werden Phishing-Angriffe per E-Mail durchgeführt, indem Hacker gefälschte E-Mail-Nachrichten erstellen, die vorgeblich von einem bekannten Unternehmen stammen, um ahnungslose Benutzer zu täuschen.
Vishing und Smishing
Vishing ist ein Social-Engineering-Angriff, bei dem Telefondienste genutzt werden, um Menschen dazu zu bringen, wertvolle Informationen preiszugeben. Ein klassisches Beispiel wäre ein Betrüger, der sein Opfer anruft und vorgibt, ein Bankmitarbeiter zu sein, um Zugriff auf dessen Konto zu erhalten.
Smishing ist eine Form des Phishings über SMS-Nachrichten. Im Wesentlichen folgt Smishing dem gleichen Ansatz und den gleichen Techniken wie Phishing. Der einzige große Unterschied besteht darin, dass die Angriffe über verschiedene Medien durchgeführt werden.
Scareware
Scareware ist eine Art von Software, die – wie der Name schon sagt – darauf ausgelegt ist, das Opfer einzuschüchtern und zu verängstigen. Scareware wurde entwickelt, um Benutzer mit einer Vielzahl von falschen Warn- und Fehlermeldungen zu überfluten. In den meisten Fällen enthalten Scareware-Nachrichten Download-Links und behaupten fälschlicherweise, dass Benutzer eine bestimmte Software benötigen, um ihr Gerät zu bereinigen. Leider führen diese Download-Links in der Regel zu Malware, deren Zweck häufig darin besteht, private Daten zu stehlen.
Whaling
Ein Whaling Angriff, auch als CEO-Betrug bezeichnet, ähnelt in seiner Vorgehensweise einem Phishing-Angriff. Whaling basiert auf den gleichen Konzepten, aber es zielt auf größere Fische ab – meistens im großen Meer der Geschäftswelt. Die Ziele sind in der Regel hochrangige Mitarbeitende innerhalb eines Unternehmens, die E-Mails erhalten, die angeblich von einem CEO oder einer gleichrangigen Person stammen. Hierbei geht es darum, den Empfängern vertrauliche Informationen zu entlocken.
All diese Cyberangriffe, die auf Pretexting basieren, haben eines gemeinsam: die Ausnutzung des Vertrauens der Benutzer. In den meisten Fällen geschieht dies durch Imitationstaktiken, die für ein ungeübtes Auge nur schwer zu erkennen sind.
So können Sie Pretexting vermeiden
Prüfen Sie die Vorwände
Die größte Schwäche des Pretexting ist die Tatsache, dass Angreifer in der Regel auf einen bekannten Firmennamen zurückgreifen müssen. Das bedeutet, dass Mitarbeitende sich an das Unternehmen wenden können, für das Täter angeblich tätig sind, und ihre Legitimität überprüfen können. Als bewährte Vorgehensweise sollten Mitarbeitende deshalb stets versuchen, die Vorwände zu prüfen.
Fragen Sie bei einem persönlichen Pretexting-Angriff immer nach einem Ausweis
Wenn jemand versucht, ein Büro zu betreten oder Informationen im persönlichen Gespräch zu erhalten, fragen Sie immer nach einem Ausweis. Eine Uniform oder das Outfit eines Kuriers kann gefälscht sein, aber ein Ausweis ist oft schwieriger nachzuahmen. In Kombination mit dem Überprüfungsschritt sollte dies dazu beitragen, Kriminelle zu entlarven und Ihre Büroräume zu schützen.
Sensibilisierung der Mitarbeitenden
Die Mitarbeitenden eines Unternehmens bilden stets die erste Verteidigungslinie bei der Bekämpfung von Sicherheitsbedrohungen. Unterrichten Sie Ihre Mitarbeitenden über Sicherheitsprotokolle und Best Practices – so können Sie die Wahrscheinlichkeit erhöhen, dass Ihr Unternehmen insgesamt geschützt bleibt. Fördern Sie ein Umfeld der Eigenverantwortung. Sorgen Sie dafür, dass Ihre Mitarbeitenden nicht zögern, bei Zweifeln noch einmal nachzuhaken. All diese Maßnahmen werden einen großen Beitrag zur Abwehr von Pretexting leisten.