Quid-pro-quo-Angriffe sind keine neue Form des Social Engineering. Doch im Jahr 2025 sind sie raffinierter geworden als je zuvor.
In diesem Leitfaden erfahren Sie, was Quid-pro-quo-Angriffe sind, wie Sie sie erkennen und wie Sie vermeiden können, ihnen zum Opfer zu fallen.
Wenn Sie mehr über Social-Engineering-Angriffe erfahren möchten, werfen Sie einen Blick in unseren Kurs rund um E-Mail-Sicherheit und Datenschutz.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Was ist ein Quid-pro-quo-Angriff?
Bei einem Quid-pro-quo-Angriff handelt es sich um eine Social-Engineering-Technik, bei der Hacker*innen einen Vorteil oder Gewinn im Austausch für Informationen versprechen. Diese Informationen können später dafür eingesetzt werden, Geld und Daten zu stehlen oder sich die Kontrolle über ein Nutzungskonto auf einer Website zu verschaffen.
Der Begriff „quid pro quo“ stammt aus dem Lateinischen und bedeutet wörtlich „etwas für etwas“. Sie geben mir etwas, ich gebe Ihnen etwas.
Vergleichbare Redewendungen sind „eine Hand wäscht die andere“ oder „geben und nehmen“. Im Wesentlichen bedeuten sie alle, dass es eine Vereinbarung zwischen zwei Parteien über einen Austausch von Waren oder Dienstleistungen gibt.
Dieser Gedanke des Austauschs ist von entscheidender Bedeutung, da wir als Menschen dem Gesetz der psychologischen Reziprozität, also der Gegenseitigkeit gehorchen. Das bedeutet, dass wir uns, wann immer uns jemand etwas gibt oder uns einen Gefallen tut, verpflichtet fühlen, uns zu revanchieren.
Wie nutzen Angreifende dieses Konzept in einem Social-Engineering-Kontext?
Hier ist ein ganz einfaches Szenario:
- Sie werden von jemandem kontaktiert, der angeblich in der IT arbeitet und Ihnen anbietet, eine Prüfung Ihres Computers durchzuführen.
- Weiterhin bietet diese Person an, potenzielle Viren zu entfernen, die die Leistung Ihres Computers beeinträchtigen könnten.
- Dafür benötigt die Person Ihren Login und Ihr Passwort.
- Sie stellen diese Informationen ohne Frage zur Verfügung.
Und schon haben wir’s! Sie sind soeben Opfer eines Quid-pro-quo-Angriffs geworden.
Quid-pro-quo-Angriffe beruhen auf Manipulation und Vertrauensmissbrauch. Als solche fallen sie in die Kategorie der Social-Engineering-Techniken, wie zum Beispiel Phishing-Angriffe (einschließlich Spear-Phishing und Whaling-Angriffen), Baiting oder Pretexting.
Reale Beispiele für Quid-pro Quo Angriffe
Werfen wir einmal einen Blick auf einige echte Fälle von Quid-pro-quo-Angriffen und was wir daraus lernen können.
Axie Infinity Kryptowährungsbetrug
Im Jahr 2022 berichtete Business Insider über einen der bisher größten Kryptowährungsbetrügereien. Der Angriff, der auf der Quid-pro-quo-Technik basierte, führte zum Diebstahl von 617 Millionen USD.
Hacker*innen, die mit der nordkoreanischen Lazarus-Gruppe in Verbindung stehen, haben einen raffinierten Angriff auf Sky Mavis, den Entwickler des NFT-basierten Spiels Axie Infinity, durchgeführt.
Sie gaben sich auf LinkedIn als Personalvermittler*innen aus und haben einen leitenden Ingenieur ins Visier genommen, den sie in mehrere gefälschte Bewerbungsgespräche verwickelten. Nach diesen Vorstellungsgesprächen erhielt der Ingenieur ein betrügerisches Angebotsschreiben, in das Spyware eingebettet war.
Nach dem Herunterladen dieses gefälschten Angebots verschafften sich die Angreifenden Zugang zum Blockchain-Netzwerk des Unternehmens, das den Transfer von Ethereum-basierten Kryptowährungen in und aus dem Spiel erleichtert. Jetzt waren die Angreifenden in der Lage, Millionen von Dollar in Kryptowährungen abzuschöpfen.
Betrügereien rund um technischen Support nehmen zu
Während der Pandemie und mit dem Anstieg der Remote-Arbeit hat die Zahl der Betrugsversuche im Bereich des vorgetäuschten technischen Supports zugenommen.
Bei dieser Form der Quid-pro-quo-Attacken geben sich die Angreifenden als IT-Support aus und bieten den Mitarbeitenden Hilfe an. Im Gegenzug für diese „Hilfe“ verlangen sie deren Anmeldedaten. Sie können ihre Opfer auch dazu bringen, schädliche Software zu installieren und so die Sicherheit der Organisation zu gefährden.
Bei dieser Betrugsmasche wird eine Kombination aus Quid pro Quo und „Vishing“ eingesetzt. Vishing ist eine Form des Social Engineering, die die Stimme („Voice“) und „Phishing“ kombiniert. Damit gemeint sind Phishing-Betrugsmaschen, die über das Telefon durchgeführt werden.
Im Dezember 2024 wiederholte das FBI seine Warnungen, insbesondere für ältere Menschen. Hier ist eine kurze Zusammenfassung, wie diese Angriffe nach Angaben des FBI ablaufen:
- Betrüger*innen kontaktieren die Opfer unter dem Vorwand, dass es ein Problem mit deren Gerät gäbe, und geben sich als technischer Support eines seriösen Unternehmens (Microsoft, McAfee, Norton etc.) aus.
- Das Opfer wird aufgefordert, eine Nummer zurückzurufen, und es wird ihm versichert, dass das Problem gelöst werden könne. Allerdings teilt der*die Angreifende seinem*ihrem Opfer dann mit, dass dessen Finanzkonten gehackt wurden. Aus Sicherheitsgründen solle es sein Geld sofort auf ein Drittkonto transferieren.
- Die Opfer werden dann angewiesen, Vermögenswerte zu verkaufen, Gold zu kaufen (das von einem*einer Kurier*in abgeholt werden soll) oder Geld auf andere Konten zu transferieren, die sich unter der Kontrolle der Betrüger*innen befinden.
Wenn Sie auf unterhaltsame Weise mehr über diese Art von Betrugsmaschen rund um technischen Support erfahren möchten, empfehlen wir Ihnen, sich die YouTube-Kanäle Scammer Payback und Kitboga zu Gemüte zu führen.
Was können wir aus Quid-pro-quo-Angriffen lernen?
Was können wir also aus diesen Beispielen von Quid-pro-quo-Angriffen lernen?
Erstens: Nicht vertrauen – überprüfen.
Der Satz ist von einem alten russischen Sprichwort abgeleitet, das besagt: „Vertraue, aber überprüfe.“ Der Gedanke dahinter ist, dass Sie niemals blindlings darauf vertrauen sollten, was jemand sagt, sondern dass Sie seine Behauptungen immer überprüfen sollten.
Der Axie-Infinity-Hack veranschaulicht beispielsweise, wie Angreifende sehr gezielte und höchst personalisierte Attacken durchführen können. Aus diesem Grund sollten Sie jede Form von unaufgeforderten Stellenangeboten (oder unaufgeforderter Kommunikation) überprüfen. Sie können nach einem Identitätsnachweis und der Stellenbezeichnung fragen und diese auf der offiziellen Website des Unternehmens überprüfen.
Zweitens: Geben Sie niemals am Telefon oder per E-Mail vertrauliche Informationen preis.
Ortsunabhängig arbeitende Mitarbeiter*innen sind ein bevorzugtes Ziel für Angreifer*innen, die sich als IT-Support-Mitarbeiter*innen ausgeben. Denken Sie daran, dass offizielles IT-Personal Sie niemals am Telefon oder per E-Mail nach Ihrem Passwort, Ihrer Kreditkartennummer oder ähnlichen sensiblen Daten fragen wird.
Präventionsstrategien: Wie Sie Quid-pro-quo-Angriffe umschiffen
Im vorigen Abschnitt haben wir einige wichtige Lektionen zur Verhinderung von Quid-pro-quo-Angriffen angesprochen. Lassen Sie uns diese ein wenig näher betrachten.
Schulung und Bewusstsein
Wie bei allen Social-Engineering-Angriffen ist es Ihre wichtigste Abwehr, informiert zu sein.
- Führen Sie Workshops durch, um die Mitarbeiter*innen über die Art von Quid-pro-quo-Angriffen aufzuklären und dabei die Taktiken der Angreifenden hervorzuheben, die Dienstleistungen oder Vorteile im Austausch für sensible Informationen anbieten.
- Bringen Sie Ihren Mitarbeiter*innen bei, unaufgeforderte Angebote zu erkennen, insbesondere solche, die zu gut erscheinen, um wahr zu sein, oder die von einer unbekannten Quelle stammen.
Protokolle zur Überprüfungsprotokolle
Vertrauen Sie nicht, sondern überprüfen Sie:
- Richten Sie Verfahren zur Verifizierung der Identität von Personen ein, die nach sensiblen Informationen oder Zugängen fragen. Dazu kann auch ein Anruf beim IT-Support über die offizielle Nummer gehören.
- Aktivieren Sie MFA, um eine zusätzliche Sicherheitsebene zu schaffen, die sicherstellt, dass die Zugriffsanfragen legitim sind.
Robuste Sicherheitsrichtlinien
- Entwickeln und verbreiten Sie umfassende Sicherheitsrichtlinien, in denen akzeptable Verhaltensweisen, Verfahren für den Umgang mit sensiblen Informationen und Protokolle für die Meldung verdächtiger Aktivitäten beschrieben werden.
- Schaffen Sie ein einfach zu bedienendes System, mit dem Mitarbeitende Quid-pro-quo-Versuche oder andere Sicherheitsvorfälle melden können.
Andere bewährte Praktiken zur Vermeidung von Quid-pro-quo-Angriffen
- Seien Sie immer auf der Hut. Nichts ist jemals vollkommen kostenlos. Und wenn etwas zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch.
- Geben Sie niemals persönliche Informationen preis, es sei denn, Sie haben den Austausch initiiert. Wenn Sie Ihre Anmeldedaten an eine*n seriöse*n IT-Expert*in weitergeben müssen, dann achten Sie darauf, dass Sie sie anschließend ändern.
- Verwenden Sie sichere Passwörter und ändern Sie Ihre Passwörter regelmäßig. Lesen Sie unseren Artikel über Passwörter, um sich gute Gewohnheiten anzueignen.
Der Aufstieg von KI bei Quid-pro-quo-Angriffen
Künstliche Intelligenz (KI) hat die Art und Weise, wie Cyberkriminelle ihre Social-Engineering-Betrügereien organisieren, verändert.
Bis vor Kurzem beruhten Quid-pro-quo-Angriffe auf der Täuschung durch menschliche Interaktion. Aber KI ermöglicht es Betrüger*innen jetzt, ihre Methoden mit erschreckender Präzision zu automatisieren und zu verfeinern.
Modelle für maschinelles Lernen verarbeiten enorme Mengen an Informationen. Dies ermöglicht es Angreifenden, hochgradig betrügerische Interaktionen zu entwickeln. Social-Media-Beiträge, geleakte Datenbanken, öffentliche Daten … KI ermöglicht es Angreifenden jetzt, eine hyper-personalisierte Kommunikation zu erzeugen, die vollkommen legitim erscheint.
Ein KI-gesteuerter Chatbot kann beispielsweise überzeugend eine*n IT-Support-Mitarbeiter*in imitieren und im Tausch gegen vertrauliche Anmeldedaten falsche Hilfe anbieten.
Neben der textbasierten Manipulation bringen die Deepfake-Technologie und Software für synthetische Stimmen noch eine weitere Ebene der Täuschung ins Spiel. Angreifende können Audio- und Videoaufnahmen fabrizieren, die echte Personen imitieren und so betrügerische Anfragen unwiderlegbar authentisch erscheinen lassen.
Infolgedessen ist es viel wahrscheinlicher, dass Menschen einwilligen, weil sie glauben, dass sie mit einem*einer vertrauenswürdigen Kolleg*in oder Vorgesetzten kommunizieren.
Der zunehmende Einsatz von KI bei diesen Betrügereien erfordert ein stärkeres Bewusstsein und eine bessere Sicherheitsabwehr. Unternehmen und Privatpersonen müssen den neuen Bedrohungen einen Schritt voraus sein, indem sie eine Multi-Faktor-Authentifizierung einführen, unaufgeforderte Anfragen genau prüfen und sich unerwarteten Hilfsangeboten gegenüber skeptisch zeigen.
Abschließende Worte zum Thema Quid-pro-quo-Angriffe
Ein Quid-pro-quo-Angriff ist eine Cyberbedrohung, die auf einem Austausch von Gefälligkeiten basiert. Das macht ihn noch heimtückischer, denn als Menschen denken wir, dass wir eine Leistung auf die eine oder andere Weise erwidern müssen.
Wir hoffen, dass Sie durch diesen Artikel ein besseres Verständnis davon erlangt haben, was Quid-pro-quo-Angriffe sind und wie Sie sich davor schützen können. Nicht zuletzt sollten Sie sichere Dienste wie zum Beispiel die E-Mail-Suite von Mailfence verwenden.
Möchten Sie mehr erfahren? Werfen Sie einen Blick in diese Online-Kurse und Studien zum Thema Social Engineering (in englischer Originalsprache):
- Social-Engineering-Angriffe verstehen, bereitgestellt von TEEX
- 1-Tages Social-Engineering- und Phishing-Mastery-Kurs von CQURE Academy
- Bericht aus 2024 über die Kosten von Datenschutzverletzungen von IBM
- Bericht über die Untersuchung von Datenpannen 2024 von Verizon
