Bei einem Pretexting-Angriff handelt es sich um eine spezielle Art des Social Engineering, bei der es darum geht, einen guten Vorwand oder ein erfundenes Szenario zu schaffen, mit dem Betrüger ihre Opfer dazu bringen können, ihre eigenen persönlichen Daten preiszugeben.
Werfen wir einen Blick auf einige Beispiele für Pretexting und wie man diese Art von Social Engineering verhindern kann.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Was ist Pretexting?
Pretexting basiert auf Vertrauen. Betrüger können sich als Mitarbeiter, Polizeibeamte, Bankangestellte, Steuerbehörden, Geistliche, Versicherungsermittler usw. ausgeben. Einfach gesagt, jeder, der eine Autorität oder ein Recht auf Kenntnisnahme durch das anvisierte Opfer hat. Diese Angriffe erfolgen in der Regel in der Form, dass ein Betrüger vorgibt, bestimmte Informationen von der Zielperson zu benötigen, um deren Identität zu bestätigen. Der Betrüger muss lediglich Antworten auf Fragen vorbereiten, die das Opfer stellen könnte. Manchmal genügen eine autoritäre Stimme, ein ernster Ton und die Fähigkeit, schnell zu denken, um ein vorgetäuschtes Szenario zu schaffen.
Die Angreifer geben vor, eine gewisse Autorität über Sie zu haben, und bitten dann um sensible und nicht-sensible Informationen. Im Jahr 2020 gab sich eine Gruppe von Betrügern als Vertreter von Modelagenturen und Begleitservices aus. Sie erfanden falsche Hintergrundgeschichten und Interviewfragen, um Frauen und Mädchen im Teenageralter dazu zu bringen, ihnen Nacktbilder von sich zu schicken. Später verkauften sie diese Bilder für viel Geld an die Porno-Industrie.
Ein Pretexting-Angriff basiert also auf Vertrauen , so bringen die Angreifer ihre Opfer dazu, ihre eigenen persönlichen Daten preiszugeben.
Einer der wichtigsten Aspekte des Social Engineering ist das Vertrauen. Wenn Sie kein Vertrauen aufbauen können, werden Sie höchstwahrscheinlich scheitern. Ein solider Vorwand ist ein wesentlicher Bestandteil des Vertrauensaufbaus. Wenn Ihr Pseudonym, Ihre Geschichte oder Ihre Identität Lücken aufweist oder nicht glaubwürdig ist oder auch nur den Anschein von Glaubwürdigkeit erweckt, wird die Zielperson dies höchstwahrscheinlich bemerken. Ähnlich wie beim Einstecken des richtigen Schlüssels in ein Schloss gibt der richtige Vorwand den Menschen in Ihrer Umgebung die richtigen Hinweise und kann deren Verdacht oder Zweifel entkräften und sozusagen die Türen öffnen.
Pretexting-Beispiele
- Beispiel #1 Internet Service Provider
Eine Person gibt sich als Mitarbeiter Ihres Internetanbieters aus. Sie könnten Sie leicht austricksen, indem sie sagen, sie kämen wegen einer Wartungskontrolle. Wenn Sie wie der Durchschnittsbürger sind, wissen Sie nicht viel über die Netzwerkwartung, nur dass sie erforderlich ist, damit Sie beispielsweise weiterhin Netflix sehen können. Daher werden Sie darauf hereinfallen und sie einfach “ihre Arbeit machen” lassen. Was Sie in diesem Fall tun können, ist, Fragen zu stellen und zu sagen, dass Sie niemand darüber informiert hat, dass ein solcher Besuch stattfinden würde. Sie können sogar noch einen Schritt weiter gehen und fragen, welchen Internettarif Sie abonniert haben, oder weitergehende Fragen stellen, die nur ein echter Mitarbeiter wissen kann. Überprüfen Sie ihre Quellen und rufen Sie direkt bei Ihrem Internetanbieter an. - Beispiel #2 Berechtigung zum Erhalt von Gutscheinen
Sie erhalten eine E-Mail mit dem Betreff GUTE NEUIGKEITEN! Sie öffnen sie und sehen, dass Sie für den Erhalt eines kostenlosen Geschenkgutscheins berechtigt sind. Toll, oder? Wer mag keine kostenlosen Sachen, besonders Gutscheine? Sie sehen einen Link in der E-Mail, der Sie auffordert, Ihre Daten einzugeben, damit der Gutschein an Sie geliefert werden kann. Alternativ dazu kann ein Hacker zunächst die Verfügbarkeit des Opfers prüfen, um festzustellen, ob das gewählte Opfer für ihn nützlich ist, und um eine Beziehung aufzubauen. Dazu sind Vor- und Nachname, Adresse usw. erforderlich. Fragen Sie sich jedoch, ob jemand, der Ihnen sagt, Sie kämen für einen Geschenkgutschein in Frage, nicht bereits Ihre Daten kennt? Aus welchen Gründen sind Sie berechtigt, was haben Sie dafür getan? Haben Sie irgendwo an einem Wettbewerb teilgenommen? Das ist der Punkt, an dem Sie merken sollten, dass es sich wahrscheinlich um einen Betrug handelt.
Pretexting ist nicht auf diese beiden Beispiele beschränkt. Betrüger werden sich immer wieder neue Vorwandtechniken einfallen lassen. Am besten wappnen Sie sich mit Wissen und sind sich bewusst, dass es solche Betrügereien immer geben wird und dass sie viele Formen annehmen können.
Unter diesem Link finden Sie weitere Informationen.
Wie verhindert man Pretexting?
Betrüger nutzen menschliche Schwächen aus, um Ihre persönlichen Daten zu stehlen. Wir tun, was wir können, um die Nutzer vor dieser Art von Bedrohung zu schützen, z. B. durch unsere DMARC-Umsetzungsstrategie, aber das reicht nicht aus. Um sich gegen alle Arten von Social Engineering zu wappnen, empfehlen wir Ihnen unseren Kurs zum Thema E-Mail-Sicherheit und Datenschutz. Wir raten Ihnen dringend, sich über Social Engineering zu informieren, zumal es eine der häufigsten Bedrohungen für die Online-Privatsphäre und die digitale Sicherheit ist.
Wenn Sie eine E-Mail von jemandem erhalten, die besagt, dass ein Wartungsarbeiter vorbeikommen wird, wenden Sie sich an die Firma des Absenders, nicht an den Absender. Rufen Sie sie an und vergewissern Sie sich, dass sie wirklich jemanden schicken. Wenn Sie zu Hause sind, wenn der Mitarbeiter kommt, bitten Sie darum, mit seinem Vorgesetzten zu sprechen, und nehmen Sie ihn nicht beim Wort. Fragen Sie nach der Telefonnummer des Unternehmens und dem Namen des Vorgesetzten, damit Sie von Ihrem eigenen Telefon aus anrufen können. Es mag unhöflich erscheinen, aber wenn es sich um einen Social Engineering-Betrüger handelt, ist Ihre beste Verteidigung, seine Geschichte zu durchlöchern.
Das Gleiche gilt für Websites, auf denen Veranstaltungen und Ausstellungen beworben werden. Rufen Sie das Veranstaltungszentrum an und erkundigen Sie sich nach der Veranstaltung; gehen Sie direkt zur Quelle. Hüten Sie sich vor Websites, die nur Bargeld oder PayPal akzeptieren.
Wie bei jeder anderen Verteidigung gegen Social Engineering müssen Sie proaktiv und nicht reaktiv vorgehen.
Die beste Schutzmaßnahme ist in jedem Fall, die Quelle des Vorwandes zu treffen. Wenn der Social Engineering-Betrüger einen Vorwand benutzt, ist sein schwächster Punkt die Tatsache, dass seine Quelle nicht existiert, sondern nur erfunden ist.
Verbreitete Techniken, die Pretexting ähneln
Alle Social-Engineering-Angriffe sind ziemlich ähnlich, da sie alle auf Vertrauen basieren, genau wie Pretexting. Sie haben jedoch alle ihre Eigenheiten. Manchmal kann auch ein Phishing-Angriff (zum Beispiel) mit einem Pretexting-Angriff kombiniert werden.
- Phishing
Phishing ist ein weiterer Social-Engineering-Betrug, der darauf abzielt, persönliche Daten wie Benutzernamen, Kennwörter, Bankdaten usw. zu stehlen. Mit Hilfe von betrügerischen Websites und falschen E-Mails, gefälschten Anrufen usw. versuchen die Täter, Ihre persönlichen Daten zu stehlen – in der Regel Passwörter und Kreditkarteninformationen. Genau wie Prextexting-Angriffe beruhen sie auf Vertrauen. Allerdings neigen auch Phishing-Angriffe dazu, ihre Opfer mit vorgetäuschter Dringlichkeit zu täuschen. - Smishing
Smishing ist dem Phishing sehr ähnlich, aber dieser Social-Engineering-Betrug verwendet SMS-Nachrichten anstelle von E-Mails und Links. Daher auch der Name SMSishing. Diese Methode ist in der Regel effektiver, da es heutzutage leicht ist, an die E-Mails anderer Personen zu gelangen. Es könnte ja sein, dass Ihre E-Mail bei einer Datenpanne durchsickert und im Dark Web verkauft wurde. Eine Telefonnummer ist jedoch etwas vertrauter und schafft bereits ein Gefühl der Verbindung und des Vertrauens, wenn Sie eine SMS von Ihrer Bank oder einem anderen Dienst erhalten. - Vishing
Vishing ist eine weitere Form des Phishings, diesmal jedoch mit der Stimme, daher der Name. Der Social Engineer gibt sich wie beim Phishing als die üblichen Dienste aus. Diesmal haben Sie aber statt Links und E-Mails eine Person am anderen Ende der Leitung. Mit dem richtigen Ton, den richtigen Fragen und etwas Geduld kann dies sehr effektiv gegen ahnungslose Personen sein. Vor allem ältere Menschen, die keine E-Mails und SMS nutzen. - Whaling
Whaling ist mit Phishing vergleichbar, mit dem Unterschied, dass die Opfer aufgrund ihres hohen Ranges in einer wichtigen Organisation gezielt als “Wale” angesprochen werden. Im Gegensatz dazu werden Phishing-Betrügereien massenhaft verschickt.
Fazit
Da Betrüger menschliche Schwächen ausnutzen, sind Maßnahmen und gute Praktiken zwar gut, aber sie sind keine Garantie dafür, dass Ihr E-Mail-Postfach niemals kompromittiert werden kann. Im Falle eines gehackten Kontos sollten Sie nicht in Panik geraten und diese Schritte befolgen, um die Kontrolle wiederzuerlangen.
Wir empfehlen Ihnen, zusätzlich zu unserem Kurs, Ihr Mailfence-Konto abzusichern.
In diesem Artikel erfahren Sie, wie Sie Social-Engineering-Programme vermeiden können.
Wir bei Mailfence sind nicht nur bestrebt, unsere Plattform vertraulicher, sicherer und verschlüsselter zu machen, sondern wir versuchen auch, unsere Nutzer für die Bedeutung der Verbesserung ihrer E-Mail-Sicherheit und des Datenschutzes im Allgemeinen zu sensibilisieren.
Bleiben Sie stets auf dem Laufenden und folgen Sie uns auf Twitter und Reddit.