Der Pretext ist ein Instrument für so genannte Pretexting-Angriffe, die in die Kategorie Social Engineering fallen. Einmal mehr kann sich der Faktor Mensch damit als Risiko erweisen.
Was ein Pretext im Detail ist, wie derartige Attacken ablaufen und wie Sie Ihr Unternehmen schützen können, verraten wir jetzt.
Social Engineering – vom CEO-Fraud bis zum Pretexting
Hier im Blog haben wir schon mehrfach über Social Engineering berichtet. Kurz zur Erinnerung: Dabei setzen Cyberkriminelle auf das Ur-Vertrauen (oder auch die Leichtgläubigkeit) von Mitarbeitern. Es geht also weniger darum, mit Hilfe technologisch ausgeklügelter Malware die Systeme von Unternehmen zu infiltrieren, sondern vielmehr die Mitarbeiter auszunutzen, die nichts Böses ahnen und unwissentlich zum Helfershelfer der Hacker werden. Das so genannte Pretexting ist aber nur ein mögliches Angriffsszenario. Ebenso „beliebt“ ist es, sich durch gefälschte E-Mail-Adressen beispielsweise als CEO des Opfer-Unternehmens auszugeben und Zahlungsanweisungen anzuordnen.
Der besondere Vorteil für die Cyberkriminellen ist, dass gut gemachte Social Engineering Attacken in der Regel ziemlich erfolgreich sind. Selbst das renommierte Tech-Magazin t3n fiel bereits auf einen CEO-Fraud herein. Aber zurück zum Pretext: Er ist eine Art Storytelling-Instrument. Sein Ziel: Vertrauliche Daten und/oder Anmeldeinformationen.
Pretext – das Storytelling des Cybercrime
Um einen Pretext erfolgreich einzusetzen, muss der Angreifer zunächst tatsächlich „arbeiten“. In der Regel recherchiert er im Netz, anderen, öffentlichen Quellen oder notfalls auch im Darknet so viele Informationen über sein Opfer wie nur irgendwie möglich. Der große Unterschied zum klassischen Phishing ist daher die hohe Individualisierung von Pretexting-Angriffen. Statt also einfach Massen-E-Mails a lá „Ihr Konto wurde gesperrt, bitte verifizieren Sie hier Ihre Login-Daten“ zu verschicken, ist eine Pretexting-Attacke zu 100 Prozent auf ihren Empfänger zugeschnitten.
Das Ziel? Maximales Vertrauen seitens des ahnungslosen Opfers. Die Geschichte hinter dem Aufhänger des Angriffs muss daher so inhaltlich dicht, glaubwürdig und plausibel wie nur irgend möglich sein. Zudem ist Geduld gefragt, denn beim Pretexting wird meist keine falsche Dringlichkeit suggeriert. Das könnte schließlich Misstrauen wecken. Pretexting ist also mehr oder weniger die Kunst der (subtilen) Überredung. Allgemein gilt: Je überzeugender die Story, desto größer die Erfolgschancen.
Pretexting-Szenarien
Bei der Wahl ihrer Mittel zeigen sich Cyberkriminelle flexibel. Ob E-Mail, WhatsApp Nachricht, ein traditioneller Anruf, ein persönliches Gespräch oder eine Kombination aus allem. Das Gleiche gilt für die vermeintliche Identität. Die Betrüger geben sich wahlweise als Chef, Buchhalter, Geschäftspartner, Personaler oder oberster Vorstand. Hauptsache, die Geschichte stimmt und der Kontext passt.
Dazu kommt, dass sich das „altmodische“ Phishing schon länger auf dem absteigenden Ast befindet. Nicht nur Virenscanner und Firewalls sorgen dafür, dass Phishing-Angriffe rechtzeitig erkannt werden – auch viele Menschen lassen sich nicht mehr so leicht ins Bockshorn jagen wie noch vor einigen Jahren. Bei Social Engineering sieht das leider anders aus. Da die Angriffe einen ganz anderen methodischen Ansatz haben, (noch) verhältnismäßig selten erfolgen (weil hoher Aufwand für die Cyberkriminellen) und der Mensch nun einmal von Natur aus gern an das Gute glaubt, sind viele Angriffe erfolgreich.
Bezogen auf das Thema Pretext zeigt eine aktuelle Studie sogar, dass mehr als ein Viertel erfolgreicher Social-Engineering-Angriffe darauf zurückzuführen sind, dass die Opfer auf den jeweiligen Vorwand hereingefallen sind.
Erst der Pretext, dann die Daten (oder das Geld)
Pretexing zieht also in erster Instanz darauf ab, jemandem etwas zu entlocken, das er eigentlich nicht herausgeben darf. Das können beispielsweise Zugangsdaten sein – oder auch direkt Geld. In den meisten Fällen geht es aber zunächst einmal darum, in das favorisierte System einzudringen. Und dank der „korrekten“ Zugangsdaten erfolgt das in der Regel dann auch ohne, dass die Standard-Sicherheitssysteme Alarm schlagen. In diesem Zusammenhang: Ein Argument mehr für die Multi-Faktor-Authentifizierung.
Immer dann, wenn Technologie, Technik und Algorithmen keine Chance haben, Angriffe zu erkennen, ist guter Rat teuer. Zwar verspricht die aktuelle Entwicklung bei KI-gestützter Security-Software bessere Prognosen für die Zukunft, aber bis auch jeder kleine oder mittelständische Betrieb soweit ist, wird die Social-Engineering-Opfer-Liste wohl noch ein gutes Stück wachsen.
Prominente Opfer von Pretext- bzw. Social Engineering Angriffen
Werfen wir einen kurzen Blick auf berühmte Opfer von Pretext Angriffen. Spoiler vorab: Sie werden vermutlich staunen, wer schon alles auf Social Engineering hereingefallen ist. Neben dem bereits erwähnten Tech-Magazin t3n beispielsweise Twitter und – Achtung – sogar die Chefetage der CIA.
Der E-Mail-Account des damaligen Direktors der CIA, John Brennan, wurde im Jahr 2015 durch einen Highschool-Schüler kompromittiert. Dieser hatte sich als Verizon-Techniker ausgegeben und einem vermeintlichen Kollegen sensible Informationen abgeluchst. Selbige verwendete er anschließend, um das Postfach zu knacken. Seine „Beute“ – u. A. Geheimdokumente und Mitarbeiterlisten – teilte er anschließend freudig im Netz.
Bei Twitter gaben vertrauensselige Mitarbeiter ihre eigenen Zugangsdaten telefonisch an Hacker durch. Diese übernahmen kurzerhand (und auch nur kurz) berühmte Accounts von beispielsweise Kayne West und gar Barack Obama. Durch Spendenaufrufe konnten die Betrüger mehr als 110.000 Dollar in Form von Bitcoins erwirtschaften, bevor der Kurznachrichtendienst den Hack erkannte und die Tweets löschte.
Das Fazit kann also lauten: Sicher ist nichts und niemand.
Pretext erkennen, Angriffe verhindern
Um sich bestmöglich gegen Social Engineering Angriffe im Allgemeinen und Pretexting im Besonderen zu wappnen, ist eine Sensibilisierung aller Mitarbeiter für diese Themen unabdingbar. Tipp: Um zu überprüfen, ob die Theorie auch in der Praxis Anwendung findet, eignen sich fingierte Testszenarien.
Zum Beispiel: Die Erstellung einer gefälschten E-Mail, die mindestens auf den zweiten Blick aber als solche erkannt werden kann. Dabei geht es nicht darum, Mitarbeiter bloßzustellen, sondern lediglich aufzuzeigen, wie wichtig Vorsicht und Argwohn sind. Damit es zu keinem Fiasko kommt, kann der Inhalt harmlos gehalten werden. Beispielsweise: „Wir möchten, dass zur morgigen Betriebsversammlung alle Männer in roten Hemden erscheinen.“
Parallel zu professionellen Security-Awareness-Schulungen bieten unsere Experten aus dem IT-SERVICE.NETWORK vielfältige Dienstleistungen für Unternehmen an, die Ihre IT-Sicherheit erhöhen möchten. Durch eine Kombination aus technischen Maßnehmen (z. B. Anti-Virus- und Firewall-Management) und entsprechenden Tests oder Schulungen, können Sie das Opfer-Risiko für Ihr Unternehmen aktiv senken.
Weiterführende Links:
Mimecast
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung