IT-Sicherheit

Pretext

Social Engineering Angriffe mit Pretexting

von 15.03.2023
Die Hände eines Mannes tippen auf einer Tastatur; er muss einen Geschäftsbrief schreiben. Bild: Pexels/Yan Krukov
Formell oder locker? Wer einen Geschäftsbrief schreiben möchte, steht vor dieser Frage. Bild: Pexels/Yan Krukov

Der Pretext ist ein Instrument für so genannte Pretexting-Angriffe, die in die Kategorie Social Engineering fallen. Einmal mehr kann sich der Faktor Mensch damit als Risiko erweisen.

Was ein Pretext im Detail ist, wie derartige Attacken ablaufen und wie Sie Ihr Unternehmen schützen können, verraten wir jetzt.

Social Engineering – vom CEO-Fraud bis zum Pretexting

Hier im Blog haben wir schon mehrfach über Social Engineering berichtet. Kurz zur Erinnerung: Dabei setzen Cyberkriminelle auf das Ur-Vertrauen (oder auch die Leichtgläubigkeit) von Mitarbeitern. Es geht also weniger darum, mit Hilfe technologisch ausgeklügelter Malware die Systeme von Unternehmen zu infiltrieren, sondern vielmehr die Mitarbeiter auszunutzen, die nichts Böses ahnen und unwissentlich zum Helfershelfer der Hacker werden. Das so genannte Pretexting ist aber nur ein mögliches Angriffsszenario. Ebenso „beliebt“ ist es, sich durch gefälschte E-Mail-Adressen beispielsweise als CEO des Opfer-Unternehmens auszugeben und Zahlungsanweisungen anzuordnen.

Der besondere Vorteil für die Cyberkriminellen ist, dass gut gemachte Social Engineering Attacken in der Regel ziemlich erfolgreich sind. Selbst das renommierte Tech-Magazin t3n fiel bereits auf einen CEO-Fraud herein. Aber zurück zum Pretext: Er ist eine Art Storytelling-Instrument. Sein Ziel: Vertrauliche Daten und/oder Anmeldeinformationen.

zu sehen ist eine Frau am Schreibtisch vor ihrem PC, die telefoniert. Das Thema ist der Pretext als Instrument für Social Engineering Angriffe. Bild: Pexels/Karolina Grabowska

Pretext oder echte Nachricht? Im Zweifel besser den Chef oder Kollegen anrufen. Bild: Pexels/Karolina Grabowska

Pretext – das Storytelling des Cybercrime

Um einen Pretext erfolgreich einzusetzen, muss der Angreifer zunächst tatsächlich „arbeiten“. In der Regel recherchiert er im Netz, anderen, öffentlichen Quellen oder notfalls auch im Darknet so viele Informationen über sein Opfer wie nur irgendwie möglich. Der große Unterschied zum klassischen Phishing ist daher die hohe Individualisierung von Pretexting-Angriffen. Statt also einfach Massen-E-Mails a lá „Ihr Konto wurde gesperrt, bitte verifizieren Sie hier Ihre Login-Daten“ zu verschicken, ist eine Pretexting-Attacke zu 100 Prozent auf ihren Empfänger zugeschnitten.

Das Ziel? Maximales Vertrauen seitens des ahnungslosen Opfers. Die Geschichte hinter dem Aufhänger des Angriffs muss daher so inhaltlich dicht, glaubwürdig und plausibel wie nur irgend möglich sein. Zudem ist Geduld gefragt, denn beim Pretexting wird meist keine falsche Dringlichkeit suggeriert. Das könnte schließlich Misstrauen wecken. Pretexting ist also mehr oder weniger die Kunst der (subtilen) Überredung. Allgemein gilt: Je überzeugender die Story, desto größer die Erfolgschancen.

Pretexting-Szenarien

Bei der Wahl ihrer Mittel zeigen sich Cyberkriminelle flexibel. Ob E-Mail, WhatsApp Nachricht, ein traditioneller Anruf, ein persönliches Gespräch oder eine Kombination aus allem. Das Gleiche gilt für die vermeintliche Identität. Die Betrüger geben sich wahlweise als Chef, Buchhalter, Geschäftspartner, Personaler oder oberster Vorstand. Hauptsache, die Geschichte stimmt und der Kontext passt.

Dazu kommt, dass sich das „altmodische“ Phishing schon länger auf dem absteigenden Ast befindet. Nicht nur Virenscanner und Firewalls sorgen dafür, dass Phishing-Angriffe rechtzeitig erkannt werden – auch viele Menschen lassen sich nicht mehr so leicht ins Bockshorn jagen wie noch vor einigen Jahren. Bei Social Engineering sieht das leider anders aus. Da die Angriffe einen ganz anderen methodischen Ansatz haben, (noch) verhältnismäßig selten erfolgen (weil hoher Aufwand für die Cyberkriminellen) und der Mensch nun einmal von Natur aus gern an das Gute glaubt, sind viele Angriffe erfolgreich.

Bezogen auf das Thema Pretext zeigt eine aktuelle Studie sogar, dass mehr als ein Viertel erfolgreicher Social-Engineering-Angriffe darauf zurückzuführen sind, dass die Opfer auf den jeweiligen Vorwand hereingefallen sind.

Ein Mann schlägt am PC die Hände über dem Kopf zusammen; er ist auf eine Phishing-Mail hereingefallen. Er muss sein Security Awareness schulen. Bild: Pexels/RODNAE Productions

Auf Phishing oder Pretexting hereingefallen? Trainings zur Security Awareness verhindern das. Bild: Pexels/RODNAE Productions

Erst der Pretext, dann die Daten (oder das Geld)

Pretexing zieht also in erster Instanz darauf ab, jemandem etwas zu entlocken, das er eigentlich nicht herausgeben darf. Das können beispielsweise Zugangsdaten sein – oder auch direkt Geld. In den meisten Fällen geht es aber zunächst einmal darum, in das favorisierte System einzudringen. Und dank der „korrekten“ Zugangsdaten erfolgt das in der Regel dann auch ohne, dass die Standard-Sicherheitssysteme Alarm schlagen. In diesem Zusammenhang: Ein Argument mehr für die Multi-Faktor-Authentifizierung.

Immer dann, wenn Technologie, Technik und Algorithmen keine Chance haben, Angriffe zu erkennen, ist guter Rat teuer. Zwar verspricht die aktuelle Entwicklung bei KI-gestützter Security-Software bessere Prognosen für die Zukunft, aber bis auch jeder kleine oder mittelständische Betrieb soweit ist, wird die Social-Engineering-Opfer-Liste wohl noch ein gutes Stück wachsen.

Prominente Opfer von Pretext- bzw. Social Engineering Angriffen

Werfen wir einen kurzen Blick auf berühmte Opfer von Pretext Angriffen. Spoiler vorab: Sie werden vermutlich staunen, wer schon alles auf Social Engineering hereingefallen ist. Neben dem bereits erwähnten Tech-Magazin t3n beispielsweise Twitter und – Achtung – sogar die Chefetage der CIA.

Der E-Mail-Account des damaligen Direktors der CIA, John Brennan, wurde im Jahr 2015 durch einen Highschool-Schüler kompromittiert. Dieser hatte sich als Verizon-Techniker ausgegeben und einem vermeintlichen Kollegen sensible Informationen abgeluchst. Selbige verwendete er anschließend, um das Postfach zu knacken. Seine „Beute“ – u. A. Geheimdokumente und Mitarbeiterlisten – teilte er anschließend freudig im Netz.

Bei Twitter gaben vertrauensselige Mitarbeiter ihre eigenen Zugangsdaten telefonisch an Hacker durch. Diese übernahmen kurzerhand (und auch nur kurz) berühmte Accounts von beispielsweise Kayne West und gar Barack Obama. Durch Spendenaufrufe konnten die Betrüger mehr als 110.000 Dollar in Form von Bitcoins erwirtschaften, bevor der Kurznachrichtendienst den Hack erkannte und die Tweets löschte.

Das Fazit kann also lauten: Sicher ist nichts und niemand.

Eine Frau sitzt am Laptop und geht mit dem Gesicht ganz nah an den Bildschirm. Sie versucht Phishing anhand der Phishing-Mail-Beispiele zu erkennen. Bild: Pexels/Mikhail Nilov

Schauen Sie genau hin, um Social Engieering oder einen Pretext zu erkennen! Bild: Pexels/Mikhail Nilov

Pretext erkennen, Angriffe verhindern

Um sich bestmöglich gegen Social Engineering Angriffe im Allgemeinen und Pretexting im Besonderen zu wappnen, ist eine Sensibilisierung aller Mitarbeiter für diese Themen unabdingbar. Tipp: Um zu überprüfen, ob die Theorie auch in der Praxis Anwendung findet, eignen sich fingierte Testszenarien.

Zum Beispiel: Die Erstellung einer gefälschten E-Mail, die mindestens auf den zweiten Blick aber als solche erkannt werden kann. Dabei geht es nicht darum, Mitarbeiter bloßzustellen, sondern lediglich aufzuzeigen, wie wichtig Vorsicht und Argwohn sind. Damit es zu keinem Fiasko kommt, kann der Inhalt harmlos gehalten werden. Beispielsweise: „Wir möchten, dass zur morgigen Betriebsversammlung alle Männer in roten Hemden erscheinen.“

Parallel zu professionellen Security-Awareness-Schulungen bieten unsere Experten aus dem IT-SERVICE.NETWORK vielfältige Dienstleistungen für Unternehmen an, die Ihre IT-Sicherheit erhöhen möchten. Durch eine Kombination aus technischen Maßnehmen (z. B. Anti-Virus- und Firewall-Management) und entsprechenden Tests oder Schulungen, können Sie das Opfer-Risiko für Ihr Unternehmen aktiv senken.


Weiterführende Links:
Mimecast

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen