Pretexting ist eine Social-Engineering-Technik, die in der Cybersicherheit eingesetzt wird, um Personen dazu zu bringen, sensible Informationen preiszugeben oder Aktionen durchzuführen, die sie normalerweise nicht tun würden. Der Angreifer erfindet in der Regel einen falschen Vorwand oder eine erfundene Geschichte, um das Vertrauen des Opfers zu gewinnen und es zu überzeugen, die gewünschte Aktion durchzuführen.
Vorgetäuschte Angriffe können viele Formen annehmen, z. B. sich als vertrauenswürdige Autoritätsperson (z. B. ein Bankvertreter), ein Mitarbeiter des technischen Supports oder ein Lieferant ausgeben, der vertrauliche Informationen für die Ausführung einer Bestellung benötigt. Der Angreifer kann verschiedene Taktiken anwenden, um das Opfer zu überreden, z. B. indem er Dringlichkeit vortäuscht, ein Gefühl von Wichtigkeit vermittelt oder sich als eine Person ausgibt, die das Opfer kennt oder der es vertraut.
Ist das Opfer erst einmal überzeugt, gibt es möglicherweise sensible Daten wie Passwörter oder Kontonummern preis oder führt Aktionen wie das Herunterladen und Installieren von Malware auf seinem Computer, das Öffnen eines bösartigen E-Mail-Anhangs oder den Besuch einer Phishing-Website aus.
Mehr als 71 Millionen Menschen werden jedes Jahr Opfer von Internetkriminalität.Comparitech.
Vorgetäuschte Angriffe können schwer zu erkennen sein, da sie oft menschliche Schwachstellen wie Vertrauen und soziale Normen ausnutzen und nicht technische Schwachstellen in Software oder Hardware. Daher ist es für Einzelpersonen und Organisationen wichtig, wachsam und vorsichtig zu sein, wenn sie vertrauliche Informationen weitergeben oder auf unerwartete Anfragen oder ungewöhnliche Umstände reagieren.
Pretexting in der Cybersicherheit - Definitionen und Überblick
Pretexting ist eine Form des Betrugs, bei der unter einem Vorwand Zugang zu den persönlichen Daten einer anderen Person erlangt wird. Vorspiegelung falscher Tatsachen kann auch als Impersonation, Identitätsdiebstahl oder Identitätsbetrug bezeichnet werden.
Die Angreifer verwenden einen Vorwand, Social Engineeringum das zu bekommen, was sie von Ihnen wollen, indem sie Sie davon überzeugen, dass sie einen legitimen Grund haben, ihnen zu glauben.
Kriminelle, die sich auf Pretexting einlassen, kombinieren manchmal verschiedene Formen des Social Engineering, wie z. B. Impersonation oder Phishing, mit ihrer typischen Taktik, einem plausibel klingenden Vorwand oder einer erfundenen Geschichte.
Pretexting ist eine Taktik, die von Angreifern verwendet wird, um entweder Zugang zu vertraulichen Informationen zu erhalten oder Sie dazu zu bringen, ihnen Geld zu geben. Jede elektronische oder mündliche Kommunikation, einschließlich, aber nicht beschränkt auf Textnachrichten, E-Mails, Telefonanrufe und persönliche Treffen, kann zum Vortäuschen von Tatsachen verwendet werden.
Der Angreifer muss eine überzeugende Geschichte erfinden, die den Eindruck erweckt, die Nachricht stamme von jemandem, dem Sie vertrauen können.
Pretexting-Angriffstechniken
Hacker verwenden häufig einen Vorwand, um an finanzielle oder persönliche Informationen zu gelangen. Sie verwenden die folgenden Tricks:
Phishing-Angriffe
Bei Phishing handelt es sich um eine Betrugsmethode, bei der die Opfer mit Hilfe von E-Mails dazu verleitet werden, persönliche Informationen wie Passwörter und Kreditkartendaten preiszugeben. Die E-Mails sind so gestaltet, dass sie den Anschein erwecken, ein seriöses Unternehmen, z. B. eine Bank oder ein Online-Shop, habe sie verschickt. Ziel ist es, das Opfer dazu zu bringen, auf Links in der E-Mail zu klicken, die es dann auf eine vom Betrüger eingerichtete gefälschte Website führen.
Verwandtes Lesen Phishing und Spam
Tailgating
Tailgating ist ein Social-Engineering-Angriff, bei dem der Angreifer die Anmeldedaten einer anderen Person verwendet, um sich unbefugt Zugang zu einem Gebäude oder einer Einrichtung zu verschaffen. Dazu folgt der Angreifer dicht hinter einer Person mit rechtmäßigem Zugang und verwendet dann den Ausweis dieser Person, um sich durch dieselbe Tür Zugang zu verschaffen.
Huckepack
Huckepack ist ein Social-Engineering-Angriff, bei dem sich eine unbefugte Person Zugang zu einer sicheren Einrichtung verschafft, indem sie auf eine andere befugte Person (oder ein Fahrzeug) aufsteigt. Der Huckepack-Angriff kann mit oder ohne Zustimmung der Person durchgeführt werden. So könnte ein Angreifer beispielsweise auf dem Auto einer anderen Person mitfahren und eine gesicherte Einrichtung betreten, als ob er dazu berechtigt wäre.
Scareware
Scareware ist bösartige Software (Malware), die falsche Meldungen und Warnungen anzeigt, um Benutzer davon zu überzeugen, dass ihre Computer mit Viren oder Spyware infiziert sind. Diese Meldungen fordern die Benutzer oft auf, Antiviren-Software zu kaufen oder für Support-Dienste zu bezahlen, bevor sie wieder Zugang zu ihren Systemen erhalten.
Nachahmung
Von Impersonation spricht man, wenn jemand vorgibt, eine andere Person zu sein, um Zugang zu vertraulichen Informationen zu erhalten oder das Vertrauen anderer zu gewinnen. Imitatoren können Social-Engineering-Taktiken wie das Erstellen gefälschter Profile auf Social-Media-Websites oder E-Mail-Spoofing verwenden, um Zugang zu vertraulichen Informationen zu erhalten.
Köder
Bei dieser Technik werden Informationen über Personen oder Organisationen genutzt, um per E-Mail oder Telefonanruf sensible Daten von ihnen zu erhalten. So gibt man sich beispielsweise als Führungskraft eines Unternehmens aus und bittet Mitarbeiter um persönliche Informationen, die denken, dass sie ihrem Chef bei einer wichtigen Angelegenheit helfen, aber nicht wissen, dass sie ihre Daten preisgeben.
Vishing und Smishing
Vishing (Voice-Phishing) und Smishing (SMS-Phishing) sind weitere Formen des Vorspiegelns falscher Tatsachen, bei denen Anrufe oder Textnachrichten an die Zielperson gesendet werden. Vishing nutzt Voice-over-Internet-Protokolle (VOIP), um den Anschein zu erwecken, dass der Anrufer von einem legitimen Unternehmen anruft, obwohl er sich an einem anderen Ort der Welt befindet.
Beim Smishing werden Textinhalte über SMS-Nachrichten (Short Message Service) an Mobiltelefone verschickt. Diese Nachrichten enthalten oft Links zu bösartigen Websites oder Anhänge, mit denen Malware auf den Computern der Opfer installiert werden kann.
Lesen Sie dazu: Arten von Social Engineering
Schützen Sie Ihr Unternehmen vor einem Pretexting-Angriff
Wenn Sie den Verdacht haben, dass Ihr Unternehmen Ziel eines Angriffs unter einem Vorwand geworden ist, können Sie sich mit den folgenden Maßnahmen schützen:
DMARC verwenden
Beim Pretexting geht es oft um eine falsche Identität. Daher ist eine gefälschte E-Mail, die legitim erscheint, unerlässlich. Spoofing ist daher ein wesentliches Instrument für die Kommunikation über elektronische Post. Die am weitesten verbreitete Methode zur Verteidigung gegen E-Mail-Spoofing, Domain-based Message Authentication, Reporting, and Conformance (DMARC), ist eingeschränkt, da sie eine ständige und komplexe Wartung erfordert.
Darüber hinaus verhindert DMARC das Spoofing von Domänen, nicht aber das Spoofing von Namen oder von Cousin-Domänen, die bei Spearphishing-Angriffen wesentlich häufiger vorkommen. Da DMARC so gut funktioniert, haben die Angreifer begonnen, fortschrittlichere Methoden anzuwenden.
Bilden Sie sich weiter
Da viele Menschen erst verstehen müssen, wie Vorwände funktionieren, erkennen sie möglicherweise erst dann, dass ihr Unternehmen ins Visier genommen wurde, wenn es bereits zu spät ist. Informieren Sie sich und Ihre Mitarbeiter, damit sie wissen, wie Prompting aussieht und wie sie bei einem entsprechenden Verdacht reagieren können.
Identifikation immer sehen
Wenn jemand in Ihr Büro kommt und Sie um Informationen über einen Mitarbeiter bittet, lassen Sie sich immer einen Ausweis zeigen, bevor Sie Informationen geben. Lassen Sie die Identität der Person, die die Informationen anfordert, von einer anderen Person überprüfen.
Prüfen Sie den Vorwand sorgfältig
Bevor Sie einer Bitte oder Anweisung nachkommen, sollten Sie prüfen, ob sie sinnvoll ist. Wenn Sie z. B. aufgefordert werden, sensible Daten per E-Mail oder SMS zu senden, sollten Sie vorsichtig sein - dies könnte ein Trick sein, um Ihre Daten zu stehlen. Vertrauen Sie nicht automatisch darauf, dass das, worum Sie gebeten werden, legitim oder sicher ist, nur weil es so aussieht, als würde Ihr Chef es tun. Erkundigen Sie sich stattdessen direkt bei ihm, bevor Sie eine Aufgabe erledigen, bei der es um sensible Daten oder Geld geht.
Überwachen Sie die Umgebung auf bösartige Aktivitäten
Verwenden Sie Sicherheitssoftware, die alle Aktivitäten in Ihrem Netzwerk überwacht und Sie bei verdächtigen Aktivitäten warnt. Überwachen Sie die Aktivitäten in Echtzeit, damit Sie bei einem Angriff rechtzeitig reagieren können.
Letzte Worte
Vorwände sind eine großartige Strategie, die Sie bei Bedarf anwenden können, aber sie können auch nach hinten losgehen, wenn Sie nicht vorsichtig sind. Vergewissern Sie sich einfach, dass Sie das, was Sie beginnen, auch zu Ende führen und dass Sie anderen den Vorteil des Zweifels einräumen, bis sie das Gegenteil beweisen.
