Mit Hilfe von Pretexting per E-Mail, Textnachricht oder Sprachanruf erschaffen Cyberkriminelle Scheingründe, um Zugangskontrollen zu umgehen und Daten zu stehlen. Das sollten Sie zum Thema wissen.
Pretexting - Definition
Pretexting ist eine Form von Social Engineering, mit der die Angreifer ihre Opfer dazu bewegen wollen, freiwillig wertvolle Informationen wie etwa Zugangsdaten preiszugeben. Das Alleinstellungsmerkmal von Pretexting ist seine kreative Komponente: Der Angreifer versucht ein frei erfundenes Szenario, beziehungsweise einen falschen Vorwand ("Pretext") zu nutzen, um sein Gegenüber zu überlisten. Dabei übernimmt der Angreifer im Regelfall die Rolle einer Autoritätsperson, die vermeintlich alle Rechte besitzt, auf die betreffenden Informationen zuzugreifen oder die der "helfenden Hand", die das Opfer "unterstützen" will.
Pretexting hat seine Wurzeln im britischen Boulevard-Journalismus: Die Taktiken wurden von Klatschblättern genutzt, um möglichst skandalhaltige News über Prominente und Politiker verbreiten zu können. Heutzutage ist Pretexting ein beliebtes Werkzeug unter Scammern und anderen Cyberkriminellen, um Einzelpersonen oder Unternehmen zu kompromittieren. Besonders interessant sind für die Angreifer dabei persönliche Daten und finanzielle Informationen.
Pretexting - Techniken
Security-Profi Gavin Watson gibt in seinem Buch "Social Engineering Penetration Testing" einen Überblick über die Techniken, die beim Pretexting zur Anwendung kommen. Der wesentliche Part besteht dabei im "Pretext" selbst - also dem Szenario, das genutzt wird, um das Opfer in die Falle zu locken. Dieser wird um zwei Schlüsselelemente herum aufgebaut:
einem fiktiven Charakter, dessen Rolle der Angreifer übernimmt und
einer plausiblen Situation, die dazu passt.
Fehler bei automatischen Zahlungssystemen sind beispielsweise nichts Ungewöhnliches - es ist also durchaus plausibel, dass eine monatliche Abbuchung via Kreditkarte plötzlich (vermeintlich) fehlschlägt und der Zahlungsempfänger direkten Kontakt aufnimmt. Der zu dieser Situation passende Charakter könnte beispielsweise ein Mitarbeiter vom Kundendienst sein, der sich meldet, um den Fehler zu bereinigen. Das Ziel: die Herausgabe von Bank- oder Kreditkartendaten durch das Opfer.
Damit das Opfer in dem oben beschriebenen Betrugsszenario anbeißt, muss der Angreifer möglichst glaubhaft vermitteln, dass er die Person ist, für die er sich ausgibt. Das funktioniert, indem der Angreifer vorab Informationen sammelt, um seine Glaubwürdigkeit zu erhöhen: Der Name der betreffenden Bank oder eine passende Kundennummer sind nur zwei von vielen Beispielen. Generell lässt sich festhalten: Je spezifischer die Informationen sind, die ein Angreifer vorab einholt, desto glaubwürdiger wirkt seine Kontaktaufnahme - und desto werthaltiger sind im Regelfall auch die Informationen, die er im Erfolgsfall bei seinem Prextexting-Angriff erbeutet.
Was die Informationsbeschaffung angeht, stehen Cyberkriminellen viele Wege offen. Den Hausmüll des Opfers zu durchwühlen, ist dabei eher etwas für Oldschool-Spione - im Regelfall setzen die Betrüger auf Open Source Intelligence (OSINT), also Informationen, die öffentlich verfügbar sind (beispielsweise über soziale Netzwerke) und sich zur Erstellung eines "Opferprofils" nutzen lassen. Dank zahlreicher Datendiebstähle sind persönliche Informationen aber auch zuhauf im Darkweb zu finden, beziehungsweise käuflich zu erwerben - zu verhältnismäßig niedrigen Preisen.
Allerdings stehen auch einige technische Methoden zur Verfügung, die sich für Pretexting-Attacken nutzen lassen - etwa Caller ID Spoofing oder gefälschte E-Mails. Diese Methoden sind essenzieller Bestandteil von Phishing-Kampagnen, die wiederum regelmäßig um Pretexting-Szenarios herum aufgebaut werden. Die zielgerichtete Variante von Phishing (Spear Phishing) mündet regelmäßig in einen Pretexting-Angriff, wenn besonders wertvolle "Ziele" getäuscht werden sollen. Pretexting ist darüber hinaus auch ein wesentlicher Bestandteil von Vishing-Kampagnen, also Phishing-Angriffen per Telefon.
Eine Technik, die in diesem Kontext oft unter den Tisch fällt, ist das sogenannte "Tailgating". Dabei handelt es sich um eine gängige (physische) Taktik, um Zugangsschranken zu umgehen, indem man Berechtigten einfach folgt, solange die "Tür" noch offen ist. Im Pretexting-Kontext könnte sich der Angreifer beispielsweise als Klempner oder Pizzalieferant tarnen, um in einen bestimmten Bereich eines Unternehmens zu gelangen. Wie die meisten Social-Engineering-Techniken setzt auch Tailgating auf die Gutgläubigkeit vieler Menschen.
Pretexting - Beispiele
Es gibt einige prominente Beispiele für Pretexting-Angriffe, im Folgenden eine kleine Auswahl:
Im Jahr 2006 engagierte das Management von Hewlett-Packard private Ermittler, die herausfinden sollten, ob Vorstandsmitglieder interne Informationen an die Presse weitergeben. Um ihre Mission zu erfüllen, gaben sich die Ermittler als ebendiese Manager aus (in einigen Fällen wurden sie von HP mit den entsprechenden Sozialversicherungsnummern ausgestattet), um Telefonanbieter dazu zu bringen, Anrufdaten auszuhändigen. Nachdem das Ganze aufgeflogen war, musste Vorstandschefin Patricia Dunn ihren Hut nehmen - darüber hinaus wurden auch die Strafverfolgungsbehörden in der Sache aktiv.
Der Security-Blog KnowBe4 hat ein gutes Beispiel in petto, wie Privatpersonen mit Pretexting-Angriffen ins Visier genommen werden. In diesem konkreten Fall konnte ein Angreifer mit Hilfe von Pretexting die Zwei-Faktor-Authentifizierung der Bank des Opfers umgehen. Der Betroffene sollte - wenn Benutzername und Kennwort geändert werden - einen sechsstelligen Code eingeben, den er von der Bank per Textnachricht erhält. Während die Betrüger genau diese Daten änderten, riefen sie ihr Opfer unter dem Vorwand an, sie seien Mitarbeiter der Bank und hätten ungewöhnliche Kontobewegungen festgestellt. Um seine Identität zu bestätigen, sollte der Bankkunde den soeben verschickten Code kurz zum Abgleich vorlesen. Das Konto des Opfers leer zu räumen, war anschließend die leichteste Übung.
Die Wahrscheinlichkeit, dass Privatleute von Pretexting-Angriffen heimgesucht werden, ist dennoch relativ gering. Die Konten von Unternehmen sind schließlich im Regelfall deutlich interessanter für Cyberkriminelle. So wie das der Hofpfisterei München: Eine Mitarbeiterin der Buchhaltung erhielt eine E-Mail, die vermeintlich von ihrer Chefin stammte - mit der dringenden Anweisung, 1,9 Millionen Euro an ein Konto im Ausland zu überweisen und über den Vorgang absolutes Stillschweigen zu bewahren. Wie sich nach sorgfältiger Erledigung des Tasks herausstellte, wurde das Traditionsunternehmen zum Opfer eines raffinierten, mehrschichtigen Pretexting-Angriffs. Der Fall landete später - nicht nur einmal - vor Gericht, als es um die Kompensation des Schadens ging.
Pretexting - Abwehrmaßnahmen
Der einfachste Weg, Pretexting-Angriffe zu verhindern, ist, sich darüber bewusst zu sein, dass diese Möglichkeit besteht und welche Techniken dabei angewandt werden. Darüber hinaus sollten Pretexting-Attacken auch in Security-Awareness-Initiativen eingebunden werden. Unternehmen sollten - insbesondere, wenn es um die Überweisung von großen Geldbeträgen geht - ein mehrschichtiges Prüfsystem etablieren, damit es gar nicht erst zu Vorfällen wie etwa bei der Hofpfisterei München kommen kann.
Auf persönlichem Level sollten Sie besonders misstrauisch werden, wenn ein Anrufer, der Sie kontaktiert, nach persönlichen Informationen fragt. Wenn Sie sich unsicher sind, beenden Sie lieber das Gespräch und rufen Sie unter der offiziellen Nummer Ihrer Bank zurück, um sicherzugehen, dass Sie nicht zum Opfer eines Betrugs werden.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Augen auf im Web
Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind. - .ru ist doch sicher, oder?
Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten. - Wenn Ortographie zum Albtraum wird
Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen. - Eine vertrauenswürdige Quelle
Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail. - Quellensuche Teil 2
Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen. - Persönliche Daten ...
... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden. - Passwortwechsel leicht gemacht
Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account. - Das große Geld
Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.