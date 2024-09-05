Der Bedrohungsakteur konfrontiert das Opfer mit einer vorgetäuschten Situation und gibt sich als die richtige Person aus, die das Problem beheben kann. In dem Buch „Social Engineering Penetration Testing“ stellen die Autoren fest, dass die meisten Vorwände aus zwei Hauptelementen bestehen: einem Charakter und einer Situation.1

Der Charakter ist die Rolle, die der Betrüger in der Geschichte spielt. Um die Glaubwürdigkeit des potenziellen Opfers zu erhöhen, gibt sich der Betrüger in der Regel als jemand aus, der Autorität über das Opfer hat, wie beispielsweise ein Vorgesetzter oder eine Führungskraft, oder als jemand, dem das Opfer vertraut. Dieser (fiktive) Charakter könnte ein Kollege, ein IT-Mitarbeiter oder ein Dienstleister sein. Einige Angreifer versuchen möglicherweise sogar, sich als Freund oder Angehöriger des Opfers auszugeben.

Die Situation ist der Plot der erfundenen Geschichte des Betrügers – der Grund, warum der Charakter (der Betrüger) das Opfer bittet, etwas für sie zu tun. Die Situationen können generisch sein – z. B. „Sie müssen Ihre Kontoinformationen aktualisieren.“ Oder die Geschichte könnte spezifisch sein, insbesondere wenn der Betrüger ein bestimmtes Opfer im Visier hat: „Ich brauche deine Hilfe, Oma.“

Um ihre Figuren und Situationen glaubhaft darzustellen, recherchieren Bedrohungsakteure in der Regel online über ihre Figur und ihr Ziel. Und diese Nachforschungen sind nicht schwierig. Schätzungen zufolge können Hacker bereits nach 100 Minuten Online-Recherche eine überzeugende Geschichte erstellen, die auf Informationen aus Social-Media-Feeds und anderen öffentlichen Quellen wie Google oder LinkedIn basiert.

Spoofing – das Fälschen von E-Mail-Adressen und Telefonnummern, um den Anschein zu erwecken, dass eine Nachricht aus einer anderen Quelle stammt – kann Vorwand-Szenarien glaubwürdiger machen. Oder die Bedrohungsakteure gehen noch weiter und hacken das E-Mail-Konto oder die Telefonnummer einer echten Person, um die vorgetäuschte Nachricht zu versenden.Es gibt sogar Berichte über Kriminelle, die künstliche Intelligenz nutzen, um die Stimmen von Menschen zu klonen.