Startseite

Themen

Pretexting

 Was ist Pretexting?
Erkunden Sie die Pretexting-Lösung von IBM Für den Think Newsletter anmelden
Abbildung mit Collage aus Wolkenpiktogrammen, Handy, Fingerabdruck, Häkchen

Aktualisiert: 6. September 2024  
Mitwirkende: Jim Holdsworth, Matthew Kosinski
Was ist Pretexting?

Vorwand ist die Verwendung einer erfundenen Geschichte oder eines Vorwands, um das Vertrauen eines Opfers zu gewinnen und es dazu zu bringen oder zu manipulieren, sensible Informationen weiterzugeben, Malware herunterzuladen, Geld an Kriminelle zu senden oder sich selbst oder dem Unternehmen, für die es arbeitet, auf andere Weise zu schädigen.

„Vertrauen” ist das „Ver” in „Verräter”. Die Vorwandgeschichte beschreibt, wie das Vertrauen des Opfers durch gezielte Social-Engineering-Angriffe wie Spear Phishing, Whale Phishing und Business Email Compromise (BEC) gewonnen wird. Aber auch Cyberkriminelle – und traditionelle Kriminelle – können Pretexting allein nutzen, um wertvolle Informationen oder Assets von Einzelpersonen oder Unternehmen zu stehlen.
Vereinbaren Sie ein Informationsgespräch mit dem X-Force-Team

Besprechen Sie die spezifischen Sicherheitsherausforderungen Ihres Unternehmens und wie wir Ihnen helfen können.
So funktioniert Pretexting: Charaktere und Situationen

Der Bedrohungsakteur konfrontiert das Opfer mit einer vorgetäuschten Situation und gibt sich als die richtige Person aus, die das Problem beheben kann. In dem Buch „Social Engineering Penetration Testing“ stellen die Autoren fest, dass die meisten Vorwände aus zwei Hauptelementen bestehen: einem Charakter und einer Situation.1

Der Charakter ist die Rolle, die der Betrüger in der Geschichte spielt. Um die Glaubwürdigkeit des potenziellen Opfers zu erhöhen, gibt sich der Betrüger in der Regel als jemand aus, der Autorität über das Opfer hat, wie beispielsweise ein Vorgesetzter oder eine Führungskraft, oder als jemand, dem das Opfer vertraut. Dieser (fiktive) Charakter könnte ein Kollege, ein IT-Mitarbeiter oder ein Dienstleister sein. Einige Angreifer versuchen möglicherweise sogar, sich als Freund oder Angehöriger des Opfers auszugeben.

Die Situation ist der Plot der erfundenen Geschichte des Betrügers – der Grund, warum der Charakter (der Betrüger) das Opfer bittet, etwas für sie zu tun. Die Situationen können generisch sein – z. B. „Sie müssen Ihre Kontoinformationen aktualisieren.“ Oder die Geschichte könnte spezifisch sein, insbesondere wenn der Betrüger ein bestimmtes Opfer im Visier hat: „Ich brauche deine Hilfe, Oma.“

Um ihre Figuren und Situationen glaubhaft darzustellen, recherchieren Bedrohungsakteure in der Regel online über ihre Figur und ihr Ziel. Und diese Nachforschungen sind nicht schwierig. Schätzungen zufolge können Hacker bereits nach 100 Minuten Online-Recherche eine überzeugende Geschichte erstellen, die auf Informationen aus Social-Media-Feeds und anderen öffentlichen Quellen wie Google oder LinkedIn basiert.

Spoofing – das Fälschen von E-Mail-Adressen und Telefonnummern, um den Anschein zu erwecken, dass eine Nachricht aus einer anderen Quelle stammt – kann Vorwand-Szenarien glaubwürdiger machen. Oder die Bedrohungsakteure gehen noch weiter und hacken das E-Mail-Konto oder die Telefonnummer einer echten Person, um die vorgetäuschte Nachricht zu versenden.Es gibt sogar Berichte über Kriminelle, die künstliche Intelligenz nutzen, um die Stimmen von Menschen zu klonen.
Pretexting-Techniken und Social Engineering

Pretexting ist eine Schlüsselkomponente vieler Social-Engineering-Betrügereien, darunter:

  • Phishing
  • Baiting
  • Tailgating
Phishing

Pretexting ist bei gezielten Phishing-Angriffen wie Spear-Phishing, das auf eine bestimmte Person abzielt, und Whaling, das auf eine Führungskraft oder einen Mitarbeiter mit privilegiertem Zugang zu sensiblen Informationen oder Systemen abzielt, weit verbreitet.  

Pretexting spielt aber auch eine Rolle bei nicht zielgerichteten E-Mail-Phishing-Betrügereien, Voice-Phishing (Vishing) oder SMS-Text-Phishing (Smishing).

Ein Betrüger könnte zum Beispiel eine Textnachricht wie „[Name der weltweit tätigen Bank hier]: Ihr Konto ist überzogen” an Millionen von Menschen senden und erwarten, dass ein gewisser Prozentsatz der Empfänger Kunden der Bank sind und dass ein gewisser Prozentsatz dieser Kunden auf die Nachricht reagieren wird. Selbst ein kleiner Prozentsatz an Opfern kann für die Betrüger eine große Beute bedeuten.
Baiting

Bei dieser Art von Angriffen verleitet ein Krimineller sein Opfer mit einem attraktiven, aber kompromittierten Köder (eng. „bait“) zum Herunterladen von Malware. Der Köder kann physisch sein, z. B. ein USB-Stick, der mit bösartigem Code geladen und auffällig an einem öffentlichen Ort platziert wird. Oder der Köder ist digital, wie z. B. Werbung für kostenlose Filmdownloads, die sich als Malware entpuppen.

Betrüger benutzen oft Vorwände, um den Köder attraktiver zu machen. Ein Betrüger könnte beispielsweise Etiketten an einem infizierten USB-Stick anbringen, um den Eindruck zu erwecken, dass dieser einem bestimmten Unternehmen gehört und wichtige Dateien enthält.
Tailgating

Pretexting kann auch für persönliche Betrügereien wie Tailgating verwendet werden. Man spricht vom Tailgating, das auch als „Huckepack“ bezeichnet wird, wenn eine unbefugte Person einer befugten Person an einen Ort folgt, der eine Freigabe erfordert, wie z. B. ein sicheres Bürogebäude. Betrüger nutzen Vorwände, um ihre Tailgating-Versuche erfolgreicher zu machen – indem sie sich beispielsweise als Zusteller ausgeben und einen ahnungslosen Mitarbeiter bitten, ihnen eine verschlossene Tür zu öffnen.
Beispiele für Pretexting

Betrugsversuche wie Pretexting sind laut der Federal Trade Commission die häufigste Art von Betrug. Im vergangenen Jahr wurden durch diese Betrugsversuche Verluste in Höhe von 2,7 Milliarden US-Dollar gemeldet.22 Zu den häufigsten Arten von Pretexting-Scams gehören:

  • Betrug im Zusammenhang mit Kontoaktualisierungen
  • Kompromittierung geschäftlicher E-Mails
  • Kryptowährungsbetrug
  • Enkeltrick
  • Rechnungsbetrug
  • Steuer- und Behörden-Scams
  • Stellenangebot-Scams
  • Romantik- und soziale Scams
  • Scareware-Scams
Betrug im Zusammenhang mit Kontoaktualisierungen

Bei diesem Cyberangriff gibt sich der Betrüger als Vertreter eines Unternehmens aus, um das Opfer auf ein Problem mit seinem Konto aufmerksam zu machen, wie beispielsweise verfallene Rechnungsdaten oder einen verdächtigen Kauf. Der Betrüger fügt einen Link ein, über den das Opfer auf eine gefälschte Website gelangt, auf der seine Authentifizierungsdaten, Kreditkarteninformationen, Bankkontonummer oder Sozialversicherungsnummer gestohlen werden.
Kompromittierung geschäftlicher E-Mails

Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) ist eine Art gezielter Social-Engineering-Angriff, der sich stark auf Pretexting stützt. 25 % aller BEC-Angriffe (Link befindet sich außerhalb von ibm.com) beginnen jetzt mit Pretexting. 

Bei BEC ist die Figur eine reale Führungskraft oder ein hochrangiger Geschäftspartner mit Autorität oder Einfluss auf das Ziel. Da der Scammer vorgibt, jemand in einer Machtposition zu sein, werden viele Opfer einfach kooperieren.

Die Situation besteht darin, dass die Figur Hilfe bei einer (meistens) dringenden Aufgabe benötigt. Zum Beispiel: „Ich stecke an einem Flughafen fest und habe mein Passwort vergessen. Können Sie mich bitte daran erinnern?“ Oder: Können Sie XXX.XXX,XX Dollar auf das Bankkonto #YYYYYYY überweisen, um die beigefügte Rechnung zu bezahlen? Schnell, bevor sie unseren Service einstellen.“

Indem sie sich per Textnachricht, E-Mail, Telefonanruf und sogar KI-generierten Videos als Vorgesetzte ausgeben, können Betrüger Mitarbeiter oft dazu verleiten, sensible Informationen preiszugeben oder sogar Straftaten zu begehen.

In einem berühmten Fall endete eine vorab aufgezeichnete (und KI-generierte) Webkonferenz mit Anweisungen der angeblichen Geschäftsleitung, die einen Mitarbeiter davon überzeugten, 200 Millionen HKD an die Angreifer zu überweisen.4

Jahr für Jahr zählt BEC zu den kostspieligsten Cyberkriminalitäts- und Social-Engineering-Techniken. Laut dem IBM Data Breach Kostenreport kosten Datenschutzverletzungen, die durch BEC verursacht werden, die betroffenen Unternehmen durchschnittlich 4,88 Millionen US-Dollar. 

Nach Angaben des Internet Crime Complaint Center des FBI beliefen sich die Gesamtverluste der Opfer durch BEC im Jahr 2023 auf fast 2,9 Milliarden US-Dollar.3

 
Kryptowährungsbetrug

Der Betrüger gibt sich als erfolgreicher Investor mit einer „todsicheren” Kryptowährungsmöglichkeit aus und leitet das Opfer zu einer gefälschten Kryptowährungsbörse weiter, wo die Finanzinformationen oder das Geld des Opfers gestohlen werden. 

Bei einer langfristigen Variante dieses Betrugs, die als „Schweineschlachten“ bezeichnet wird, baut der Betrüger eine Beziehung zum Opfer auf und gewinnt dessen Vertrauen über soziale Medien. Danach stellt der Betrüger dem Opfer eine „Geschäftschance“ vor, das auf eine Kryptowährungsseite weitergeleitet wird, um Einzahlungen zu tätigen. Die Website könnte sogar fälschlicherweise einen Wertzuwachs der Investition melden, aber das Geld kann nie abgehoben werden.5 
Enkeltrick

Wie viele Social-Engineering-Scams zielt auch diese auf ältere Menschen ab. Ein Cyberkrimineller gibt sich als Enkel des Opfers aus und gibt vor, in Schwierigkeiten zu sein – beispielsweise einen Autounfall gehabt zu haben oder verhaftet worden zu sein – und von seinen Großeltern Geld zu brauchen, um Krankenhausrechnungen bezahlen oder die Kaution stellen zu können. 
Rechnungsbetrug

Das beabsichtigte Opfer erhält eine Rechnung für eine Dienstleistung oder ein Produkt, das es nicht bestellt oder genutzt hat. Der Betrüger fordert das Opfer oft auf, auf einen Link in einer E-Mail zu klicken, um weitere Informationen anzufordern oder sich über die Belastung zu beschweren. Das Opfer wird dann gebeten, personenbezogene Daten (PII) anzugeben, um sein Konto zu verifizieren. Diese privaten Informationen sind es, auf die der Betrüger von Anfang an aus war.
Steuer- und Behörden-Scams

Der Betrüger gibt sich als Beamter der US-Steuerbehörde (IRS), als Polizeibeamter oder als Vertreter einer anderen Regierungsbehörde aus und behauptet, dass die Zielperson in Schwierigkeiten steckt. Dieses Problem könnte darin bestehen, dass sie keine Steuern zahlen oder dass ein Haftbefehl gegen sie vorliegt. In der Regel fordert der Betrüger das potenzielle Opfer auf, eine Zahlung zu leisten, um einer Verhaftung, einer Hypothek oder einer Lohnpfändung zu entgehen. Natürlich geht die Zahlung auf das Konto des Betrügers. 
Stellenangebot-Scams

Ein Arbeitssuchender ist möglicherweise bereit, einem potenziellen Arbeitgeber normalerweise sensible Informationen preiszugeben. Wenn die Stellenbeschreibung jedoch gefälscht ist und von einem Betrüger veröffentlicht wurde, könnte der Bewerber Opfer eines Identitätsdiebstahls werden.
Romantik- und soziale Scams

Der Betrüger behauptet, eine romantische Beziehung mit dem Opfer eingehen zu wollen. Nachdem er das Herz des Opfers gewonnen hat, verlangt der Betrüger typischerweise Geld, um ein letztes Hindernis für die gemeinsame Beziehung zu beseitigen. Dieses Hindernis können eine erdrückende Schuldenlast, eine rechtliche Verpflichtung oder sogar die Kosten für ein Flugticket sein, um das Opfer zu besuchen.
Scareware-Scams

Scareware ist ein Social-Engineering-Betrug, der Menschen durch angsteinflößende Maßnahmen dazu bringt, Malware herunterzuladen, Geld zu verlieren oder persönliche Daten preiszugeben.

Der erschreckende Vorwand könnte eine gefälschte Virenwarnung, ein gefälschtes Angebot für technischen Support oder ein Betrug durch die Strafverfolgungsbehörden sein. Ein Pop-up-Fenster könnte das Opfer warnen, dass „illegale Inhalte“ auf seinem digitalen Gerät gefunden wurde, oder ein Online-„Diagnosetest“ könnte dem Opfer mitteilen, dass sein Gerät kompromittiert ist und es eine (gefälschte) Antiviren-Software herunterladen muss, um das Problem zu beheben. 
Cybersicherheitsmaßnahmen zur Verhinderung von Pretexting

Wie bei jeder anderen Form von Social Engineering können Versuche, die auf Pretexting basieren, schwer zu stoppen sein, da es auf die menschliche Psychologie abzielt und nicht auf technische Schwachstellen, die behoben werden können. Aber es gibt wirksame Maßnahmen, die Unternehmen ergreifen können.

  • DMARC
  • Schulung zum Sicherheitsbewusstsein
  • Weitere Cybersicherheitstechnologien
Domain-Based Message Authentication, Reporting and Conformance (DMARC)

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das dabei helfen kann, Spoofing zu verhindern. Durch die Analyse des Textes und der Metadaten von Nachrichten auf häufige Anzeichen für eine Gefährdung überprüft DMARC, ob eine E-Mail von der Domain gesendet wurde, von der sie angeblich stammt. Wenn eine E-Mail gefälscht ist, kann sie automatisch in einen Spam-Ordner umgeleitet oder gelöscht werden.
Schulung zum Sicherheitsbewusstsein

Da Menschen durch Vorwände dazu gebracht werden, ihre eigene Sicherheit zu gefährden, kann die Schulung von Mitarbeitern zur Erkennung von Vorwandbetrügereien und zur richtigen Reaktion darauf zum Schutz eines Unternehmens beitragen. Experten empfehlen, Simulationen durchzuführen, die auf realen Vortäuschungsbeispielen basieren, um Mitarbeitern zu helfen, zwischen vorgetäuschten und legitimen Anfragen von Kollegen zu unterscheiden.  

Die Schulung kann auch klare Protokolle für strenge Authentifizierungsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA), den Umgang mit wertvollen Informationen, die Autorisierung von Zahlungen und die Überprüfung von Anfragen mit ihren vermeintlichen Quellen vor der Ausführung umfassen.

Die Verifizierung kann so einfach sein wie das Senden einer SMS an den vermeintlichen Absender: „Haben Sie mir das geschickt?“ Oder eine Nachricht an den Kundendienst: „Sieht das nach einem Hacker aus?“ Verfahren für Finanztransaktionen könnten die Anforderung umfassen, eingehende Anfragen persönlich oder durch direkten persönlichen Kontakt zu validieren.
Gesetze gegen Pretexting

Mehrere branchenspezifische Gesetze zielen explizit auf Pretexting ab.Der Gramm-Leach-Bliley Act aus dem Jahr 1999 stellt die Vorspiegelung falscher Tatsachen in Bezug auf Finanzinstitute unter Strafe. Er macht es zu einem Verbrechen, sich die Finanzdaten eines Kunden unter Vorspiegelung falscher Tatsachen zu beschaffen. Zusätzlich verpflichtet er die Finanzinstitute, ihre Mitarbeiter in der Aufdeckung und Verhinderung von Pretexting zu schulen.

Der Telephone Records and Privacy Protection Act von 2006 verbietet ausdrücklich die Verwendung von Pretexting, um auf Kundendaten eines Telekommunikationsanbieters zuzugreifen.

Die Federal Trade Commission (FTC) hat kürzlich eine Vorschrift verabschiedet, die es offiziell verbietet, sich als eine Regierungsbehörde oder ein Unternehmen auszugeben.5 Die Regelung ermächtigt die FTC, ein Verbot gängiger Betrugstaktiken durchzusetzen, wie die unerlaubte Verwendung des Logos eines Unternehmens, die Erstellung einer gefälschten Website, die ein seriöses Unternehmen imitiert, und die Fälschung von Geschäfts-E-Mails.
Weiterführende Lösungen
IBM X-Force

Hackergesteuerte Offensive. Forschungsgesteuerte Defensive. Erkenntnisgesteuerter Schutz.

 

 IBM X-Force erkunden
Threat Management Services

Prognostizieren, verhindern und reagieren Sie auf moderne Bedrohungen und erhöhen Sie so die Resilienz Ihres Unternehmens.

 

 Mehr über Threat Management Services erfahren
Lösungen zum Schutz vor Ransomware

Verwalten Sie Ihre Cybersicherheitsrisiken proaktiv nahezu in Echtzeit und minimieren Sie die Auswirkungen von Ransomware-Angriffen mit einer Antiransomware-Schutzsoftware.

 Ransomware-Lösungen erkunden
Ressourcen Data Breach Kostenreport

Verstehen Sie, wie Datenschutzverletzungen entstehen und seien Sie darauf vorbereitet. Informieren Sie sich über die Faktoren, die Ihre Kosten steigern oder senken.

 X-Force Threat Intelligence Index

Stärken Sie sich und Ihr Unternehmen, indem Sie aus den Herausforderungen und Erfolgen von Sicherheitsteams auf der ganzen Welt lernen.

 Was ist Social Engineering?

Social-Engineering-Angriffe bestehen weniger aus technischem Hacken, sondern machen sich vielmehr die menschliche Natur zunutze und manipulieren das Opfer so, dass es die eigene Sicherheit oder die Sicherheit eines Unternehmensnetzes aufs Spiel setzt.
Machen Sie den nächsten Schritt

Das globale Team von IBM X-Force Red bietet eine breite Palette an offensiven Sicherheitsservices, einschließlich Penetrationstests, Schwachstellenmanagement und Angreifersimulation an, um Sie bei der Identifizierung, Priorisierung und Behebung von Sicherheitsmängeln in Ihrem gesamten digitalen und analogen Ökosystem zu unterstützen.

 Mehr zu X-Force Red Services
Fußnoten

Alle Links befinden sich außerhalb von ibm.com.

1  Social Engineering Penetration Testing (Link befindet sich außerhalb von ibm.com), Syngress, 2014.  

2 Think you know what the top scam of 2023 was? Take a guess (Link befindet sich außerhalb von ibm.com), Federal Trade Commission, 9. Februar 2024.   

3 Internet Crime Report 2023 (Link befindet sich außerhalb von ibm.com), Federal Bureau of Investigation, 2024. 

4 Hong Kong sees three deepfake video scams since last year, says security chief (Link befindet sich außerhalb von ibm.com), The Standard, 26. Juni 2024.

5 FTC Announces Impersonation Rule Goes into Effect Today (Link befindet sich außerhalb von ibm.com), Federal Trade Commission, 1. April 2024.