Was ist Pretexting?
Pretexting ist eine Art von Social-Engineering-Trickbetrug, bei dem die Betrüger plausible Geschichten – sprich: Vorwände (engl. „pretexts“) – fabrizieren, um ihre Opfer dazu zu bringen, persönliche Daten preiszugeben oder ihnen Zugriff auf ihr Konto zu gewähren. Dabei täuschen die Trickbetrüger ein fingiertes, aber glaubhaftes Szenario vor, um sich das Vertrauen des Opfers zu erschleichen und es zur Preisgabe der gewünschten Informationen zu verleiten.
Pretexting unterscheidet sich von anderen Formen des Social Engineering durch den sehr detaillierten oder konkreten Vorwand – den „Pretext“ –, den der Scammer erfindet. So wird das Opfer dazu gebracht, der Geschichte des Betrügers Glauben zu schenken und sensible Daten wie Kontopasswörter, Sozialversicherungsnummern und sogar Kreditkartendaten aus der Hand zu geben.
Pretexting-Angriff – Social-Engineering-Techniken
Im Gegensatz zu anderen Cyberbedrohungen beruhen Pretexting-Angriffe nicht auf Computer-Hacking oder anderen technischen Methoden der Systeminfiltration. Vielmehr nutzen Pretexting-Scammer das Vertrauen ihrer Opfer aus und bringen sie dazu, freiwillig private Informationen preiszugeben und so ihre eigene Sicherheit zu gefährden.
Bei Pretexting-Taktiken schlüpft der Betrüger in der Regel in die Rolle einer überzeugend gespielten Figur, die dazu dient, eine fingierte, aber plausible Geschichte zu erzählen, mit der sich das Opfer identifizieren kann. Geschichten dieser Art sprechen die Zielperson auf der emotionalen Ebene an, um jeden Verdacht sofort wieder zu zerstreuen.
Bei Pretexting-Scams können Social-Engineering-Taktiken eingesetzt werden, um das Mitgefühl der Opfer gegen sie zu verwenden.
Da diese Art von Social-Engineering-Angriff darauf beruht, dass das Opfer dem Vorwand Glauben schenkt und bereit ist, auf die Forderungen des Angreifers einzugehen, nehmen die Betrüger in der Regel Personen mit folgenden Eigenschaften ins Visier:
Je nachdem, wen sie ins Visier nehmen und auf welche Art von Daten sie es abgesehen haben, nutzen die Betrüger ein beachtliches Repertoire an Pretexting-Taktiken. Werfen wir einen Blick auf einige der spezifischen Techniken, die bei dieser Betrugsmasche zum Einsatz kommen.
Phishing
Bei der überwiegenden Mehrheit der Pretexting-Scams handelt es sich um Phishing-Angriffe, die Menschen dazu bringen sollen, persönliche Daten preiszugeben oder auf einen Link zu klicken, der zu einer Malware-Infektion führen kann. Anders als bei üblichen Phishing-Tricks wird bei dieser Social-Engineering-Unterart jedoch häufig ein gezielterer Spear-Phishing-Angriff eingesetzt, um den Kontakt zur Zielperson, wenn er einmal hergestellt ist, über einen längeren Zeitraum aufrechtzuerhalten.
Phishing-Angriffe zielen darauf ab, Personen dazu zu verleiten, auf infizierte Links zu klicken.
Hier das Beispiel für ein Pretexting-Szenario: Sie erhalten eine Phishing-E-Mail, in der Sie zu einer Überraschungsparty für eine Person eingeladen werden, die Sie nur flüchtig kennen: z. B. ein Kollege aus einer anderen Abteilung. Daraufhin folgt eine weitere E-Mail mit der Bitte um einen Beitrag zu einem gemeinsamen Geschenk. Schließlich erhalten Sie eine SMS mit einem vermeintlich legitimen Zahlungslink, der dazu dient, Ihr Geld zu stehlen.
Vishing und Smishing
Phishing hat sich zu einem derart großen Cybersicherheitsproblem entwickelt, dass sich Vishing – „Voice Phishing“, also Phishing per Anruf – als eigene Unterkategorie etabliert hat. Ähnlich verhält es sich mit Smishing, auch SMS-Phishing, bei dem ein Betrüger versucht, Sie mithilfe von SMS in die Falle zu locken.
Ein Beispiel für Smishing im Rahmen eines Pretexting-Betrugs ist eine SMS mit simplem und scheinbar harmlosem Inhalt, die die Bühne für einen größeren Angriff bereitet. Social-Engineering-Vorwände umfassen oft eine komplexe Hintergrundgeschichte, sodass Smishing häufig ein Bestandteil eines groß angelegten Pretexting-Cybersicherheitsangriffs ist.
Tailgating und Piggybacking
Bei Pretexting-Scams, bei denen sich der Betrüger Zutritt zu einem Gebäude oder einer Einrichtung verschaffen muss, kommen zu diesem Zweck häufig
Tailgating- und Piggybacking
-Taktiken zum Einsatz. Während man sich beim Tailgating (tailgate = sich an jemanden dranhängen) hinter einer autorisierten Person in ein Gebäude schleicht, beruht Piggybacking (piggyback = jemanden Huckepack nehmen) eher auf Manipulation als auf Heimlichkeit.
So könnte ein Trickbetrüger, der sich dieser Methode bedient, einer autorisierten Person beispielsweise eine plausible Geschichte erzählen, um sich durch diese List Zutritt zu dem Gebäude zu verschaffen. Er könnte beispielsweise vorgeben, seine Zutrittskarte verloren zu haben, oder sich als Paketkurier ausgeben.
Whaling
In Analogie zum Phishing – dem „Angeln“ nach kleinen Fischen – geht es beim Whaling darum, sozusagen die größten Meeresbewohner zu fangen. Beim Whaling handelt es sich um eine Pretexting-Taktik, bei der hochrangige Mitarbeiter im Rahmen eines groß angelegten Angriffs auf ein Unternehmen manipuliert werden. Selbst Führungskräfte sind anfällig für Spear-Phishing- und Whaling-Angriffe, da sie auf Social Engineering beruhen, das gezielt menschliche Schwächen und Empfindlichkeiten ausnutzt.
Whaling-Angriffe zielen auf hochrangige Personen ab.
Identitätsbetrug
Beim Pretexting gibt sich der Betrüger häufig als offizieller Angestellter, als Mitarbeiter eines Versorgungsunternehmens oder als jemand aus, der nach allgemeiner Auffassung dazu berechtigt oder gezwungen ist, auf sensible Informationen zuzugreifen. Ein solcher Identitätsbetrug muss nicht unbedingt besonders ausgeklügelt sein, da Menschen typischerweise dazu neigen, Autoritätspersonen oder Personen in offizieller Funktion zu respektieren und ihnen Glauben zu schenken.
Ein altbekanntes Beispiel für diese Art von Pretexting-Angriff ist der Tech-Support-Betrug, bei dem sich der Betrüger als Vertreter eines bekannten Konzerns ausgibt, um sich den Remote-Zugang zu Ihrem Gerät zu erschleichen, Sie zum Klicken auf einen schädlichen Link zu verleiten oder Sie zu Zahlungen für erfundene Vorwände zu veranlassen.
Überprüfen Sie Mitteilungen von Unternehmen immer auf ihre Echtheit.
Baiting
Beim Baiting (bait = Köder) geht es darum, ein Opfer mit dem falschen Versprechen auf eine Belohnung, z. B. eine fingierte Rückerstattung oder einen vorgetäuschten Geldgewinn, zum Handeln zu verleiten. Kommt diese Technik bei einem Pretexting-Angriff zum Einsatz, fabriziert der Scammer etwa ein Szenario, in dem sich das Opfer seiner Sache sicher fühlt und den Köder schluckt. Dabei kann er auch Spoofing einsetzen, um den Anschein zu erwecken, dass seine Mitteilungen von einem vertrauenswürdigen Kontakt oder Unternehmen stammen.
Scareware
Scareware ist eine Art Malware, die Sie mit alarmierenden Nachrichten bombardiert, die Sie durch Panikmache und die Androhung schlimmer Folgen zum sofortigen Handeln, beispielsweise zum Download vermeintlicher Virenschutz-Software, verleitet. Indem sie Panik hervorruft, kann Scareware die Opfer dazu bringen, irrational zu handeln und unüberlegte Entscheidungen zu treffen, die sie normalerweise nicht treffen würden.
Scareware will Ihnen vormachen, dass sich Malware auf Ihrem Gerät befindet.
Typische Beispiele für einen Pretexting-Angriff
Fallbeispiele, die tatsächlich stattgefunden haben, umfassen Hackerangriffe auf namhafte Unternehmen und hochrangige Persönlichkeiten sowie Hunderttausende ganz normaler Menschen, die jedes Jahr zum Ziel von Angriffen werden. Hier finden Sie eine Liste gängiger Pretexting-Betrugsfälle:
-
Geschenkkartenbetrug
Scams mit Geschenkkarten beginnen oft mit einer SMS oder E-Mail, in der Sie aufgefordert werden, auf einen Link zu klicken oder Ihre Kontaktdaten anzugeben, um einen Preis in Anspruch zu nehmen.
-
Internet Service Provider Scam
Bei diesem Trick geben sich die Betrüger als Ihr Internetanbieter aus, um Sie zur Preisgabe sensibler Informationen zu bewegen.
-
Betrügerische E-Mail-Informationsabfragen
Diese Pretexting-Angriffe erfolgen über E-Mails mit aufsehenerregenden Betreffzeilen – angeblich aus einer vertrauenswürdigen Quelle.
-
Enkeltrick
Bei diesem Pretexting-Angriff werden Familienangehörige unter Vorspiegelung falscher Tatsachen aufgefordert, einem Verwandten Geld zu überweisen, der sich angeblich in einer Notlage befindet.
-
Liebesbetrug
Von Liebesbetrug spricht man, wenn Ihnen Betrüger eine Online-Beziehung vortäuschen, die dem Anschein nach das Potenzial für eine Romanze im echten Leben hat. Häufig bitten die Scammer um finanzielle Unterstützung (dies wird auch als Catfishing bezeichnet).
-
Venmo-Scams
Venmo-Scams sind eine Form von Online-Zahlungsbetrug. Dabei werden Sie von Scammern dazu überredet, ihnen Geld über die beliebte Zahlungs-App zu überweisen.
In Anbetracht der vielfältigen Ansätze, Personas und Szenarien, mit denen Betrüger ihre Opfer hinters Licht führen, gibt es zu jeder Form von Pretexting-Angriff eine praktisch endlose Anzahl von Variationen. Daher ist diese Art des Online-Betrugs für die Opfer oft so schwer zu erkennen und zu vermeiden.
Pretexting-Angriffe können auch erstaunlich ausgefeilt sein und sich über mehrere Jahre erstrecken, bevor sie auffliegen – so etwa im Fall eines Trickbetrügers, der sich zwischen 2013 und 2015 mit einer Reihe gefälschter Rechnungen 100 Millionen USD über Google und Facebook erschlich.
Worin unterscheiden sich Phishing und Pretexting?
Obwohl Phishing und Pretexting auf den ersten Blick sehr ähnlich wirken, handelt es sich bei Phishing um ein Angriffsmedium, während Pretexting eine Angriffsmethode ist. Es kann zu Überschneidungen kommen, z. B. im Fall einer gezielten Spear-Phishing-E-Mail, deren Absender sich als Freund, Verwandter oder Arbeitgeber der Zielperson ausgibt. Doch obgleich Phishing-Nachrichten bei vielen Pretexting-Angriffen zum Einsatz kommen, ist dies längst nicht immer der Fall.
Woran erkennt man Pretexting-Angriffe?
Pretexting-Angriffe sind grundsätzlich schwer zu erkennen, aber es gibt eine Reihe von Anzeichen, die darauf hindeuten, dass etwas nicht mit rechten Dingen zugeht. Im Folgenden finden Sie einige Warnsignale, die Sie auf diese Art von Betrug aufmerksam machen können:
-
Formulierungen der Dringlichkeit: Um ihre Falle schnell zuschnappen zu lassen, versuchen Pretexting-Betrüger mit Formulierungen wie „so schnell wie möglich“, „sofort“ oder „umgehend“ Handlungsdruck zu erzeugen.
-
Dubiose Anfragen: Seien Sie misstrauisch, wenn Sie gebeten werden, sensible Daten preiszugeben, Geld zu überweisen oder ungewöhnliche Dateien herunterzuladen – auch dann, wenn die Anfrage über die üblichen Kommunikationskanäle erfolgt und authentisch klingt.
-
Falsche Vertrautheit: Seien Sie skeptisch, wenn eine Nachricht mit beiläufigen Bitten aus heiterem Himmel wie „Hast du gerade Zeit?“ oder „Könntest du mir einen Gefallen tun?“ beginnt – selbst wenn sie angeblich von einem Bekannten stammt.
-
Ausreden bei genauerer Nachfrage: Pretexting-Scammer lassen sich oft verschiedene Ausreden einfallen, warum sie ein Thema nicht eingehender besprechen können, damit ihr Opfer gar nicht erst in Versuchung gerät, ihre Forderungen zu hinterfragen oder gegenzuprüfen.
-
Leicht abgewandelte Domänen: Angreifer, die sich als seriöse Anbieter ausgeben, verwenden mitunter E-Mail- oder URL-Domänen, die der vorgetäuschten Webseite ähneln. Auch weist die Absender-E-Mail oder die verlinkten URL möglicherweise leicht zu übersehende Rechtschreibfehler oder Unstimmigkeiten auf.
Wenn Sie einem Pretexting-Scam schließlich auf die Schliche kommen, ist der Phishing- oder Hackerangriff oft schon zu weit fortgeschritten und es wurden bereits Daten geleakt. Dennoch sollten Sie Online-Betrug immer melden und die nötigen Maßnahmen ergreifen, um Ihre kompromittierten Konten und Geräte abzusichern, um Fällen von Identitätsdiebstahl vorzubeugen.
Zu den Anzeichen einer Spoofing-E-Mail gehören gefälschte E-Mail-Adressen, verdächtige Links und fehlende oder fingierte Kontaktinformationen.
So vermeiden Sie Pretexting-Angriffe
Die wichtigste Maßnahme, die ein Unternehmen oder eine Einzelperson ergreifen kann, um Pretexting zu verhindern, besteht darin, sich über E-Mail-Sicherheit und gängige Pretexting-Taktiken zu informieren. Wenn Sie wissen, wie diese Masche funktioniert und worauf Sie achten müssen, können Sie den Betrügern aus dem Weg gehen.
Befolgen Sie diese Schritte, um Pretexting-Scams abzuwehren, die auf Sie und Ihre Daten abzielen:
-
Achten Sie auf Warnsignale wie drängende Formulierungen, gefälschte E-Mail-Adressen oder verdächtige Anfragen.
-
Klicken Sie nicht auf unverifizierte Links und laden Sie keine dubiosen Anhänge herunter.
-
Geben Sie keine sensiblen Informationen an Personen weiter, deren Identität Sie noch nicht überprüfen konnten.
-
Kontaktieren Sie den Absender über einen verifizierten Kanal, um seine Anfrage gegenzuprüfen.
-
Melden Sie verdächtige Mitteilungen Ihren Vorgesetzten und der IT-Abteilung.
-
Melden Sie den Betrug den örtlichen Behörden: Betroffene in den USA können Scams bei der Federal Trade Commission (FTC) anzeigen.
Gesetze gegen Pretexting in den USA
Jede Form der Vorspiegelung falscher Tatsachen in betrügerischer Absicht ist in den USA rechtswidrig. Es ist nicht nur verboten, sich als Mitarbeiter einer Behörde wie der Polizei auszugeben, sondern gemäß dem Telephone Records and Privacy Protection Act von 2006 zum Schutz der Aufzeichnungen von Telekommunikationsunternehmen stellen auch Smishing, Vishing und andere Pretexting-Angriffe Straftaten dar.
Darüber hinaus ist es nach dem Gramm-Leach-Bliley Act illegal, sich durch Betrug oder Täuschung Kundendaten eines Finanzinstituts zu erschleichen oder diese offenzulegen. Schon der Versuch ist strafbar. Damit ist die überwiegende Mehrheit der Pretexting-Sicherheitsverletzungen im Zusammenhang mit persönlichen Bankdaten rechtswidrig.
So beugen Sie Pretexting-Angriffen mit AVG vor
Ganz gleich, wie clever und hellhörig Sie sind – ausgeklügelte Social-Engineering-Techniken können sehr überzeugend sein. Dank der automatischen Bedrohungserkennung, die dazu beiträgt, Phishing-Links zu blockieren, vor gefälschten Webseiten zu warnen, Scareware abzuwehren und Malware in Echtzeit zu isolieren, hilft Ihnen AVG AntiVirus FREE, Online-Betrug zu erkennen, bevor die Falle zuschnappt. Halten Sie Pretexting-Trickbetrüger von Ihren Daten fern. Installieren Sie AVG noch heute – völlig kostenlos.