Email Security

    Hinter den Kulissen einer Pretexting-Attacke

    Cyberkriminelle locken ihre Zielpersonen mit plausiblen, personalisierten Geschichten, die die Opfer dazu bringen, sensible Informationen preiszugeben, die zu einem Angriff führen.

    by Stephanie Overby
    65BLOG_1.jpg

    Wichtige Punkte

    • Pretexting ist eine personalisierte Social-Engineering-Technik, die darauf abzielt, Benutzer zur Weitergabe von Anmeldeinformationen und anderen vertraulichen Daten zu verleiten.
    • Für Cyberkriminelle sind Angriffe unter Vorwand arbeitsintensiver - und oft auch effektiver - als Phishing-Angriffe.
    • Künstliche Intelligenz (KI) kann Angriffe unter Vorwand automatisieren und verstärken.
    • Unternehmen können auch fortschrittliche technologische Werkzeuge wie KI einsetzen, um sich gegen Vorwände zu schützen.

    Die massive Verlagerung auf virtuelle Arbeit hat zu einem enormen Anstieg der remote online social engineering (ROSE)-Angriffe auf Unternehmen geführt, von denen viele durch eine als Pretexting bekannte Praxis angeheizt werden. 

    Pretexting bezieht sich im weitesten Sinne auf die Techniken, die Angreifer einsetzen, um Personen davon zu überzeugen, wertvolle Informationen zu liefern, die für den Zugriff auf ansonsten geschützte Systeme, Daten oder physische Standorte erforderlich sind. Bei dieser Taktik geht es in erster Linie darum, dass Möchtegern-Kriminelle eine überzeugende Geschichte - den Vorwand - erfinden, um das Opfer dazu zu bringen, ein Passwort, eine Kontonummer oder einen anderen Dreh- und Angelpunkt auszuhändigen, der für einen Cyberangriff erforderlich ist.[1]

    Im Gegensatz zur Social-Engineering-Variante phishing, die in der Regel auf Dringlichkeit oder Angst setzt, um Personen dazu zu bringen, unwissentlich ihre Passwörter auf einer illegalen Website einzugeben, wird beim Pretexting das Vertrauen des Opfers ausgenutzt. Bewaffnet mit Informationen, die heute leicht aus offenen Quellen oder dem Dark Web zu beschaffen sind, können Cyberkriminelle eine glaubwürdige Geschichte erfinden und längst verschwunden sein, bevor überhaupt jemand bemerkt, dass der Angriff unter einem Vorwand stattgefunden hat.

    Cyberkriminelle nutzen Telefon, SMS, E-Mail - oder eine Kombination davon - um ihre Angriffe unter Vorwand durchzuführen. Technologie-Tools, wie sie von Mimecast angeboten werden, können eingesetzt werden, um ausgeklügelte E-Mail-Angriffe zu unterbinden, Domain- und E-Mail-Spoofing zu verhindern und einen automatischen Schutz gegen Pretexting-Bedrohungen zu bieten.

    Wie - und warum - Pretexting funktioniert

    Pretexting ist hochgradig personalisiert. Für den Angreifer bedeutet dies mehr Aufwand als beispielsweise eine gewöhnliche Phishing-E-Mail. Je spezifischer die persönlichen oder beruflichen Kenntnisse eines Betrügers über seine Opfer sind, desto wahrscheinlicher ist es, dass er wertvolle Informationen von ihnen erhält.

    Laut dem "2022 Data Breach Investigations Report" von Verizon waren 27 % der Social-Engineering-Verstöße, die zu einer bestätigten Weitergabe von Daten an Unbefugte führten, auf Angriffe unter Vorwand zurückzuführen. [2] Aber für hochwertige Ziele ist der ROI eindeutig. Und in vielen Fällen kann Pretexting eine effektivere Methode sein, um Benutzer zur Preisgabe sensibler Informationen zu bewegen als Phishing.[3]

    Ein Cyberkrimineller, der einen Angriff unter einem Vorwand plant, beginnt in der Regel mit der Identifizierung eines Ziels, das über das verfügt, was er braucht - z. B. Zugang zu einem bestimmten System, Kenntnis vertraulicher Informationen oder die Möglichkeit, Geld zu überweisen. Als Nächstes entscheiden sie, wie sie das Gespräch mit der Zielperson einleiten, häufig per E-Mail. Sie können ihre Bemühungen auch verstärken, indem sie eine E-Mail-Domäne oder eine Telefonnummer fälschen, um ihre falschen Identitäten zu untermauern.[4] Schließlich entwickeln sie den Vorwand.

    Da die Person, die den Angriff unter einem Vorwand durchführt, das Opfer dazu bringen muss, sich über die Cybersicherheitsrichtlinien - und oft auch über den gesunden Menschenverstand - hinwegzusetzen, muss ihre Geschichte solide und überzeugend sein. Bei den meisten Angriffen unter Vorwand werden eine plausible Situation und häufig eine fiktive Figur geschaffen, die der Cyberkriminelle in diesem Szenario darstellt.[5] Beide werden durch die anfängliche Sammlung von Informationen über das Opfer und die Organisation vorangetrieben. 

    Pretexting ist im Kern eine Kunst der Überredung. Ein Angriff könnte darin bestehen, dass jemand eine E-Mail verschickt, in der er sich als Mitarbeiter des IT-Teams ausgibt und versucht, ein Problem mit dem Benutzerkonto des Opfers zu beheben. Nach einem angemessenen Hin und Her (bei dem der Betrüger möglicherweise beiläufig persönliche Angaben macht) fragt der falsche Netzwerkadministrator nach den Anmeldedaten des Opfers.[6] Oder der Bedrohungsakteur könnte sich als jemand aus der Personal- oder Finanzabteilung ausgeben, um Informationen aus Mitgliedern der Führungsetage zu erhalten.[7]

    Pretexting in der realen Welt

    Ein Angriff unter einem Vorwand ist selten das Endspiel, sondern eher eine Eröffnungssalve in einer größeren Schlacht. Cyberkriminelle können sich unter einem Vorwand Zugangsdaten oder andere Informationen beschaffen, um in einer Organisation Fuß zu fassen oder deren Infrastruktur anzugreifen.[8] Auch wenn viele erfolgreiche Angriffe unter Vorwänden nie publik werden, gibt es doch zahlreiche Beispiele für finanzielle und andere Verluste, die durch Vorwände herbeigeführt werden.

    Im Juli 2020 beispielsweise verleiteten Angreifer Twitter-Mitarbeiter dazu, ihre Zugangsdaten per Telefon preiszugeben, und konnten so die Kontrolle über 130 Twitter-Konten übernehmen, darunter die von Barack Obama und Kanye West.[9] Die Hacker baten in Tweets um Spenden für eine Bitcoin-Brieftasche und sammelten 110.000 Dollar an Transaktionen, bevor Twitter die Tweets entfernte.

    In manchen Fällen kann das Vorspiegeln von Vorwänden ausgesprochen untechnisch wirken. Im Jahr 2015 verschaffte sich ein Highschool-Schüler Zugang zum persönlichen E-Mail-Konto des damaligen CIA-Direktors John Brennan, nachdem er sich als Techniker von Verizon ausgegeben und einen "Kollegen" dazu gezwungen hatte, persönliche Informationen über den Leiter des obersten Geheimdienstes der Regierung weiterzugeben.[10] Der Student nutzte dann diese Informationen, um Sicherheitsfragen zu beantworten und Zugang zu Brennans E-Mail-Konto zu erhalten. Der junge Hacker veröffentlichte schließlich die persönlichen Daten tausender ehemaliger und aktueller Geheimdienstmitarbeiter der Regierung und teilte Screenshots von sensiblen Dokumenten, die er auf Twitter fand.

    In den letzten Jahren haben sich Hacker fortschrittliche kognitive Datenverarbeitungsfunktionen zunutze gemacht, um ihre Bemühungen um Vorwände zu verstärken. So setzten Cyberbetrüger im März 2019 eine Software mit künstlicher Intelligenz (KI) ein, um dem Geschäftsführer eines britischen Energieunternehmens vorzugaukeln, er spreche mit seinem Chef und überweise auf Anweisung des computergesteuerten Faksimiles 243.000 US-Dollar an den angeblich ungarischen Lieferanten des Unternehmens.[11] Experten sprechen von einer der ersten eindeutig KI-gesteuerten Cyberattacken. Aber es wird wahrscheinlich nicht das letzte Mal sein. 

    Die Quintessenz

    Wenn es darum geht, sich gegen die Bedrohung durch Pretexting zu schützen, ist Sicherheitsschulungen entscheidend. Vorgetäuschte Angriffe zielen darauf ab, menschliches Vertrauen zu manipulieren, um bestimmte Verhaltensweisen hervorzurufen. Daher ist es wichtig, Mitarbeiter, Auftragnehmer und Partner über vorgetäuschte Angriffe aufzuklären. Aber auch bei besserer Ausbildung und Sensibilisierung sind die Mitarbeiter Menschen und immer noch anfällig für Ausbeutung. Hier bieten modernste Cybersicherheits-Tools einen unübertroffenen Mehrwert. 

    Genauso wie Cyberkriminelle die KI nutzen, um ihre Bemühungen um Vorwände zu verstärken, können sich Unternehmen mit ausgefeilten und automatisierten Abwehrmaßnahmen dagegen wappnen. Die Technologie zur Verarbeitung natürlicher Sprache (NLP) analysiert beispielsweise die Sprache und lernt, nach Wörtern und Ausdrücken zu suchen, die häufig für Vorwände verwendet werden. Darüber hinaus nutzt Mimecasts CyberGraph KI, um bösartige Muster zu erkennen, die auf Pretexting hinweisen, und um ausgeklügelte E-Mail-Angriffe zu verhindern. Der DMARC Analyzer des Unternehmens erkennt auch Domain- und E-Mail-Spoofing, das Cyberkriminelle einsetzen, um ihre Bitten legitim erscheinen zu lassen.


    [1] "Was ist Pretexting? Definition, Beispiele und Prävention," CSO Online

    [2] "2022 Data Breach Investigations Report, Verizon

    [3] Ebd.

    [4] "Was ist Pretexting? Definition, Beispiele und Prävention," CSO Online

    [5] "Social Engineering Penetration Testing," Gavin Watson 

    [6] "The Basics of Cyber Safety," John Sammons und Michael Cross, 

    [7] "5 Social-Engineering-Angriffe, auf die man achten sollte," Tripwire

    [8] "2022 Data Breach Investigations Report," Verizon

    [9] "Einige der größten Twitter-Konten der Welt wurden diese Woche gehackt. Hier ist, was wir über die Geschehnisse wissen," Insider

    [10] "Highschool-Schüler hackte sich in das persönliche E-Mail-Konto des CIA-Direktors," The Hacker News

    [11] "Fraudsters Used AI to Mimic CEO's Voice in Unusual Cybercrime Case," WSJ.com

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang