Was ist Pretexting in Cybersicherheit?
Bedeutung von Pretexting
Pretexting ist eine Art Social Engineering, bei der Angreifer ein erstelltes Szenario oder „Pretext“ erstellen, um Einzelpersonen zu manipulieren, vertrauliche Informationen preiszugeben. Im Gegensatz zu herkömmlichen Hacking-Methoden, die Systemschwachstellen ausnutzen, zielt Pretexting auf menschliche Schwachstellen ab und nutzt Täuschung, um vertrauliche Informationen zu extrahieren.
Vortexte verstehen: Eine Social Engineering-Taktik
Haben Sie jemals einen unaufgeforderten Anruf von jemandem im Bereich „Tech Support“ zu einem Problem erhalten, das Ihre sofortige Aufmerksamkeit erfordert? Vielleicht fragt der Anrufer nach persönlichen Informationen oder Kontodaten, um sich sofort um das Problem zu kümmern. Dieses Szenario fasst eine Social-Engineering-Methode zusammen, die als Pretexting bekannt ist.
Meistens telefonisch erfolgt die Vortexterstellung durch die Schaffung einer Situation, die das Ziel davon überzeugt, persönliche oder wertvolle Informationen preiszugeben. Der Betrüger gibt vor, jemand zu sein, der legitim oder vertraut ist, damit sich das Ziel wohlfühlt – ein Kundendienstmitarbeiter von seinem Internetdienstanbieter, ein Kollege aus einer anderen Filiale oder einem anderen Büro oder jemand aus dem technischen Support des Unternehmens. Kriminelle sammeln manchmal vorher Informationen über das Ziel, um den Betrug glaubwürdiger erscheinen zu lassen.
Das Problem besteht darin, einen Betrüger von einem legitimen Anrufer zu unterscheiden. Im Allgemeinen sollten Sie überprüfen, ob der Anrufer legitim ist, wenn Sie einen unaufgeforderten Anruf erhalten und der Anrufer beginnt, nach personenbezogenen Informationen zu fragen (Sozialversicherungsnummer, Kontosicherheitsfragen). Legen Sie auf und rufen Sie das Unternehmen selbst an, um zu bestätigen, ob es wirklich ein Problem gibt.
Funktionsweise von Pretexting: Schritt-für-Schritt-Aufschlüsselung
- Zielforschung – Angreifer führen umfangreiche Recherchen durch, indem sie Ressourcen wie Open-Source Intelligence (OSINT), soziale Medien oder frühere Datenschutzverletzungen verwenden, um persönliche oder Unternehmensinformationen zu sammeln.
- Identität – Angreifer übernehmen die Identität einer vertrauenswürdigen Einheit, wie z. B. IT-Mitarbeiter, einen CEO oder einen Strafverfolgungsbeamten. Durch die Nutzung von Autorität schaffen sie ein Gefühl der Legitimität, wodurch Opfer eher dazu neigen, sich zu halten.
- Spoofing – Um die Glaubwürdigkeit zu verbessern, verwenden Angreifer E-Mail-Spoofing, Anrufer-ID-Spoofing oder gefälschte Online-Profile. Deepfake-Technologie und KI-generierte Stimmen erschweren die Erkennung weiter.
- Gewinnen des Vertrauens des Ziels – Durch psychologische Manipulation stellen Angreifer Glaubwürdigkeit her und reduzieren den Verdacht.
- Extrahieren sensibler Informationen – Das Opfer stellt unwissentlich vertrauliche Informationen zur Verfügung und glaubt, dass es mit einer legitimen Entität interagiert.
- Ausnutzung der erhaltenen Daten – Die gestohlenen Informationen werden für Identitätsdiebstahl, Finanzbetrug, Unternehmensspionage oder weitere Cyberangriffe verwendet.
Häufige Beispiele für Vortextangriffe
Vishing
Voice Vishing, auch Vishing genannt, ist eine Art Social Engineering-Angriff, bei dem Angreifer Telefonanrufe oder sprachbasierte Kommunikation verwenden, um jemanden dazu zu bringen, sensible Informationen wie Bankkontodaten, Anmeldedaten oder persönliche Identifikationsinformationen (PII) offenzulegen.
Phishing
Phishing ist eine Art von Cyberangriff, bei dem Cyberkriminelle betrügerische E-Mails oder Nachrichten verwenden, um Personen dazu zu bringen, sensible Informationen preiszugeben. Diese E-Mails oder Nachrichten enthalten bösartige Links, die private Informationen des Benutzers stehlen können. Phishing-Angriffe sind am effektivsten, wenn Benutzer nicht wissen, dass dies geschieht.
Abbildung 1. Infektionskette des Phishing-Angriffs von Heatstroke; beachten Sie, dass sich die Infektionskette je nach Benutzer-/Verhaltenseigenschaften ändern könnte
Tailgating
Ein Angriff im Bereich Cybersicherheit ist eine physische Sicherheitsverletzung, bei der eine unbefugte Person physischen Zugang zu einem eingeschränkten Bereich erhält, indem sie eine autorisierte Person genau verfolgt. Angreifer können sich als neue Mitarbeiter, Lieferfahrer oder Wartungsmitarbeiter ausgeben, um autorisierte Mitarbeiter zu täuschen.
Ködern
Baiting bezieht sich auf die Handlung von Cyberkriminellen, die Opfer dazu verleiten, mit kompromittierten physischen Geräten oder digitalen Assets zu interagieren. Angreifer verwenden Vortexting, um den Köder für das Opfer attraktiver zu machen, indem sie ein USB-Laufwerk mit einem irreführenden Namen kennzeichnen, wie z. B. „Vertraulich“ oder „Mitarbeitergehälter“ in Unternehmensumgebungen, um die Opfer zu ermutigen, es anzuschließen.
Romantik-Betrug
Ein Romance Scam ist eine Social Engineering-Taktik, bei der ein Angreifer gefälschte Social Media oder Dating-Profile verwendet, um ahnungslose Opfer zu finden und eine romantische Beziehung zu ihnen aufzubauen. Es kann Wochen oder Monate dauern, bis der Angreifer das Vertrauen des Opfers erlangt, aber sobald dies erreicht ist, wird er für einen gefälschten Notfall oder Geschenke um große Geldbeträge bitten.
Scareware-Betrug
Scareware ist eine Art Social Engineering-Betrug, bei dem Opfer mit falschen Alarmen und Bedrohungen eingeschüchtert werden. Anwender könnten davon überzeugt werden, dass ihr System mit Malware infiziert ist. Sie werden dann ermutigt, bösartige Websites zu besuchen, um eine Lösung herunterzuladen, aber stattdessen laden sie Malware herunter oder geben sensible Informationen wie Kartendaten weiter.
Vortexting vs. Phishing: Was ist der Unterschied?
Während beide Social Engineering-Taktiken sind, umfasst das Pretexting direkte, personalisierte Interaktion und Täuschung, während Phishing typischerweise Massen-E-Mails mit bösartigen Links verwendet. Cyberkriminelle kombinieren jedoch häufig beide Methoden bei mehrschichtigen Angriffen.
So verhindern Sie Vortextangriffe
DMARC (domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität)
DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mail-Spoofing verhindert, indem es die Echtheit von E-Mail-Sendern überprüft. DMARC arbeitet mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zusammen, um E-Mail-Authentifizierung und -Integrität zu gewährleisten.
- SPF (Sender Policy Framework): Stellt sicher, dass nur autorisierte E-Mail-Server Nachrichten im Namen der Domain einer Organisation senden können.
- DKIM (DomainKeys Identified Mail): Verwendet kryptografische Signaturen, um zu überprüfen, ob E-Mail-Nachrichten während der Übertragung nicht geändert wurden.
- Durchsetzung der DMARC-Richtlinie: Organisationen können Richtlinien festlegen (keine, Quarantäne oder Ablehnung), um festzulegen, wie E-Mails mit fehlgeschlagener Authentifizierung gehandhabt werden sollten. Eine strenge DMARC-Richtlinie kann die Wahrscheinlichkeit erheblich verringern, dass Angreifer Domain-Spoofing für Pretexting-Angriffe verwenden.
Stärkung des Bewusstseins und der Sicherheitspraktiken der Mitarbeiter
Regelmäßige Cybersicherheitsschulungen zur Schulung von Mitarbeitern, um Betrugsvorwürfe zu identifizieren und entsprechend zu reagieren, können dazu beitragen, Ihr Unternehmen zu schützen. Organisationen sollten Folgendes betonen:
- Erkennen verdächtiger Anfragen und Überprüfen ihrer Legitimität.
- Kontaktaufnahme mit dem Antragsteller über offizielle Kanäle, bevor sensible Daten weitergegeben oder Finanztransaktionen genehmigt werden.
- Erkennen psychologischer Manipulationstechniken, die bei Pretexting-Angriffen verwendet werden.
Multi-Faktor-Authentifizierung (MFA)
MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem mehrere Authentifizierungsfaktoren, wie z. B. ein einmaliger Sicherheitscode oder biometrische Überprüfung, für den Zugriff auf Konten erforderlich sind. Dies reduziert das Risiko, dass Angreifer gestohlene Zugangsdaten missbrauchen.
Meldung verdächtiger Aktivitäten
Unternehmen sollten Mitarbeiter dazu ermutigen, verdächtige Anrufe, E-Mails oder Nachrichten zur weiteren Untersuchung an das IT-Sicherheitsteam zu melden. Mit einem proaktiven Meldemechanismus können Unternehmen potenzielle Bedrohungen erkennen und darauf reagieren, bevor sie eskalieren.