Foto: SUNG YOON JO - shutterstock.com
Mit Hilfe von Pretexting per E-Mail, Textnachricht oder Sprachanruf erschaffen Cyberkriminelle Scheingründe, um Zugangskontrollen zu umgehen und Daten zu stehlen. Das sollten Sie zum Thema wissen.
Pretexting - Definition
Pretexting ist eine Form von Social Engineering, mit der die Angreifer ihre Opfer dazu bewegen wollen, freiwillig wertvolle Informationen wie etwa Zugangsdaten preiszugeben. Das Alleinstellungsmerkmal von Pretexting ist seine kreative Komponente: Der Angreifer versucht ein frei erfundenes Szenario, beziehungsweise einen falschen Vorwand ("Pretext") zu nutzen, um sein Gegenüber zu überlisten. Dabei übernimmt der Angreifer im Regelfall die Rolle einer Autoritätsperson, die vermeintlich alle Rechte besitzt, auf die betreffenden Informationen zuzugreifen oder die der "helfenden Hand", die das Opfer "unterstützen" will.
Pretexting hat seine Wurzeln im britischen Boulevard-Journalismus: Die Taktiken wurden von Klatschblättern genutzt, um möglichst skandalhaltige News über Prominente und Politiker verbreiten zu können. Heutzutage ist Pretexting ein beliebtes Werkzeug unter Scammern und anderen Cyberkriminellen, um Einzelpersonen oder Unternehmen zu kompromittieren. Besonders interessant sind für die Angreifer dabei persönliche Daten und finanzielle Informationen.
Pretexting - Techniken
Security-Profi Gavin Watson gibt in seinem Buch "Social Engineering Penetration Testing" einen Überblick über die Techniken, die beim Pretexting zur Anwendung kommen. Der wesentliche Part besteht dabei im "Pretext" selbst - also dem Szenario, das genutzt wird, um das Opfer in die Falle zu locken. Dieser wird um zwei Schlüsselelemente herum aufgebaut:
einem fiktiven Charakter, dessen Rolle der Angreifer übernimmt und
einer plausiblen Situation, die dazu passt.
Fehler bei automatischen Zahlungssystemen sind beispielsweise nichts Ungewöhnliches - es ist also durchaus plausibel, dass eine monatliche Abbuchung via Kreditkarte plötzlich (vermeintlich) fehlschlägt und der Zahlungsempfänger direkten Kontakt aufnimmt. Der zu dieser Situation passende Charakter könnte beispielsweise ein Mitarbeiter vom Kundendienst sein, der sich meldet, um den Fehler zu bereinigen. Das Ziel: die Herausgabe von Bank- oder Kreditkartendaten durch das Opfer.
Damit das Opfer in dem oben beschriebenen Betrugsszenario anbeißt, muss der Angreifer möglichst glaubhaft vermitteln, dass er die Person ist, für die er sich ausgibt. Das funktioniert, indem der Angreifer vorab Informationen sammelt, um seine Glaubwürdigkeit zu erhöhen: Der Name der betreffenden Bank oder eine passende Kundennummer sind nur zwei von vielen Beispielen. Generell lässt sich festhalten: Je spezifischer die Informationen sind, die ein Angreifer vorab einholt, desto glaubwürdiger wirkt seine Kontaktaufnahme - und desto werthaltiger sind im Regelfall auch die Informationen, die er im Erfolgsfall bei seinem Prextexting-Angriff erbeutet.
Was die Informationsbeschaffung angeht, stehen Cyberkriminellen viele Wege offen. Den Hausmüll des Opfers zu durchwühlen, ist dabei eher etwas für Oldschool-Spione - im Regelfall setzen die Betrüger auf Open Source Intelligence (OSINT), also Informationen, die öffentlich verfügbar sind (beispielsweise über soziale Netzwerke) und sich zur Erstellung eines "Opferprofils" nutzen lassen. Dank zahlreicher Datendiebstähle sind persönliche Informationen aber auch zuhauf im Darkweb zu finden, beziehungsweise käuflich zu erwerben - zu verhältnismäßig niedrigen Preisen.
Allerdings stehen auch einige technische Methoden zur Verfügung, die sich für Pretexting-Attacken nutzen lassen - etwa Caller ID Spoofing oder gefälschte E-Mails. Diese Methoden sind essenzieller Bestandteil von Phishing-Kampagnen, die wiederum regelmäßig um Pretexting-Szenarios herum aufgebaut werden. Die zielgerichtete Variante von Phishing (Spear Phishing) mündet regelmäßig in einen Pretexting-Angriff, wenn besonders wertvolle "Ziele" getäuscht werden sollen. Pretexting ist darüber hinaus auch ein wesentlicher Bestandteil von Vishing-Kampagnen, also Phishing-Angriffen per Telefon.
Eine Technik, die in diesem Kontext oft unter den Tisch fällt, ist das sogenannte "Tailgating". Dabei handelt es sich um eine gängige (physische) Taktik, um Zugangsschranken zu umgehen, indem man Berechtigten einfach folgt, solange die "Tür" noch offen ist. Im Pretexting-Kontext könnte sich der Angreifer beispielsweise als Klempner oder Pizzalieferant tarnen, um in einen bestimmten Bereich eines Unternehmens zu gelangen. Wie die meisten Social-Engineering-Techniken setzt auch Tailgating auf die Gutgläubigkeit vieler Menschen.
Pretexting - Beispiele
Es gibt einige prominente Beispiele für Pretexting-Angriffe, im Folgenden eine kleine Auswahl:
Im Jahr 2006 engagierte das Management von Hewlett-Packard private Ermittler, die herausfinden sollten, ob Vorstandsmitglieder interne Informationen an die Presse weitergeben. Um ihre Mission zu erfüllen, gaben sich die Ermittler als ebendiese Manager aus (in einigen Fällen wurden sie von HP mit den entsprechenden Sozialversicherungsnummern ausgestattet), um Telefonanbieter dazu zu bringen, Anrufdaten auszuhändigen. Nachdem das Ganze aufgeflogen war, musste Vorstandschefin Patricia Dunn ihren Hut nehmen - darüber hinaus wurden auch die Strafverfolgungsbehörden in der Sache aktiv.
Der Security-Blog KnowBe4 hat ein gutes Beispiel in petto, wie Privatpersonen mit Pretexting-Angriffen ins Visier genommen werden. In diesem konkreten Fall konnte ein Angreifer mit Hilfe von Pretexting die Zwei-Faktor-Authentifizierung der Bank des Opfers umgehen. Der Betroffene sollte - wenn Benutzername und Kennwort geändert werden - einen sechsstelligen Code eingeben, den er von der Bank per Textnachricht erhält. Während die Betrüger genau diese Daten änderten, riefen sie ihr Opfer unter dem Vorwand an, sie seien Mitarbeiter der Bank und hätten ungewöhnliche Kontobewegungen festgestellt. Um seine Identität zu bestätigen, sollte der Bankkunde den soeben verschickten Code kurz zum Abgleich vorlesen. Das Konto des Opfers leer zu räumen, war anschließend die leichteste Übung.
Die Wahrscheinlichkeit, dass Privatleute von Pretexting-Angriffen heimgesucht werden, ist dennoch relativ gering. Die Konten von Unternehmen sind schließlich im Regelfall deutlich interessanter für Cyberkriminelle. So wie das der Hofpfisterei München: Eine Mitarbeiterin der Buchhaltung erhielt eine E-Mail, die vermeintlich von ihrer Chefin stammte - mit der dringenden Anweisung, 1,9 Millionen Euro an ein Konto im Ausland zu überweisen und über den Vorgang absolutes Stillschweigen zu bewahren. Wie sich nach sorgfältiger Erledigung des Tasks herausstellte, wurde das Traditionsunternehmen zum Opfer eines raffinierten, mehrschichtigen Pretexting-Angriffs. Der Fall landete später - nicht nur einmal - vor Gericht, als es um die Kompensation des Schadens ging.
Pretexting - Abwehrmaßnahmen
Der einfachste Weg, Pretexting-Angriffe zu verhindern, ist, sich darüber bewusst zu sein, dass diese Möglichkeit besteht und welche Techniken dabei angewandt werden. Darüber hinaus sollten Pretexting-Attacken auch in Security-Awareness-Initiativen eingebunden werden. Unternehmen sollten - insbesondere, wenn es um die Überweisung von großen Geldbeträgen geht - ein mehrschichtiges Prüfsystem etablieren, damit es gar nicht erst zu Vorfällen wie etwa bei der Hofpfisterei München kommen kann.
Auf persönlichem Level sollten Sie besonders misstrauisch werden, wenn ein Anrufer, der Sie kontaktiert, nach persönlichen Informationen fragt. Wenn Sie sich unsicher sind, beenden Sie lieber das Gespräch und rufen Sie unter der offiziellen Nummer Ihrer Bank zurück, um sicherzugehen, dass Sie nicht zum Opfer eines Betrugs werden.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.