Startseite topics Was ist Pretexting? Was ist Pretexting?
Beim Pretexting wird eine erfundene Geschichte verwendet, um die Opfer zu teuren Fehlern zu verleiten. Erfahren Sie, wie Pretexting funktioniert und was Unternehmen dagegen unternehmen können.
Junge Studierende mit Brille in einer schicken Wohnung tippt an der Tastatur eines modernen Laptops mit festnetzunabhängiger Internetverbindung Informationen für eine Hausarbeit ein
Was ist Pretexting?

Beim Pretexting wird eine erfundene Geschichte oder ein Vorwand (engl. Pretext) genutzt, um sich das Vertrauen eines Opfers zu erschleichen und es dazu zu verleiten oder zu bewegen, sensible Informationen weiterzugeben, Malware herunterzuladen, Geld an Kriminelle zu senden oder sich selbst oder dem Unternehmen, für das es arbeitet, auf andere Weise Schaden zuzufügen.

Pretexting ist eine der Haupttaktiken zielgruppenspezifischer Social-Engineering-Angriffe wie Spear-Phishing, Whaling und der Kompromittierung der elektronischen Geschäftskorrespondenz bzw. Business Email Compromise, kurz BEC (siehe unten). Cyberkriminelle und auch ganz gewöhnliche Kriminelle können Pretexting aber auch als eigenständige Methode anwenden, um wertvolle Informationen oder Assets von Einzelpersonen oder Unternehmen zu stehlen.
Funktionsweise von Pretexting: Personen und Situationen

In Social Engineering Penetration Testing (Link befindet sich außerhalb von ibm.com) schreiben die Sicherheitsexperten Gavin Watson, Andrew Mason und Richard Ackroyd, dass sich die meisten als Vorwand erfundenen Geschichten aus zwei Hauptelementen zusammensetzen: einer Person und einer Situation

Die Person ist die Rolle, die der Betrüger in der Geschichte spielt. Um die Glaubwürdigkeit beim potenziellen Opfer zu erhöhen, gibt sich der Betrüger in der Regel als jemand aus, der eine gewisse Weisungsbefugnis gegenüber dem Opfer besitzt, wie z. B. ein Vorgesetzter oder eine Führungskraft, oder als jemand, zu dem das Opfer sehr wahrscheinlich eine Vertrauensbeziehung hat, wie z. B. ein Arbeitskollege, ein IT-Mitarbeiter oder ein Dienstleister. Manche Angreifer versuchen gegebenenfalls auch, sich als Freunde oder Angehörige des Opfers auszugeben.

Die Situation ist das Kernstück der gefälschten Geschichte des Betrügers – der Grund, aus dem die Person das Opfer bittet, etwas Bestimmtes für sie zu tun. Situationen können allgemeiner Natur sein – z. B. „Sie müssen Ihre Kontodaten aktualisieren“ – oder aber sehr konkret, insbesondere dann, wenn die Betrüger ein bestimmtes Opfer ins Visier nehmen.

Um die von ihnen vorgetäuschte Person und die jeweilige Situation jeweils glaubwürdig zu machen, führen Angriffsakteure normalerweise Online-Recherchen über diese Person und ihr Ziel durch. Das ist ja nicht sonderlich schwierig. Laut einem Bericht von Omdia (Link befindet sich außerhalb von ibm.com) können Hacker bereits nach 100 Minuten allgemeiner Google-Recherche auf der Grundlage von Informationen aus Social-Media-Feeds und anderen öffentlichen Quellen eine überzeugende Geschichte fabrizieren.

Andere Techniken, um Personen mehr Glaubwürdigkeit zu verleihen, umfassen das Spoofing der E-Mail-Adresse oder der Telefonnummer der Person oder der schlichtweg unbefugte Zugriff auf das echte E-Mail-Konto oder die echte Telefonnummer der Person und die Verwendung dieser Daten zum Senden der Nachricht. Einen Vorgeschmack darauf, wie Pretexting in Zukunft aussehen könnte, liefert ein Angriff aus dem Jahr 2019, bei dem die Betrüger ein britisches Energieunternehmen um rund 243 000 US-Dollar betrogen, indem sie mithilfe künstlicher Intelligenz (KI) die Stimme des CEO der Muttergesellschaft des Unternehmens imitierten und damit betrügerische Telefonanrufe tätigten, bei denen sie Zahlungen an die Lieferanten des Unternehmens anforderten. 
Pretexting in Aktion: Beispiele

Betrugsmasche: Kompromittierung der elektronischen Geschäftskorrespondenz bzw. Business Email Compromise (BEC)

Kompromittierung der elektronischen Geschäftskorrespondenz bzw. Business Email Compromise (BEC) ist eine besonders hinterhältige Art des zielgruppenspezifischen Social Engineering, die sich stark auf Pretexting stützt. Bei BEC handelt es sich bei der Person um eine reale Führungskraft oder einen hochrangigen Geschäftspartner mit Weisungsbefugnis oder Einfluss auf die Zielperson. Die Situation besteht darin, dass die Person Hilfe bei einer dringenden Aufgabe benötigt – z. B. Ich sitze am Flughafen fest und habe mein Kennwort vergessen – können Sie mein Kennwort für das Zahlungssystem senden (oder können Sie XXX.XXX,XX US-Dollar zur Begleichung der angehängten Rechnung auf das Bankkonto #YYYYYY anweisen)?

BEC gehört Jahr für Jahr zu den kostenintensivsten Varianten der Cyberkriminalität. Laut dem Bericht IBM Cost of a Data Breach 2022 kosten Datenschutzverletzungen aufgrund von BEC die Opfer durchschnittlich 4,89 Millionen US-Dollar. Und gemäß den Daten des Internet Crime Complaint Center des FBI (PDF, 1,3 MB; Link befindet sich außerhalb von ibm.com) hat BEC im Jahr 2021 bei den Opfern einen Gesamtschaden von fast 2,4 Milliarden US-Dollar verursacht.

Betrugsmasche: Kontoaktualisierung

Hier gibt sich der Betrüger als Vertreter eines Unternehmens aus und weist das Opfer auf ein vermeintliches Problem mit seinem Konto hin, z. B. auf ungültige Rechnungsdaten oder einen verdächtigen Kauf. Der Betrüger fügt dabei einen Link ein, mit dem das Opfer auf eine gefälschte Website geleitet wird, auf der dann die Berechtigungsnachweise für die Authentifizierung, Kreditkartendaten, die Bankkontonummer oder die Sozialversicherungsnummer gestohlen werden.

Betrugsmasche: Enkeltrick

Wie viele Social-Engineering-Betrügereien zielt auch diese auf ältere Menschen ab. Der Cyberkriminelle gibt sich als Enkel des Opfers aus und täuscht vor, in Schwierigkeiten zu stecken – z. B. war er/sie angeblich in einen Autounfall verwickelt oder ist verhaftet worden – und die finanzielle Hilfe der Großeltern zu benötigen, um die Krankenhausrechnung bezahlen oder die Kaution hinterlegen zu können.

Betrugsmasche: Liebesbetrug (Romance Scam)

Bei Dating-Betrügereien mit Pretexting gibt der Betrüger bzw. die Betrügerin vor, eine romantische Beziehung mit dem Opfer eingehen zu wollen. Nachdem er bzw. sie das Herz des Opfers gewonnen hat, bittet der Betrüger bzw. die Betrügerin in der Regel um Geld, um ein letztes Hindernis für eine gemeinsame Beziehung zu beseitigen – z. B. drückende Schulden, eine rechtliche Verpflichtung oder sogar die Kosten für ein Flugticket, um das Opfer zu besuchen.

Betrugsmasche: Kryptowährungen

Der Betrüger gibt sich als erfolgreicher Investor mit einer todsicheren Geschäftschance in Kryptowährung aus und leitet das Opfer zu einer gefälschten Kryptowährungsbörse, wo die Finanzdaten oder das Geld des Opfers gestohlen werden. Laut Federal Trade Commission (FTC) (Link befindet sich außerhalb von ibm.com) haben US-Verbraucher zwischen Januar 2021 und März 2022 Verluste in Höhe von mehr als 1 Milliarde US-Dollar durch Krypto-Betrug verzeichnet.

Betrugsmasche: Finanzbehörde/Regierungsbehörde

Der Betrüger gibt sich als Beamter der Finanzbehörde, als Strafverfolgungsbeamter oder als Vertreter einer anderen Regierungsbehörde aus und behauptet, dass sich die Zielperson in irgendeiner Art von Schwierigkeiten befindet – z. B. dass sie ihrer Steuerzahlungspflicht nicht nachgekommen ist oder ein Haftbefehl gegen sie vorliegt –, und fordert die Zielperson auf, eine Zahlung zu leisten, um eine Hypothekenbelastung, eine Lohnpfändung oder eine Gefängnisstrafe zu vermeiden. Die Zahlung geht selbstverständlich auf das Konto des Betrügers. 
Pretexting und andere Varianten des Social Engineering

Pretexting ist eine Schlüsselkomponente vieler Betrugsmethoden mit Social Engineering, so auch der folgenden:

Phishing. Wie bereits erwähnt, ist die Täuschung mittels Pretexting besonders häufig bei ganz gezielten Phishing-Angriffen zu finden, unter anderem beim Spear-Phishing, also Phishing-Angriffen, die auf eine bestimmte Einzelperson abzielen, und beim Whaling, d. h. Spear-Phishing-Angriffen, die auf hochrangige Entscheidungsträger oder Mitarbeiter mit privilegiertem Zugriff auf sensible Informationen oder Systeme abzielen.

Pretexting spielt jedoch auch bei nicht gezieltem E-Mail-Phishing, Voice-Phishing (Vishing) oder SMS-Phishing (Smishing) eine Rolle. Ein Betrüger könnte zum Beispiel eine Textnachricht wie „[NAME DER BANK]: Ihr Konto ist überzogen“ an Millionen von Menschen in der Annahme senden, dass ein gewisser Prozentsatz der Empfänger tatsächlich Kunden der genannten Bank sind und von diesen wiederum ein gewisser Prozentsatz auf die Nachricht reagieren wird.

Tailgating. Beim Tailgating, einer Technik, die gelegentlich auch als „Huckepack-Methode“ bezeichnet wird, folgt eine unbefugte Person einer befugten Person in einen Bereich, der eigentlich eine entsprechende Freigabe erfordert, z. B. in ein sicheres Bürogebäude. Betrüger nutzen Pretexting, um ihre Tailgating-Versuche erfolgreicher zu gestalten – indem sie sich beispielsweise als Zusteller ausgeben und einen ahnungslosen Mitarbeiter darum bitten, eine verschlossene Tür für sie zu öffnen. 

Baiting (Ködern). Bei dieser Art von Angriffen verleitet ein Krimineller die Opfer dazu, Malware herunterzuladen, indem er sie mit einem attraktiven, aber manipulierten Köder lockt. Bei diesen Ködern kann es sich um physische Objekte handeln (z. B. um USB-Sticks mit vorab gespeichertem schädlichem Programmcode, die unübersehbar an öffentlich zugänglichen Orten abgelegt wurden) oder um digitale Objekte (z. B. kostenlose Downloads von Filmen, die sich im Nachhinein als Malware entpuppen). Betrüger setzen Pretexting häufig ein, um den Köder noch verlockender zu machen. Beispielsweise könnte ein Betrüger Etiketten auf einem manipulierten USB-Laufwerk anbringen, um zu suggerieren, dass es zu einem bestimmten Unternehmen gehört und wichtige Dateien enthält. 
Gesetze gegen Pretexting

Mehrere branchenspezifische Gesetze zielen explizit auf Pretexting ab. Das im Jahr 1999 in den Vereinigten Staaten unter dem Namen „Gramm-Leach-Bliley Act“ (GLB Act oder GLBA) erlassene Bundesgesetz stellt Pretexting unter Strafe und macht die Beschaffung der Finanzdaten von Kunden unter Vorspiegelung falscher Tatsachen zu einem Verbrechen. Außerdem verpflichtet es die Finanzinstitute zur Schulung ihrer Mitarbeiter im Erkennen und Verhindern von Pretexting. Der US-amerikanische „Telephone Records and Privacy Protection Act“ aus dem Jahr 2006 verbietet ausdrücklich die Anwendung von Pretexting, um an Kundendaten eines Telekommunikationsanbieters zu gelangen.

Im Dezember 2021 schlug die US-amerikanische Behörde Federal Trade Commission (FTC) eine neue Vorschrift vor (Link befindet sich außerhalb von ibm.com), die es ausdrücklich untersagt, sich durch Identitätsmissbrauch als Regierungsbehörde oder Unternehmen auszugeben. Diese Vorschrift würde die FTC ermächtigen, ein Verbot gängiger Taktiken zur Vorspiegelung falscher Tatsachen (Pretexting) durchzusetzen, wie z. B. die nicht genehmigte Verwendung des Logos eines Unternehmens, die Erstellung einer gefälschten Website, die ein seriöses Unternehmen nachahmt, und das Fälschen elektronischer Geschäftskorrespondenz (Spoofing).
Cybersicherheitsmaßnahmen gegen Pretexting

Wie auch bei jeder anderen Form von Social Engineering kann sich die Bekämpfung von Pretexting als schwierig erweisen, da hierbei weniger technische Schwachstellen ausgenutzt werden, die ja beseitigt werden können, sondern vielmehr die Schwächen der menschlichen Psyche. Es gibt jedoch wirksame Maßnahmen, die Unternehmen ergreifen können.

  • Domain-based Message Authentication, Reporting and Conformance (DMARC): DMARC ist ein Protokoll für die Authentifizierung von E-Mails, das Spoofing verhindern kann. DMARC überprüft, ob eine E-Mail auch tatsächlich von der Domäne gesendet wurde, von der sie angeblich stammt. Wird eine E-Mail als gefälscht erkannt, kann sie automatisch in einen Spamordner umgeleitet oder gelöscht werden.

  • Andere Techologien für Cybersicherheit: Zusätzlich zu DMARC können Unternehmen KI-gestützte E-Mail-Filter implementieren, die Phrasen und Betreffzeilen erkennen, die bei bereits bekannten Pretexting-Angriffen verwendet werden. Ein sicheres Web-Gateway kann Benutzer daran hindern, den in Phishing-E-Mails enthaltenen Links zu verdächtigen Websites zu folgen. Wenn sich ein Angreifer per Pretexting Zugang zum Netz verschafft, können Technologien für Cybersicherheit wie etwa Plattformen mit Lösungen für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR) schädliche Aktivitäten abfangen.
     
  • Schulung des Sicherheitsbewusstseins: Da beim Pretexting Menschen unter Nennung fiktiver Vorwände dazu gebracht werden, ihre eigene Sicherheit zu gefährden, kann es zum Schutz eines Unternehmens beitragen, wenn Mitarbeiter darin geschult werden, Betrugsversuche per Pretexting zu erkennen und richtig darauf zu reagieren. Experten empfehlen, Simulationen auf der Grundlage von Pretexting-Beispielen aus der Praxis durchzuführen, um Mitarbeitern zu helfen, zwischen vorgetäuschten und echten Anfragen von Kollegen zu unterscheiden. Die Schulung kann auch klare Protokolle für den Umgang mit wertvollen Informationen, die Genehmigung von Zahlungen und die Überprüfung von Anforderungen bei ihren vermeintlichen Quellen umfassen, bevor diesen stattgegeben wird. 
Zugehörige Lösungen
Social-Engineering-Services von IBM X-Force

Stellen Sie Ihre Mitarbeiter durch Phishing-, Vishing- und physische Social-Engineering-Übungen mit den Social-Engineering-Services von X-Force Red auf die Probe.

Social-Engineering-Services erkunden
Services für Bedrohungsmanagement

Schützen Sie Ihr Unternehmen mit einem intelligenten, integrierten und einheitlichen Ansatz für Bedrohungsmanagement, der Sie dabei unterstützt, komplexe Bedrohungen zu erkennen, schnell und präzise zu reagieren und den Betrieb nach Störungen wieder aufzunehmen.

Services für Bedrohungsmanagement erkunden
Ransomware-Lösungen

Integrieren Sie KI, Analytik und Deep Learning für proaktiven Schutz, maschinelles Lernen zur genaueren Erkennung sowie Automatisierung und Analyse zwecks schnellerer Reaktion.

Lösungen zum Schutz vor Ransomware erkunden
Ressourcen Was ist Phishing?

Phishing-Betrug verleitet die Opfer dazu, sensible Daten preiszugeben, Malware herunterzuladen und sich selbst oder ihr Unternehmen der Cyberkriminalität auszusetzen.

 Was ist Social Engineering?

Angriffe per Social Engineering beruhen weniger auf technischem Hacking, sondern machen sich vielmehr die menschliche Natur zunutze: Sie verleiten Menschen dazu, ihre persönliche Sicherheit oder die Sicherheit eines Unternehmensnetzes zu gefährden.

 Was ist mobile Sicherheit?

Erfahren Sie, was mobile Sicherheit ist, warum sie wichtig ist und wie sie funktioniert.
Machen Sie den nächsten Schritt

Social Engineering ist eine der gängigsten Angriffsmethoden, die Kriminelle anwenden, um Mitarbeiter zum Herunterladen von Malware zu verleiten, wobei sie glaubwürdige Vorwände verwenden, um den Weg für eine Sicherheitsgefährdung zu ebnen. Die Social-Engineering-Services von IBM X-Force Red bieten eine Vielzahl von Ansätzen, um Ihre Mitarbeiter auf die Probe zu stellen und Ihre Schwachstellen gegenüber digitalen und physischen Social-Engineering-Taktiken aufzudecken.

Social-Engineering-Services von X-Force Red erkunden