Pretexting Informationsdiebstahl mit Vorwand

Von Lukas Böhl  

Mit diesem fiesen Trick versuchen Cyberkriminelle an Ihre Daten zu gelangen. So schützen Sie sich davor.

 Foto: DRogatnev / shutterstock.com
Foto: DRogatnev / shutterstock.com

Pretexting: Definition

Pretexting ist eine Form des Informationsdiebstahls, bei der die Täter durch einen fingierten Vorwand das Vertrauen ihres Opfers gewinnen und dieses so zur Herausgabe von sensiblen Informationen verleiten. Pretexting stammt von dem englischen Wort „pretext“, zu Deutsch Vorwand, und bedeutet so viel wie: einen Vorwand schaffen. Pretexting ist eine Taktik des Social Engineerings, also der gezielten Beeinflussung von Einstellungen und Verhalten mit sozialen Mitteln.

Wie sieht ein typischer Vorwand aus?

Um an Ihr Ziel zu gelangen, machen sich die Täter laut der Infobroschüre „Verhaltensregeln zum Thema Social Engineering“ von Deutschland sicher im Netz e.V. (DsiN) und DATEV grundlegende menschliche Emotionen zunutze:
 

  • Wünsche: Gegenhilfe, Profilierung, materieller Gewinn usw.
  • Ängste: Geld oder Ansehen zu verlieren, durch Unwissenheit aufzufallen, Ablehnung usw.
  • Automatische Reaktionen und Charaktereigenschaften: Vertrauen in Autoritäten, Nervosität unter Druck, Gutgläubigkeit, Hilfsbereitschaft usw.

Sie erfinden einen Vorwand, der beim Opfer ein bestimmtes Gefühl hervorruft, das seinen rationalen Verstand umschifft und ihn zur Herausgabe sensibler Informationen veranlasst. Die Methoden sind so unterschiedlich, wie die Menschen, die Ziel der Attacken werden und reichen von gefälschten Bank-Emails über Fake-Profile auf Social-Media- oder Dating-Portalen bis hin zu Kontakt im echten Leben. In diesem Zusammenhang nutzen die Täter auch gerne die Autoritätshörigkeit ihrer Opfer aus, indem sie sich als Bankangestellte, Polizisten oder Handwerker ausgeben, die beim Lösen eines dringenden – natürlich fingierten – Problems behilflich sein wollen. Letztlich geht es jedoch nur darum, dass das Opfer sensible Daten preisgibt.

Welche Arten von Pretexting gibt es?

Da gerade gezielte Angriffe auf Unternehmen oder wichtige Führungspersönlichkeiten jedes Mal eine gut durchdachte, auf die Zielperson abgestimmte Strategie erfordern, lässt sich daraus kein allgemeingültiges Muster für den Ablauf des Pretexting ableiten. Die Formen passen sich an die Ziele an. Nachfolgend sind einige Beispiele aufgelistet, die veranschaulichen, wie Pretexting ablaufen könnte:

Enkeltrick: Dabei geben sich die Täter als die Enkel älterer Menschen aus und bitten diese aus einer vermeintlichen Notsituation heraus um finanzielle Unterstützung.

Servicetechniker: Hierbei gibt sich einer der Täter zum Beispiel als Kontrolleur für Feuerlöscher aus, der eine außerplanmäßige Inspektion in einer Firma durchführen muss. Mit etwas Geschick umgeht er so die Sicherheitskontrolle und verschafft sich Zugang zum Gebäude.

Liebesbetrüger: Dieser Trick richtet sich vor allem an Single-Frauen oder -Männer, die auf Online-Singlebörsen plötzlich von attraktiven Nutzern umgarnt werden. Sie gaukeln ihren Opfern unsterbliche Liebe vor und beginnen irgendwann Forderungen nach Geld zu stellen.

Phishing: Phishing oder der Versuch, an Passwörter und andere persönliche Daten zu gelangen, beschränkt sich nicht mehr nur auf Spam-Emails, sondern wird mittlerweile auch mit Hilfe von SMS (Smishing) und Telefonanrufen (Vishing) betrieben.

Lesen Sie auch: So schützt man sich vor Spam

Aus welchem Grund wird Pretexting angewandt?

In Filmen werden Hacker oft als menschenscheue Supernerds dargestellt, die aus der Isolation ihres Kellers heraus durch technische Finesse die Sicherheitssysteme von Firmen oder Regierungen lahmlegen. Doch in der Realität verstecken sich die größten Schwachstellen nicht irgendwo im Code einer Software, sondern sitzen vor dem Bildschirm.

Durch geschicktes Manipulieren und Täuschen eines Mitarbeiters wird er zum Einfallstor für Cyberangriffe. Die Täter drängen ihre Opfer gezielt in Situationen, in denen der Verstand bei der Entscheidungsfindung umgangen wird und die Emotionen übernehmen.

Haben Sie damit Erfolg, ist diese Methode günstiger, leichter und zeitsparender als der Versuch, Schwachstellen im Quelltext für ihren Angriff zu nutzen.

Lesen Sie auch: So unsicher sind Ihre Daten im Internet

Warum funktioniert das Pretexting?

Laut dem Verein Deutschland sicher im Netz (DsiN) gilt der Mensch als größter Risikofaktor im Bereich der IT-Sicherheit. Das liegt vor allen Dingen an unserer Sozialisierung; von klein auf lernen wir, uns kooperativ zu verhalten. So fällt es uns schwer, anderen einen dringenden Wunsch abzuschlagen oder sie zu enttäuschen, insbesondere wenn es sich um Autoritätspersonen handelt, die Ehrfurcht in uns hervorrufen. Kriminelle nutzen diese angelernten Verhaltensmuster schamlos aus, um ihre Zielpersonen zu beeinflussen.

Wie kommen die Täter an Informationen?

Während man früher eine Zielperson im echten Leben beschatten und ihren Müll durchwühlen musste, um an Informationen über sie zu gelangen, bietet das Internet den Tätern heutzutage eine Fülle an frei zugänglichen Daten. Die Täter schrecken auch nicht davor zurück, sich Fake-Profile auf sozialen Netzwerken anzulegen, um sich nach und nach in den Kreis der Zielperson einzuschleusen, sollte diese etwas mitteilungsscheuer in den sozialen Netzwerken sein.

Wie schützen Sie sich gegen Pretexting?

Der DsiN schlägt ein gesundes Maß an Misstrauen zum Schutz gegen Pretexting vor. Das gilt sowohl im privaten als auch im beruflichen Umfeld. Wann immer jemand sensible Daten von Ihnen haben möchte, sollten Sie hellhörig werden. Dabei ist es egal, ob derjenige Sie per E-Mail, SMS, Telefon oder persönlich kontaktiert. Selbst Anfragen von vermeintlich seriösen Einrichtungen wie Banken oder der Polizei sollten Sie mit Vorsicht behandeln.

Klicken Sie in unerwarteten Nachrichten niemals auf Links oder Anhänge. Suchen Sie stattdessen im Internet nach einer offiziellen Nummer der Behörde oder des Unternehmens, das Sie kontaktiert hat, und fragen Sie dort nach, was es mit der Anfrage auf sich hat.

In persönlichen Gesprächen sollten Sie so viele Gegenfragen wie möglich stellen, um mehr über die Person herauszufinden und sie im besten Fall zunächst vertrösten. So können Sie in Ruhe Nachforschungen zur Vertrauenswürdigkeit derselben anstellen.

Im beruflichen Umfeld sollten Sie stets auf den offiziellen Dienstweg zur Datenweitergabe verweisen. Auch hilft es, ein Bewusstsein für die eigene Anfälligkeit für solche Tricks zu entwickeln. Wenn wir von entsprechenden Fällen in den Medien hören, tun wir die Opfer schnell als gutgläubig oder naiv ab, obwohl wir die Hintergründe nicht kennen. Es kann jeden treffen.

Falls Sie Opfer eines Informationsdiebstahls werden, melden Sie den Vorfall umgehend an Ihre örtliche Polizeidirektion.

Weitere nützliche Links zum Thema Datendiebstahl :