Ein Bedrohungsakteur sendet eine E-Mail an einen Benutzer in einem Unternehmen und gibt sich als Mitarbeiter der IT-Abteilung aus. Sie brauchen ein Passwort für eine wichtige Anwendung, und die E-Mail ist überzeugend. Sie erwähnt Aspekte der Anwendung, die nur dem Benutzer bekannt sind, verweist auf eine kürzlich verschickte Aktualisierungs-E-Mail, die unternehmensweit versandt wurde, und endet sogar mit einem freundlichen Gruß: „Hoffentlich sehen wir uns nächste Woche bei der Happy Hour!“ Solche kleinen Details, die in der gesamten E-Mail verwendet werden, schaffen Vertrauen zwischen dem Benutzer und dem Angreifer und erhöhen die Wahrscheinlichkeit, dass die Täuschung des Angreifers erfolgreich ist.
Dies wird als Pretexting bezeichnet und ist der Kern vieler Social-Engineering-Angriffe, einschließlich der Kompromittierung von geschäftlichen E-Mails (BEC) und Phishing, die Unternehmen auf der ganzen Welt plagen.
Was ist Pretexting?
Pretexting ist eine falsche Geschichte oder ein falsches Szenario, das von einem Angreifer erfunden wird, um einen Benutzer dazu zu bewegen, Informationen preiszugeben, Zugriff zu gewähren oder eine andere Handlung auszuführen.
Pretexting spielt bei Social-Engineering-Angriffen eine wichtige Rolle, da die Angreifer sie häufig nutzen, um Vertrauen aufzubauen und einen ahnungslosen Benutzer davon zu überzeugen, eine gewünschte Aktion auszuführen, um sich einen finanziellen Vorteil zu verschaffen oder den Erstzugriff für einen größeren Angriff zu erlangen.
Bei einem Social-Engineering-Angriff, sei es Phishing, BEC oder eine andere Art von Angriff, ist die erfundene Geschichte, die der Angreifer verwendet, um den Angriff zu starten, der Pretext. Im Fall des MGM Datenschutzverstoßes von 2023, bei dem sich ein Mitglied einer Ransomware-Gruppe während eines Vishing-Angriffs als Mitarbeiter des IT-Supports ausgab, war diese falsche Identität der Vorwand, der es dem Cyberkriminellen ermöglichte, Vertrauen zu gewinnen und den Benutzer glauben zu lassen, dass die Anfrage, die er erhielt, legitim war.
Wie funktioniert ein Pretexting-Betrug?
Ein Betrugsversuch unter einem Vorwand umfasst zwei Hauptkomponenten, die beide vom Angreifer erfunden werden: Die Persönlichkeit, d. h. die falsche Identität, die der böswillige Akteur annimmt, und die Situation, d. h. das Szenario oder die falsche Geschichte, die der Angreifer benutzt, um sein anvisiertes Opfer zu einer gewünschten Handlung zu bewegen.
Die Situation, die ein Bedrohungsakteur in seiner Rolle darstellt, kann fiktional, muss aber zumindest glaubwürdig sein. Im MGM-Szenario nahm der Bedrohungsakteur die Rolle eines „IT-Support-Mitarbeiters“ an, und die Situation wurde so dargestellt, dass er den „Zugriff auf eine Anwendung benötigte“.
Für das Opfer war es plausibel, dass sich jemand aus der IT-Abteilung wegen einer Anwendung meldete, weshalb der Mitarbeiter zumindest in diesem Fall dazu verleitet wurde, den unerlaubten Zugriff auf sein Firmenkonto zu gewähren. BEC ist ein weiterer Angriffsstil, bei dem häufig Pretexting verwendet wird. Nachdem ein Bedrohungsakteur ein Konto übernommen hat, gibt er sich als eine bekannte Kontaktperson aus oder stellt eine echte Situation nach, während er Gelder an einen bestimmten Anbieter weiterleitet. Spoofing-Techniken werden ebenso für Pretexting-Angriffe verwendet, z. B. indem eine legitime (oder nahezu legitime, nur mit einem falsch geschriebenen Wort) E-Mail-Adresse bei BEC- und Phishing-Angriffen verwendet wird.
Pretexting-Angriffe können sich als eine bekannte Kontaktperson oder ein Unternehmen ausgeben, indem sie E-Mail-Adressen, Namen, Titel, Telefonnummern oder andere Details verwenden und echte Informationen aus öffentlichen Quellen einschließen, um legitim zu erscheinen.
Die Details eines Pretexting-Betrugs variieren je nach Angriff, folgen aber einigen grundlegenden Schritten:
1. Der Bedrohungsakteur bereitet sich auf seinen Angriff vor, indem er die anvisierten Benutzer und das Unternehmen auskundschaftet, um sicherzustellen, dass der Vorwand glaubwürdig ist. Dieser Schritt beinhaltet in der Regel eine Suche auf LinkedIn und anderen Social-Media-Seiten nach Unternehmens- und Mitarbeiter-Updates, auf der Website des Unternehmens, nach aktuellen Nachrichten der Branche und in anderen Quellen, die über Google leicht zugänglich sind.
2. Der Bedrohungsakteur kontaktiert den Benutzer per E-Mail, Textnachricht oder über ein anderes Medium.
3. Der Bedrohungsakteur setzt möglicherweise Täuschungstechniken und vielleicht auch ein wenig Kreativität ein, um sich als eine Person auszugeben, der der Benutzer wahrscheinlich vertraut. Dies könnte ein Vorgesetzter, jemand aus der Chefetage oder ein interner IT-Mitarbeiter sein.
4. Der Bedrohungsakteur entwirft ein glaubhaftes Szenario, das sich die Psychologie (Dringlichkeit, Empathie, Motivation) zunutze macht, um den Benutzer zu einer gewünschten Handlung zu verleiten, z. B. um den Zugriff auf Daten, Anmeldeinformationen oder sogar Geld zu gewähren.
5. Der Bedrohungsakteur beendet entweder den Angriff oder nutzt das Erhaltene, um einen noch raffinierteren Angriff auf das Unternehmen zu starten.
Wenn sich die oben genannten Schritte wie die eines Phishing-Angriffs anhören, liegt das daran, dass beide Taktiken eng miteinander verbunden sind.
Pretexting ist nicht dasselbe wie Phishing, sondern eine Technik, die bei einem Phishing-Angriff eingesetzt werden kann. Pretexting ist die Methode und Phishing das Medium. Wie wir nachgehend erläutern, wird Pretexting beim Spear-Phishing häufiger eingesetzt als beim Broad-Phishing. Der Grund dafür ist, dass Spear-Phishing im Gegensatz zu den massenhaften „Pray-and-Spray“-Methoden, die bei Standard-Phishing-Angriffen verwendet werden, auf einzelne Benutzer abzielt und auf eine hochgradig personalisierte, maßgeschneiderte Kommunikation angewiesen ist, mit anderen Worten, auf eine umfassendere Vortäuschung, damit der Angriff erfolgreich ist. Dennoch handelt es sich kaum um eine seltene Angriffsform. Dem 2024 Verizon Data Breach Investigations Report zufolge machen Pretexting-Angriffe über 40 % der Social-Engineering-Angriffe aus und übertreffen damit Phishing (30 %).
Pretexting und die Kompromittierung geschäftlicher E-Mails (BEC)
Pretexting spielt eine wichtige Rolle bei BEC-Angriffen. Dies geht so weit, dass demselben Verizon-Bericht zufolge die „Mehrheit“ der Pretexting-Angriffe zur Kompromittierung geschäftlicher E-Mails führte. Das liegt daran, dass bei BEC die Persönlichkeit bereits ausgearbeitet ist. Es handelt sich um eine Führungskraft oder einen anderen hochrangigen Mitarbeiter des Unternehmens. Sobald ein Bedrohungsakteur ein E-Mail-Konto übernommen hat, kann er Geld, Zugang oder andere wichtige Informationen anfordern, und das oft mit Leichtigkeit.
BEC ist jedoch nur eine Art von Angriffen, die Pretexting erfolgreich nutzen.
Arten von Vorwandangriffen
Da es sich beim Pretexting eher um eine Taktik als um eine bestimmte Art von Angriffsart handelt, kann diese verschiedene Formen annehmen.
Zu den üblichen Arten von Angriffen unter Vorwand gehören:
- Spear-Phishing-Angriffe: Bei diesem E-Mail-basierten Angriff zielt ein Bedrohungsakteur auf einen einzigen, bestimmten Benutzer innerhalb eines Unternehmens ab, um Daten, Anmeldeinformationen oder Gelder zu exfiltrieren. Bei Phishing-Angriffen gibt sich der Bedrohungsakteur häufig als eine dem Benutzer bekannte Person aus. Dabei wird oft eine gefälschte E-Mail-Adresse verwendet, die wie eine bekannte Adresse aussehen soll, z. B. eine Bank oder ein Unternehmen, mit der der Benutzer geschäftlich involviert ist.
- Angriffe zur Kompromittierung geschäftlicher E-Mails (BEC): Bei BEC-Angriffen gibt sich der Angreifer unter einem Vorwand als leitender Angestellter oder hochrangiger Geschäftspartner, als Mitarbeiter der Finanzabteilung oder sogar der Personalabteilung aus und versucht, über dieses Konto Geld aus dem Unternehmen oder von Dritten zu ergaunern, nachdem er sich Zugang zu einem internen E-Mail-Konto verschafft hat.
- Betrug mit Kryptowährungen: Bei dieser Form des Angriffs gibt sich der Bedrohungsakteur als Investor aus und bittet den Benutzer um Geld, um in eine Kryptowährung zu investieren.
- Romance Scamming (Love Scamming): Bei dieser Angriffsart, die speziell auf Einzelpersonen abzielt, erstellen Bedrohungsakteure gefälschte Dating-Profile, um an Informationen oder Geld von den Opfern zu gelangen.
- Rechnungsbetrug: Bei diesem Betrug gibt sich der Bedrohungsakteur als Dritter aus und sendet eine Rechnung, die eine Zahlung erfordert oder die eine in der Datei installierte Malware enthält. Rechnungsbetrug wird häufig bei BEC-Angriffen eingesetzt.
So lässt sich ein Pretexting-Angriff beenden
Es liegt in der Natur der Sache, dass Pretexting schwer zu unterbinden ist, da es den Opfern als glaubwürdig und legitim erscheint. Hier können Schulungen zum Sicherheitsbewusstsein den Unterschied ausmachen.
Die umfassenden Schulungen zum Sicherheitsbewusstsein wurden entwickelt, um Benutzern zu helfen, Social-Engineering-Angriffe wie Pretexting zu erkennen und zu stoppen. Sie nutzen Microlearning, aktuelle Bedrohungstrends und ansprechende Inhalte, um den menschlichen Fehlfaktor eines Unternehmens zu reduzieren und Einzelpersonen dabei zu helfen, Pretexting-Nachrichten zu erkennen.
Eine starke Cybersicherheit sollte jedoch einen Schutz vor mehreren Teilen der Angriffsfläche bieten. E-Mail-Sicherheits-Tools sollen Unternehmen dabei helfen, diese Bedrohungen in Echtzeit zu erkennen, bösartige E-Mails aus dem Posteingang zu entfernen, den Zugriff auf bösartige Links zu blockieren und vieles mehr. Diese Tools ergänzen das Sicherheitstraining um eine Schutzbarriere und tragen dazu bei, die Anzahl der von Bedrohungsakteuren gesendeten E-Mails zu reduzieren, die in die Posteingänge der Benutzer gelangen.
Erfahren Sie, wie Arctic Wolf® Managed Security Awareness® Mitarbeiter darauf vorbereitet, Social-Engineering-Angriffe zu erkennen und zu neutralisieren und wie Arctic Wolfs Mimecast-Integration E-Mail-Konten besser gegen Pretexting-Angriffe absichert.
Lesen Sie den Arctic Wolf 2024 Security Operations Report, um zu erfahren, welchen Bedrohungen Ihr Unternehmen ausgesetzt ist.
