Ein Bedrohungsakteur sendet eine E-Mail an einen Benutzer in einem Unternehmen und gibt sich als Mitarbeiter der IT-Abteilung aus. Sie brauchen ein Passwort f¨¹r eine wichtige Anwendung, und die E-Mail ist ¨¹berzeugend. Sie erw?hnt Aspekte der Anwendung, die nur dem Benutzer bekannt sind, verweist auf eine k¨¹rzlich verschickte Aktualisierungs-E-Mail, die unternehmensweit versandt wurde, und endet sogar mit einem freundlichen Gru?: ?Hoffentlich sehen wir uns n?chste Woche bei der Happy Hour!¡° Solche kleinen Details, die in der gesamten E-Mail verwendet werden, schaffen Vertrauen zwischen dem Benutzer und dem Angreifer und erh?hen die Wahrscheinlichkeit, dass die T?uschung des Angreifers erfolgreich ist.
Dies wird als Pretexting bezeichnet und ist der Kern vieler Social-Engineering-Angriffe, einschlie?lich der Kompromittierung von gesch?ftlichen E-Mails (BEC) und Phishing, die Unternehmen auf der ganzen Welt plagen.
Was ist Pretexting?
Pretexting ist eine falsche Geschichte oder ein falsches Szenario, das von einem Angreifer erfunden wird, um einen Benutzer dazu zu bewegen, Informationen preiszugeben, Zugriff zu gew?hren oder eine andere Handlung auszuf¨¹hren.
Pretexting spielt bei Social-Engineering-Angriffen eine wichtige Rolle, da die Angreifer sie h?ufig nutzen, um Vertrauen aufzubauen und einen ahnungslosen Benutzer davon zu ¨¹berzeugen, eine gew¨¹nschte Aktion auszuf¨¹hren, um sich einen finanziellen Vorteil zu verschaffen oder den Erstzugriff f¨¹r einen gr??eren Angriff zu erlangen.
Bei einem Social-Engineering-Angriff, sei es Phishing, BEC oder eine andere Art von Angriff, ist die erfundene Geschichte, die der Angreifer verwendet, um den Angriff zu starten, der Pretext. Im Fall des MGM Datenschutzversto?es von 2023, bei dem sich ein Mitglied einer Ransomware-Gruppe w?hrend eines Vishing-Angriffs als Mitarbeiter des IT-Supports ausgab, war diese falsche Identit?t der Vorwand, der es dem Cyberkriminellen erm?glichte, Vertrauen zu gewinnen und den Benutzer glauben zu lassen, dass die Anfrage, die er erhielt, legitim war.
Wie funktioniert ein Pretexting-Betrug?
Ein Betrugsversuch unter einem Vorwand umfasst zwei Hauptkomponenten, die beide vom Angreifer erfunden werden: Die Pers?nlichkeit, d. h. die falsche Identit?t, die der b?swillige Akteur annimmt, und die Situation, d. h. das Szenario oder die falsche Geschichte, die der Angreifer benutzt, um sein anvisiertes Opfer zu einer gew¨¹nschten Handlung zu bewegen.
Die Situation, die ein Bedrohungsakteur in seiner Rolle darstellt, kann fiktional, muss aber zumindest glaubw¨¹rdig sein. Im MGM-Szenario nahm der Bedrohungsakteur die Rolle eines ?IT-Support-Mitarbeiters¡° an, und die Situation wurde so dargestellt, dass er den ?Zugriff auf eine Anwendung ben?tigte¡°.
F¨¹r das Opfer war es plausibel, dass sich jemand aus der IT-Abteilung wegen einer Anwendung meldete, weshalb der Mitarbeiter zumindest in diesem Fall dazu verleitet wurde, den unerlaubten Zugriff auf sein Firmenkonto zu gew?hren. BEC ist ein weiterer Angriffsstil, bei dem h?ufig Pretexting verwendet wird. Nachdem ein Bedrohungsakteur ein Konto ¨¹bernommen hat, gibt er sich als eine bekannte Kontaktperson aus oder stellt eine echte Situation nach, w?hrend er Gelder an einen bestimmten Anbieter weiterleitet. Spoofing-Techniken werden ebenso f¨¹r Pretexting-Angriffe verwendet, z.?B. indem eine legitime (oder nahezu legitime, nur mit einem falsch geschriebenen Wort) E-Mail-Adresse bei BEC- und Phishing-Angriffen verwendet wird.
Pretexting-Angriffe k?nnen sich als eine bekannte Kontaktperson oder ein Unternehmen ausgeben, indem sie E-Mail-Adressen, Namen, Titel, Telefonnummern oder andere Details verwenden und echte Informationen aus ?ffentlichen Quellen einschlie?en, um legitim zu erscheinen.
Die Details eines Pretexting-Betrugs variieren je nach Angriff, folgen aber einigen grundlegenden Schritten:
1. Der Bedrohungsakteur bereitet sich auf seinen Angriff vor, indem er die anvisierten Benutzer und das Unternehmen auskundschaftet, um sicherzustellen, dass der Vorwand glaubw¨¹rdig ist. Dieser Schritt beinhaltet in der Regel eine Suche auf LinkedIn und anderen Social-Media-Seiten nach Unternehmens- und Mitarbeiter-Updates, auf der Website des Unternehmens, nach aktuellen Nachrichten der Branche und in anderen Quellen, die ¨¹ber Google leicht zug?nglich sind.
2. Der Bedrohungsakteur kontaktiert den Benutzer per E-Mail, Textnachricht oder ¨¹ber ein anderes Medium.
3. Der Bedrohungsakteur setzt m?glicherweise T?uschungstechniken und vielleicht auch ein wenig Kreativit?t ein, um sich als eine Person auszugeben, der der Benutzer wahrscheinlich vertraut. Dies k?nnte ein Vorgesetzter, jemand aus der Chefetage oder ein interner IT-Mitarbeiter sein.
4. Der Bedrohungsakteur entwirft ein glaubhaftes Szenario, das sich die Psychologie (Dringlichkeit, Empathie, Motivation) zunutze macht, um den Benutzer zu einer gew¨¹nschten Handlung zu verleiten, z.?B. um den Zugriff auf Daten, Anmeldeinformationen oder sogar Geld zu gew?hren.
5. Der Bedrohungsakteur beendet entweder den Angriff oder nutzt das Erhaltene, um einen noch raffinierteren Angriff auf das Unternehmen zu starten.
Wenn sich die oben genannten Schritte wie die eines Phishing-Angriffs anh?ren, liegt das daran, dass beide Taktiken eng miteinander verbunden sind.
Pretexting ist nicht dasselbe wie Phishing, sondern eine Technik, die bei einem Phishing-Angriff eingesetzt werden kann. Pretexting ist die Methode und Phishing das Medium. Wie wir nachgehend erl?utern, wird Pretexting beim Spear-Phishing h?ufiger eingesetzt als beim Broad-Phishing. Der Grund daf¨¹r ist, dass Spear-Phishing im Gegensatz zu den massenhaften ?Pray-and-Spray¡°-Methoden, die bei Standard-Phishing-Angriffen verwendet werden, auf einzelne Benutzer abzielt und auf eine hochgradig personalisierte, ma?geschneiderte Kommunikation angewiesen ist, mit anderen Worten, auf eine umfassendere Vort?uschung, damit der Angriff erfolgreich ist. Dennoch handelt es sich kaum um eine seltene Angriffsform. Dem zufolge machen Pretexting-Angriffe ¨¹ber 40 % der Social-Engineering-Angriffe aus und ¨¹bertreffen damit Phishing (30 %).
Pretexting und die Kompromittierung gesch?ftlicher E-Mails (BEC)
Pretexting spielt eine wichtige Rolle bei BEC-Angriffen. Dies geht so weit, dass demselben Verizon-Bericht zufolge die ?Mehrheit¡° der Pretexting-Angriffe zur Kompromittierung gesch?ftlicher E-Mails f¨¹hrte. Das liegt daran, dass bei BEC die Pers?nlichkeit bereits ausgearbeitet ist. Es handelt sich um eine F¨¹hrungskraft oder einen anderen hochrangigen Mitarbeiter des Unternehmens. Sobald ein Bedrohungsakteur ein E-Mail-Konto ¨¹bernommen hat, kann er Geld, Zugang oder andere wichtige Informationen anfordern, und das oft mit Leichtigkeit.
BEC ist jedoch nur eine Art von Angriffen, die Pretexting erfolgreich nutzen.
Arten von Vorwandangriffen
Da es sich beim Pretexting eher um eine Taktik als um eine bestimmte Art von Angriffsart handelt, kann diese verschiedene Formen annehmen.
Zu den ¨¹blichen Arten von Angriffen unter Vorwand geh?ren:
- Spear-Phishing-Angriffe: Bei diesem E-Mail-basierten Angriff zielt ein Bedrohungsakteur auf einen einzigen, bestimmten Benutzer innerhalb eines Unternehmens ab, um Daten, Anmeldeinformationen oder Gelder zu exfiltrieren. Bei Phishing-Angriffen gibt sich der Bedrohungsakteur h?ufig als eine dem Benutzer bekannte Person aus. Dabei wird oft eine gef?lschte E-Mail-Adresse verwendet, die wie eine bekannte Adresse aussehen soll, z. B. eine Bank oder ein Unternehmen, mit der der Benutzer gesch?ftlich involviert ist.
- Angriffe zur Kompromittierung gesch?ftlicher E-Mails (BEC): Bei BEC-Angriffen gibt sich der Angreifer unter einem Vorwand als leitender Angestellter oder hochrangiger Gesch?ftspartner, als Mitarbeiter der Finanzabteilung oder sogar der Personalabteilung aus und versucht, ¨¹ber dieses Konto Geld aus dem Unternehmen oder von Dritten zu ergaunern, nachdem er sich Zugang zu einem internen E-Mail-Konto verschafft hat.
- Betrug mit Kryptow?hrungen: Bei dieser Form des Angriffs gibt sich der Bedrohungsakteur als Investor aus und bittet den Benutzer um Geld, um in eine Kryptow?hrung zu investieren.
- Romance Scamming (Love Scamming): Bei dieser Angriffsart, die speziell auf Einzelpersonen abzielt, erstellen Bedrohungsakteure gef?lschte Dating-Profile, um an Informationen oder Geld von den Opfern zu gelangen.
- Rechnungsbetrug: Bei diesem Betrug gibt sich der Bedrohungsakteur als Dritter aus und sendet eine Rechnung, die eine Zahlung erfordert oder die eine in der Datei installierte Malware enth?lt. Rechnungsbetrug wird h?ufig bei BEC-Angriffen eingesetzt.
So l?sst sich ein Pretexting-Angriff beenden
Es liegt in der Natur der Sache, dass Pretexting schwer zu unterbinden ist, da es den Opfern als glaubw¨¹rdig und legitim erscheint. Hier k?nnen Schulungen zum Sicherheitsbewusstsein den Unterschied ausmachen.
Die umfassenden Schulungen zum Sicherheitsbewusstsein wurden entwickelt, um Benutzern zu helfen, Social-Engineering-Angriffe wie Pretexting zu erkennen und zu stoppen. Sie nutzen Microlearning, aktuelle Bedrohungstrends und ansprechende Inhalte, um den menschlichen Fehlfaktor eines Unternehmens zu reduzieren und Einzelpersonen dabei zu helfen, Pretexting-Nachrichten zu erkennen.
Eine starke Cybersicherheit sollte jedoch einen Schutz vor mehreren Teilen der Angriffsfl?che bieten. E-Mail-Sicherheits-Tools sollen Unternehmen dabei helfen, diese Bedrohungen in Echtzeit zu erkennen, b?sartige E-Mails aus dem Posteingang zu entfernen, den Zugriff auf b?sartige Links zu blockieren und vieles mehr. Diese Tools erg?nzen das Sicherheitstraining um eine Schutzbarriere und tragen dazu bei, die Anzahl der von Bedrohungsakteuren gesendeten E-Mails zu reduzieren, die in die Posteing?nge der Benutzer gelangen.
Erfahren Sie, wie Arctic Wolf? Managed Security Awareness? Mitarbeiter darauf vorbereitet, Social-Engineering-Angriffe zu erkennen und zu neutralisieren und wie Arctic Wolfs Mimecast-Integration E-Mail-Konten besser gegen Pretexting-Angriffe absichert.
Lesen Sie den Arctic Wolf 2024 Security Operations Report, um zu erfahren, welchen Bedrohungen Ihr Unternehmen ausgesetzt ist.
