Der Pretext ist ein Instrument für sogenannte Pretexting-Angriffe, die in die Kategorie Social Engineering fallen. Auch hier kann sich der Faktor Mensch als Risiko erweisen.
Wir verraten Ihnen nun, was ein Pretext im Detail ist, wie solche Angriffe funktionieren und wie Sie Ihr Unternehmen schützen können.
Social Engineering — von CEO-Betrug bis hin zu Vorwänden
Cyberkriminelle verlassen sich auf das Urvertrauen (oder sogar Leichtgläubigkeit) der Mitarbeiter. Es geht also weniger darum, mithilfe von technologisch ausgeklügelter Schadsoftware die Systeme von Unternehmen zu infiltrieren, sondern vielmehr darum, Mitarbeiter auszunutzen, die nichts Schlimmes ahnen und unwissentlich zu den Helfern der Hacker werden. Das sogenannte Vortäuschen ist jedoch nur ein mögliches Angriffsszenario. Es ist auch „beliebt“, sich beispielsweise mit gefälschten E-Mail-Adressen als der CEO des Opferunternehmens auszugeben und Zahlungsaufträge zu bestellen.
Der besondere Vorteil für Cyberkriminelle ist, dass gut ausgeführte Social-Engineering-Angriffe in der Regel recht erfolgreich sind. Sogar das renommierte Tech-Magazin t3n ist bereits auf CEO-Betrug hereingefallen. Aber zurück zum Pretext (Vorwand): Es ist eine Art Tool zum Geschichtenerzählen. Sein Ziel: Vertrauliche Daten und/oder Login-Informationen.
Vorwand oder echte Botschaft? Im Zweifelsfall ist es besser, den Chef oder Kollegen anzurufen. Bild: Pexels/Karolina Grabowska
Vorwand — das Storytelling von Cyberkriminalität
Um einen Vorwand erfolgreich zu nutzen, muss der Angreifer zunächst tatsächlich „arbeiten“. In der Regel recherchiert er so viele Informationen wie möglich über sein Opfer im Internet, anderen, öffentlichen Quellen oder gegebenenfalls im Darknet. Der große Unterschied zum klassischen Phishing ist daher der hohe Individualisierungsgrad von Pretexting-Attacken. Anstatt also einfach Massen-E-Mails a la á „Ihr Konto wurde gesperrt, überprüfen Sie hier bitte Ihre Anmeldedaten“ zu versenden, ist ein Pretexting-Angriff zu 100 Prozent auf seinen Empfänger zugeschnitten.
Das Ziel? Maximales Vertrauen des ahnungslosen Opfers. Die Geschichte hinter dem Angriff muss daher so dicht, glaubwürdig und plausibel wie möglich sein. Geduld ist ebenfalls gefragt, denn Vorwände suggerieren in der Regel keine falsche Dringlichkeit. Schließlich könnte dies Misstrauen erregen. Vortäuschen ist also mehr oder weniger die Kunst der (subtilen) Überzeugung. Generell gilt: Je überzeugender die Geschichte ist, desto größer sind die Erfolgschancen.
Pretexting-Szenarien
Cyberkriminelle sind flexibel bei der Wahl ihrer Mittel. Egal, ob es sich um eine E-Mail, eine WhatsApp-Nachricht, einen herkömmlichen Telefonanruf, ein persönliches Gespräch oder eine Kombination aus allem handelt. Das Gleiche gilt für die vermeintliche Identität. Die Betrüger geben sich entweder als Chef, Buchhalter, Geschäftspartner, Personalleiter oder oberstes Vorstandsmitglied aus. Die Hauptsache ist, dass die Geschichte stimmt und der Kontext passt.
Darüber hinaus ist „altmodisches“ Phishing seit langem rückläufig. Nicht nur Virenscanner und Firewalls sorgen dafür, dass Phishing-Angriffe rechtzeitig erkannt werden — viele Menschen lassen sich auch nicht mehr so leicht dafür verantwortlich machen wie noch vor einigen Jahren. Leider ist die Situation anders, wenn es um Social Engineering geht. Da die Angriffe einen völlig anderen methodischen Ansatz verfolgen, (immer noch) relativ selten sind (wegen der hohen Kosten für Cyberkriminelle) und die Menschen natürlich gerne an das Gute glauben, sind viele Angriffe erfolgreich.
Zum Thema Vorwand zeigt eine aktuelle Studie sogar, dass mehr als ein Viertel der erfolgreichen Social-Engineering-Angriffe darauf zurückzuführen sind, dass die Opfer auf den jeweiligen Vorwand hereingefallen sind.
Sind Sie auf Phishing oder Vortäuschung hereingefallen? Schulungen zum Sicherheitsbewusstsein verhindern dies. Bild: Pexels/Rodnae Productions
Erst der Vorwand, dann die Daten (oder das Geld)
Vorwände zielen also in erster Linie darauf ab, jemandem etwas zu entlocken, das er eigentlich nicht veröffentlichen darf. Das können zum Beispiel Login-Daten sein — oder auch Geld direkt. In den meisten Fällen geht es jedoch zunächst darum, in das Lieblingssystem einzudringen. Und dank der „richtigen“ Anmeldedaten geht das in der Regel auch, ohne dass die üblichen Sicherheitssysteme Alarm schlagen. In diesem Zusammenhang: Ein weiteres Argument für eine Multi-Faktor-Authentifizierung.
Immer dann, wenn Technologie, Technologie und Algorithmen keine Chance haben, Angriffe zu erkennen, ist guter Rat teuer. Die aktuelle Entwicklung von KI-gestützter Sicherheitssoftware verspricht bessere Prognosen für die Zukunft, aber bis jedes kleine oder mittlere Unternehmen bereit ist, wird die Liste der Opfer von Social Engineering wahrscheinlich noch um einiges länger werden.
Prominente Opfer von Vorwänden und Social-Engineering-Angriffen
Werfen wir einen kurzen Blick auf berühmte Opfer von Vorwänden. Spoiler vorab: Sie werden wahrscheinlich erstaunt sein, wie viele Menschen bereits auf Social Engineering hereingefallen sind. Neben dem bereits erwähnten Tech-Magazin t3n zum Beispiel Twitter und — Achtung — sogar das Top-Management der CIA.
Das E-Mail-Konto des damaligen CIA-Direktors John Brennan wurde 2015 von einem Gymnasiasten kompromittiert. Er hatte sich als Verizon-Techniker ausgegeben und vertrauliche Informationen von einem vermeintlichen Kollegen gestohlen. Dann knackte er damit in den Briefkasten. Seine „Beute“ — darunter geheime Dokumente und Mitarbeiterlisten — teilte er dann gerne online.
Auf Twitter gaben vertrauenswürdige Mitarbeiter am Telefon ihre eigenen Anmeldedaten an Hacker weiter. Kurzerhand (und nur kurz) übernahmen sie beispielsweise berühmte Accounts von Kayne West und sogar Barack Obama. Durch Spendenaufrufe konnten die Betrüger mehr als 110.000 Dollar in Form von Bitcoins generieren, bevor der Kurznachrichtendienst den Hack erkannte und die Tweets löschte.
Die Schlussfolgerung kann also lauten: Nichts und niemand ist sich sicher.
Schauen Sie genau hin, um Social Engineering oder einen Vorwand zu erkennen! Bild: Pexels/Mikhail Nilov
Vorwände erkennen, Angriffe verhindern
Um sich bestmöglich vor Social-Engineering-Angriffen im Allgemeinen und vor Vorwänden im Besonderen zu schützen, ist es unerlässlich, alle Mitarbeiter für diese Themen zu sensibilisieren. Tipp: Um zu überprüfen, ob die Theorie auch in der Praxis angewendet wird, eignen sich gefälschte Testszenarien.
Zum Beispiel: Die Erstellung einer gefälschten E-Mail, die zumindest auf den zweiten Blick als solche erkannt werden kann. Es geht nicht darum, die Mitarbeiter in Verlegenheit zu bringen, sondern lediglich zu zeigen, wie wichtig Vorsicht und Misstrauen sind. Um ein Fiasko zu verhindern, kann der Inhalt harmlos gehalten werden. Zum Beispiel: „Wir möchten, dass alle Männer in roten Hemden zur morgigen Betriebsversammlung erscheinen“.
Neben professionellen Schulungen zum Sicherheitsbewusstsein bieten wir eine breite Palette von Dienstleistungen für Unternehmen, die ihre IT-Sicherheit erhöhen möchten. Durch eine Kombination aus technischen Maßnahmen (wie Antiviren- und Firewallmanagement) und entsprechenden Tests oder Schulungen können Sie das Risiko von Opfern für Ihr Unternehmen aktiv reduzieren.
Weitere Links:
Mimecast
Lesen Sie den Originalartikel auf IT-SERVICE.network