Was ist Pretexting und wie kann man sich davor schützen?

Veröffentlicht: 2023-01-13

Dies ist Ihr Leitfaden zu Pretexting, seinen Arten, einigen realen Betrügereien und vor allem, wie Sie sie vermeiden können.

Es gäbe keine Armen auf dem Planeten Erde, wenn es einen einfachen Weg zum Reichtum gegeben hätte.

Aber klar, das ist nicht der Fall. Daher gehen die Leute oft abenteuerlustig darin, andere um ihr hart verdientes Geld zu locken. Diese Versuche können viele interessante Formen annehmen, wie Romantik, Identitätswechsel, Kryptowährung und sogar ein USB-Laufwerk.

Während es verschiedene Begriffe für solche spezifischen Betrügereien gibt, gibt es eine bekannte Kategorie, die alles umfasst – Pretexting.

Was ist Vorwand?

Einfach ausgedrückt bedeutet Vorwand, eine Situation zu schaffen, die oft mit Dringlichkeit einhergeht und Sie dazu verleitet, wichtige Informationen preiszugeben, die Sie sonst nicht geben würden.

Vorwand

Aber das ist komplizierter als nur eine zufällige SMS. Basierend auf dem Modus Operandi hat Pretexting mehrere Techniken, wie unten diskutiert.

#1. Phishing

Phishing ist die häufigste Methode, mit der viele von uns ab und zu konfrontiert werden. Dies beinhaltet das Erhalten von E-Mails, SMS usw., in denen Sie aufgefordert werden, auf einen Link zu klicken, der entweder Malware herunterlädt oder Sie zu einer gefälschten Website führt.

Ersteres kann zu allem möglichen führen, von gestohlenen sensiblen Informationen bis hin zu einem gesperrten PC, für den Sie große Summen bezahlen müssen, um wieder Zugriff zu erhalten.

Andererseits kann eine gefälschte Website die exakte Kopie des Originals sein und alle Informationen stehlen, die Sie eingeben, angefangen bei den Anmeldedaten.

#2. Vishing

Vishing ist eine Unterart von Phishing und verwendet Sprachanrufe. Anstelle von E-Mails erhalten Sie also möglicherweise Anrufe, die vorgeben, Support-Mitarbeiter der Dienste zu sein, die Sie bereits nutzen, oder von Ihrer Bank.

Hier kann einem Opfer eingeschüchtert oder ein Gefühl der Dringlichkeit vermittelt werden, eine Aktion abzuschließen, um die Dienste weiterhin nutzen zu können. Außerdem kann man dem anderen auch große Beträge anbieten, die er nur nach Zahlung der Bearbeitungsgebühr bekommt.

#3. Scareware

Scareware passiert Internetbenutzern, die versuchen, dubiose Websites zu besuchen oder auf einen betrügerischen E-Mail- oder SMS-Link zu klicken. Darauf folgt ein Popup-Fenster mit der Meldung, dass Ihr System infiziert ist, und Sie werden aufgefordert, ein Programm für eine kostenlose gründliche Bereinigung herunterzuladen.

Nun, wer liebt Viren? Niemand. Das Herunterladen dieses „Antivirus“ von diesem „Popup“ kann jedoch Chaos auf Ihrem Gerät anrichten, einschließlich der Installation von Spyware, Ransomware und so weiter.

#4. Köder

Beim Ködern werden Neugier und der Drang, etwas vor anderen zu haben, als primäre Waffe verwendet, um böswillige Absichten zu erreichen.

Aufsehen erregt zum Beispiel ein auf dem Boden liegender USB-Stick in einem mittelständischen Unternehmen mit ungeschultem Personal. Als nächstes holt jemand die Freeware vom Firmengelände ab und stöpselt sie in das Firmensystem ein, wodurch dieser spezifische Computer, wenn nicht das gesamte Netzwerk, kompromittiert wird.

Außerdem kann man auf einer auslaufenden Online-Plattform auch ein extrem gutes Angebot erkennen. Ein harmloser Klick kann wiederum nicht nur einen PC, sondern eine ganze Institution gefährden.

Dies waren also einige der Vorwandsmethoden, die für Online-Angriffe verwendet wurden. Schauen wir uns nun an, wie diese Mechanismen in echt aussehende reale Situationen eingearbeitet werden, mit denen viele betrogen werden.

Romantik-Betrug

YouTube-Video

Dies ist der komplizierteste Betrug und schwer zu lokalisieren. Wer will schon die Liebe seines Lebens an einen kleinen Verdacht verlieren, oder?

Romantikbetrug beginnt mit einem Fremden in einer Dating-Anwendung. Es kann sich um eine gefälschte Dating-Website handeln, die erstellt wurde, um die persönlichen Informationen von verletzlichen, hoffnungslosen Romantikern zu erfassen. Es kann sich jedoch auch um eine legitime Dating-Website wie Plenty of Fish handeln, bei der sich ein Betrüger als Ihr idealer Partner ausgibt.

In jedem Fall wird es im Allgemeinen schnell gehen (aber nicht immer), und Sie werden froh sein, Ihren Seelenverwandten schließlich zu finden.

Ihnen werden jedoch Videotreffen verweigert, und persönliches Dating wird sich aufgrund der „Umstände“ unmöglich anfühlen. Darüber hinaus kann Ihr Chatpartner auch darum bitten, das Gespräch von dieser Dating-Website zu nehmen.

Darüber hinaus können diese Betrügereien dazu führen, dass der schlechte Schauspieler seinen Partner bittet, die Reise für das persönliche Treffen zu finanzieren. Oder sie können manchmal eine kaum zu glaubende Investitionsmöglichkeit mit auffälligen Renditen beinhalten.

Während Romantikbetrug viele Geschmacksrichtungen hat, sind die üblichen Ziele leichtgläubige Frauen, die einen zuverlässigen Partner suchen. Interessanterweise sind weitere Hauptopfer Militärangehörige, die in Online-Beziehungen gefangen sind und geheime Informationen preisgeben.

Einfach ausgedrückt: Wenn Ihr Online-Partner an etwas anderem als nur an Ihnen interessiert ist, sei es an Geld oder wichtigen Informationen, handelt es sich wahrscheinlich um einen Betrug.

Identitätsbetrug

Hochstapler

Identitätswechsel ist geradliniges Social Engineering vom Feinsten. Dieser hat viele getäuscht, darunter CEOs von renommierten Unternehmen und renommierten Universitäten.

Wie würden Sie sonst den CEO von Bitpay definieren, der mit nur einer E-Mail um 5.000 Bitcoins (damals 1,8 Millionen US-Dollar) betrogen wurde?

Hier handelte der Hacker clever und verschaffte sich Zugang zu den E-Mail-Anmeldeinformationen eines Bitpay-Managers. Anschließend schickte der Betrüger eine E-Mail an den CEO von Bitpay, um eine Zahlung an seinen Geschäftskunden SecondMarket zu begleichen. Der Betrug wurde erst entdeckt, als ein Mitarbeiter von SecondMarket über die Transaktion informiert wurde.

Außerdem konnte Bitpay niemals eine Versicherung beanspruchen, da dies kein Hack, sondern ein klassischer Fall von schlichtem Phishing war.

Identitätsdiebstahl kann jedoch auch den Weg der Einschüchterung nehmen.

In solchen Fällen erhalten die Menschen Drohanrufe von „Strafverfolgungsbeamten“, in denen um sofortige Einigung gebeten wird, oder sie sehen sich mit rechtlichen Problemen konfrontiert.

Allein in Boston (Massachusetts, USA) verursachte Identitätsdiebstahl Schäden von bis zu 3.789.407 US-Dollar, mit über 405 Opfern im Jahr 2020.

Identitätswechsel können jedoch auch physisch sein. Beispielsweise könnten Sie einen unerwarteten Besuch von „Technikern“ Ihres Internetanbieters erhalten, um „bestimmte Dinge zu reparieren“ oder für eine „Routineprüfung“. Sie sind zu schüchtern oder zu beschäftigt, um nach Einzelheiten zu fragen, und lassen sie herein. Sie kompromittieren Ihre Systeme oder, schlimmer noch, versuchen einen regelrechten Raubüberfall.

Ein weiterer häufiger Imitationsangriff ist CEO-E-Mail-Betrug. Es kommt als E-Mail von Ihrem CEO und bittet Sie, eine „Aufgabe“ zu erledigen, die normalerweise eine Transaktion mit einem „Lieferanten“ beinhaltet.

Der Schlüssel, um nicht Opfer solcher Angriffe zu werden, besteht darin, sich zu entspannen und nicht übereilt zu handeln. Versuchen Sie einfach, die Details des Anrufs, der E-Mail oder des Besuchs manuell zu überprüfen, und Sie werden wahrscheinlich gutes Geld sparen.

Kryptowährungsbetrug

Kryptowährungs-Betrug

Es ist keine völlig neue Kategorie, sondern nur ein Vorwand mit Kryptowährungen.

Da die Krypto-Bildung jedoch noch spärlich ist, fallen die Menschen immer wieder darauf herein. Das häufigste Szenario bei solchen Betrügereien ist eine aussergewöhnliche Investitionsmöglichkeit.

Krypto-Betrug kann ein oder mehrere Opfer in die Falle locken und kann einige Zeit in Anspruch nehmen, um den letzten Schlag zu versetzen. Diese Pläne können von kriminellen Organisationen inszeniert werden, die versuchen, Investoren dazu zu bringen, ihr hart verdientes Geld in Ponzi-Systeme zu pumpen.

Und schließlich schlucken die Bösewichte das Vermögen der Leute, wenn die „Münze“ einen beträchtlichen Wert erreicht, und inszenieren einen sogenannten Rug Pull. Was folgt, sind die Investoren, die über Millionen von nutzlosem Krypto mit vernachlässigbarem Marktwert schluchzen.

Außerdem kann eine andere Art von Kryptowährungsbetrug technisch nicht versierte Menschen dazu verleiten, ihre privaten Schlüssel preiszugeben. Sobald dies erledigt ist, überweist der Betrüger das Geld auf eine andere Brieftasche. Aufgrund der Anonymität von Kryptowährungen ist es oft schwierig, die gestohlenen Gelder aufzuspüren, und die Wiederherstellung wird zu einem Wunschtraum.

Der Retter hier ist die Forschung.

Versuchen Sie, die Legitimität des Teams hinter solchen Entwicklungen zu überprüfen. Als Faustregel gilt: Investieren Sie nicht in neue Münzen, bis sie einen gewissen Ruf und Wert auf dem Markt etabliert haben. Trotz allem ist Krypto volatil und anfällig für Betrug. Investieren Sie also nicht, wenn Sie es sich nicht leisten können, alles zu verlieren.

Interessiert, mehr zu erfahren! Sehen Sie sich diesen Leitfaden zu Krypto-Betrug von Bybit an.

Wie man Pretexting bekämpft

How-to-Fight-Pretexting

Vorwände aufzudecken ist nicht einfach, und die Ausbildung, die Sie brauchen, um sich dagegen zu wehren, kann nicht einmalig sein. Die für diese Betrügereien verantwortlichen Personen entwickeln sich ständig in ihren Betrugsmechanismen weiter.

Trotzdem bleibt der Kern solcher Methoden derselbe, und Sie können die folgenden Hinweise für einen Vorsprung beachten.

#1. Lerne NEIN zu sagen!

Die meisten Menschen leiden unter diesem Drang, mit seltsamen E-Mails und Telefonanrufen zu kooperieren, selbst wenn sie tief im Inneren wissen, dass etwas nicht stimmt.

Respektiere deine Instinkte. Sie können Ihre Kollegen konsultieren, bevor Sie vertrauliche Dinge tun, z. B. Bankkontodaten teilen, Geld überweisen oder sogar auf einen verdächtigen Link klicken.

#2. Schulen Sie Ihre Belegschaft

Es liegt in der Natur des Menschen zu vergessen. Eine einzige Warnung zum Zeitpunkt des Beitritts wird also nicht viel nützen.

Stattdessen können Sie monatliche Betrugsübungen durchführen, um sicherzustellen, dass Ihr Team über solche Taktiken auf dem Laufenden bleibt. Auch eine wöchentliche E-Mail, die über die neuesten Pretexting-Angriffe informiert, wird der Sache einen großen Dienst erweisen.

#3. Investieren Sie in ein gutes Antivirenprogramm

Meistens beinhaltet Pretexting die Verwendung von zwielichtig aussehenden Links. Daher wird es viel einfacher, wenn Sie über ein Premium-Antivirenprogramm verfügen, um sich um solche Angriffe zu kümmern.

Sie haben zentrale Datenbanken, die Informationen austauschen, und ausgeklügelte Algorithmen, die die harte Arbeit für Sie erledigen.

Öffnen Sie außerdem den Link in einer Suchmaschine, wenn er nicht klickwürdig erscheint.

#4. Lehrbücher und Kurse

Während das Internet voller nützlicher (und schlechter) Ratschläge ist, um Vorwände zu vermeiden, bevorzugen einige die herkömmliche Art des Lernens. In diesem Fall gibt es ein paar hilfreiche Bücher:

Vorschau Produkt Bewertung Preis
Das Playbook des Social Engineers: Ein praktischer Leitfaden zum Pretexting Das Playbook des Social Engineers: Ein praktischer Leitfaden zum Pretexting 17,09 $
Eine sanfte Einführung in Social Engineering-Angriffe und -Prävention Eine sanfte Einführung in Social Engineering-Angriffe und -Prävention 4,43 $

Solche Quellen sind besonders nützlich für eine gründliche Ausbildung im eigenen Tempo, die auch nicht zu Ihrer Bildschirmzeit beiträgt.

Eine weitere Option, die sich besonders für Ihre Mitarbeiter eignet, ist der Social-Engineering-Kurs von Udemy. Der Hauptvorteil dieses Kurses ist der lebenslange Zugang und die Verfügbarkeit auf Mobilgeräten und im Fernsehen.

Dieser Kurs behandelt digitale und physische Vorwände, einschließlich psychologischer Manipulation, Angriffstechniken, nonverbaler Kommunikation und mehr, was für Neulinge hilfreich sein wird.

Benutze den Wissensschild!

Wie bereits erwähnt, finden diese Betrüger neue Wege, um einen durchschnittlichen Internetnutzer zu täuschen. Sie können jedoch auch auf die versiertesten Menschen abzielen.

Der einzige Weg nach vorne ist Aufklärung und das Teilen solcher Vorfälle mit Gleichaltrigen auf Social-Media-Plattformen.

Und Sie werden überrascht sein zu wissen, dass Betrug jetzt auch im Metaversum alltäglich ist. Sehen Sie sich an, wie Sie Betrug in Metaverse vermeiden können, und werfen Sie einen Blick auf diese Anleitung, um Metaverse beizutreten und darauf zuzugreifen, wenn Sie neu in diesen seltsamen Computerwelten sind.