Pretexting ist eine Technik des Social Engineerings, bei der der Angreifer eine sorgfältig ausgearbeitete Geschichte oder Identität (den sogenannten Pretext) verwendet, um sensible Informationen zu erlangen oder Handlungen zu provozieren. Diese Methode basiert auf der Überzeugungskraft des Angreifers und seiner Fähigkeit, das Vertrauen des Opfers zu gewinnen.
Erklärung der Technik
Beim Pretexting geht es darum, ein glaubwürdiges Szenario zu schaffen, das dem Opfer plausibel erscheint. Der Angreifer tritt in eine Rolle, die ihm Zugang zu Informationen oder Systemen verschafft, die normalerweise geschützt sind. Dies kann durch eine Vielzahl von Mitteln geschehen, sei es durch die Imitation eines Kollegen, die Darstellung einer offiziellen Person oder sogar die Erfindung einer völlig neuen Identität.
Im Gegensatz zu anderen Social Engineering-Techniken, die oft auf physische Interaktionen angewiesen sind, kann Pretexting sowohl persönlich als auch über digitale Kommunikationsmittel wie E-Mails oder Telefonate durchgeführt werden. Der Schlüssel zum Erfolg liegt oft in der Einfachheit des Pretexts und der Glaubwürdigkeit des Angreifers.
Beispiele aus der Praxis
In vielen meiner Projekte werde ich von Mitarbeitenden angesprochen, entweder weil sie mir helfen wollen oder weil ich mich in einem Bereich aufhalte, wo ich nicht hingehöre und die Mitarbeitenden mich nicht kennen. Aus den unzähligen Projekten, die ich bisher durchgeführt habe, habe ich eine entscheidende Erkenntnis gewonnen: Menschen bevorzugen einfache und nachvollziehbare Erklärungen gegenüber komplexen und detailreichen Ausreden.
In einem Projekt war mein Ziel, in das Büro des CEO einzudringen. Dafür nutzte ich den Mitarbeitereingang des Werksgeländes, um über den Hintereingang in das Hauptgebäude zu gelangen. Während ich über das Gelände lief und einen Anzug trug, gab ich mich als Vorstandsmitglied der Geschäftsführung aus. Viele Mitarbeitende, die mich nicht kannten, grüßten mich dennoch, da sie aufgrund meines Anzugs von einer höheren Stellung im Unternehmen ausgingen. Ich grüßte natürlich zurück und setzte meinen Weg in Richtung Hauptgebäude fort.
Irgendwann befand ich mich jedoch in einem abgelegenen Bereich, wo normalerweise niemand anzutreffen ist. Ein Mitarbeitender kam mir mit dem Fahrrad entgegen und fragte, was ich dort wolle. Anstatt mir eine komplexe und detailreiche Geschichte auszudenken, wählte ich einen einfacheren Ansatz, auf den ich mich bereits in der Vorbereitungsphase eingestellt hatte. Als der Mitarbeitende mich fragte, antwortete ich, dass ich von einem anderen Standort komme und einen Termin mit dem Chef habe, jedoch eine halbe Stunde zu früh sei und mir noch etwas die Beine vertreten wollte, da ich diesen Standort bisher nicht kannte. Der Mitarbeitende glaubte mir ohne weitere Nachfragen und fuhr mit dem Fahrrad davon, sodass ich meinen Versuch, in das Büro des CEO einzudringen, fortsetzen konnte.
Auch in anderen Projekten hat sich die Regel bestätigt: „Je einfacher, desto glaubwürdiger.“ Wenn Menschen zu lange über eine Erklärung nachdenken müssen, könnte Zweifel aufkommen. Nur wenn ich merke, dass mein Gegenüber Zweifel an meiner Aussage hegt, greife ich auf andere Techniken zurück und ergänze meine Geschichte mit mehr Details, die ich durch meine Vorbereitung gesammelt habe, um sie noch glaubwürdiger darzustellen.
Lehren und Erkenntnisse
Pretexting zeigt, wie wichtig es ist, nicht nur auf technische Sicherheitsmaßnahmen zu vertrauen, sondern auch auf die Sensibilisierung und Schulung der Mitarbeitenden. Eine sorgfältig vorbereitete und überzeugend präsentierte Lüge kann selbst die besten Sicherheitsvorkehrungen umgehen, wenn die menschliche Komponente nicht ausreichend berücksichtigt wird.
Für Unternehmen bedeutet das, dass sie ihre Mitarbeitenden regelmäßig im Erkennen und Hinterfragen ungewöhnlicher Anfragen schulen müssen. Jede Anfrage, die auf den ersten Blick ungewöhnlich erscheint oder untypische Informationen erfordert, sollte mit einer gesunden Portion Skepsis behandelt werden.
Fazit
Pretexting ist eine mächtige Technik des Social Engineerings, die auf der Fähigkeit beruht, Menschen zu manipulieren und ihr Vertrauen zu gewinnen. Durch gezielte Schulungen und die Etablierung einer Kultur des Misstrauens gegenüber ungewöhnlichen Anfragen können Unternehmen das Risiko solcher Angriffe erheblich reduzieren.
Im nächsten Artikel werde ich auf weitere Techniken des Social Engineerings eingehen und erläutern, wie sich Unternehmen effektiv davor schützen können.