Was ist Pretexting und wie kann man sich davor schützen?

Dieser Ratgeber erklärt, was Pretexting ist, welche Formen es annimmt, wie reale Betrugsfälle aussehen und vor allem, wie Sie sich davor schützen können.

Gäbe es einen einfachen Weg zum Reichtum, gäbe es keine Armut auf der Welt.

Doch dem ist nicht so. Daher versuchen viele, andere um ihr sauer verdientes Geld zu bringen. Diese Versuche nehmen vielfältige Formen an, wie Liebesbetrug, Identitätsdiebstahl, Krypto-Betrug oder sogar über manipulierte USB-Sticks.

Es gibt spezifische Begriffe für solche Betrugsmaschen, aber es gibt eine übergeordnete Kategorie, die all diese Betrugsversuche umfasst: Pretexting.

Was genau ist Pretexting?

Vereinfacht gesagt bedeutet Pretexting, eine Situation zu konstruieren, oft mit Dringlichkeit, um Sie dazu zu bringen, wichtige Informationen preiszugeben, die Sie sonst nicht preisgeben würden.

Es ist jedoch komplexer als das Versenden einer zufälligen SMS. Je nach Vorgehensweise gibt es verschiedene Techniken des Pretexting, die im Folgenden erläutert werden.

#1. Phishing

Phishing ist eine sehr häufige Methode, mit der viele von uns regelmäßig konfrontiert werden. Dabei erhalten Sie E-Mails, SMS oder andere Nachrichten, in denen Sie aufgefordert werden, auf einen Link zu klicken. Dieser Link lädt entweder Malware herunter oder führt Sie zu einer gefälschten Website.

Ersteres kann dazu führen, dass sensible Daten gestohlen werden oder Ihr PC gesperrt wird, sodass Sie hohe Summen zahlen müssen, um wieder Zugriff zu erhalten.

Eine gefälschte Website kann eine exakte Kopie des Originals sein und alle Ihre eingegebenen Daten stehlen, beginnend mit Ihren Anmeldedaten.

#2. Vishing

Vishing ist eine Unterart von Phishing, bei der Sprachanrufe genutzt werden. Anstatt E-Mails erhalten Sie Anrufe, bei denen sich die Anrufer als Support-Mitarbeiter von Diensten ausgeben, die Sie bereits nutzen, oder von Ihrer Bank.

Opfer werden hier eingeschüchtert oder unter Druck gesetzt, bestimmte Aktionen auszuführen, um die Dienste weiterhin nutzen zu können. Oder es werden ihnen große Beträge in Aussicht gestellt, die sie nur nach Zahlung einer Bearbeitungsgebühr erhalten.

#3. Scareware

Scareware betrifft Internetnutzer, die versuchen, fragwürdige Webseiten zu besuchen oder auf verdächtige Links in E-Mails oder SMS zu klicken. Daraufhin öffnet sich ein Popup-Fenster, das Sie darüber informiert, dass Ihr System infiziert sei und fordert Sie auf, ein Programm zur kostenlosen Bereinigung herunterzuladen.

Wer mag schon Viren? Niemand. Das Herunterladen dieser vermeintlichen „Antivirus“-Software kann jedoch Chaos auf Ihrem Gerät verursachen und Spyware, Ransomware und andere Schadsoftware installieren.

#4. Köder

Beim Ködern werden die Neugier und der Wunsch, etwas zu besitzen, was andere nicht haben, als Hauptwaffen genutzt, um böswillige Absichten zu verwirklichen.

Ein Beispiel dafür ist ein USB-Stick, der in einem Unternehmen mit ungeschultem Personal herumliegt. Jemand findet ihn und schließt ihn an das Firmennetzwerk an, wodurch der betreffende Computer, wenn nicht sogar das gesamte Netzwerk, kompromittiert wird.

Genauso können extrem günstige Angebote auf auslaufenden Online-Plattformen riskant sein. Ein harmloser Klick kann nicht nur einen einzelnen PC, sondern eine ganze Institution in Gefahr bringen.

Dies waren einige Methoden des Pretexting, die bei Online-Angriffen verwendet werden. Betrachten wir nun, wie solche Mechanismen in echt aussehenden, realen Situationen genutzt werden, bei denen viele Menschen betrogen werden.

Romantik-Betrug

Dies ist eine besonders raffinierte Form des Betrugs, die schwer zu entlarven ist. Schließlich möchte niemand seinen potenziellen Lebenspartner wegen eines kleinen Verdachts verlieren, oder?

Romantikbetrug beginnt mit einer unbekannten Person auf einer Dating-Plattform. Es könnte eine gefälschte Dating-Seite sein, die darauf abzielt, die persönlichen Daten von verletzlichen, hoffnungsvollen Romantikern zu sammeln. Es kann aber auch eine seriöse Seite wie „Plenty of Fish“ sein, auf der sich ein Betrüger als Ihr idealer Partner ausgibt.

Meistens geht es sehr schnell (aber nicht immer), und Sie sind froh, Ihren Seelenverwandten gefunden zu haben.

Videotreffen werden jedoch abgelehnt, und persönliche Treffen scheinen aufgrund von „Umständen“ unmöglich. Außerdem kann Ihr Chatpartner Sie bitten, die Kommunikation von der Dating-Plattform auf einen anderen Kanal zu verlagern.

Darüber hinaus können Betrüger versuchen, ihr Opfer zu bitten, die Reisekosten für ein persönliches Treffen zu übernehmen. Oder sie unterbreiten verlockende Investitionsmöglichkeiten mit extrem hohen Renditen.

Romantikbetrug gibt es in vielen Variationen, aber die üblichen Ziele sind leichtgläubige Frauen, die einen zuverlässigen Partner suchen. Interessanterweise gehören auch Militärangehörige zu den Hauptopfern, die in Online-Beziehungen verwickelt sind und geheime Informationen preisgeben.

Einfach ausgedrückt: Wenn Ihr Online-Partner an mehr als nur an Ihnen interessiert ist, sei es an Geld oder wichtigen Informationen, handelt es sich wahrscheinlich um einen Betrug.

Identitätsbetrug

Identitätsdiebstahl ist Social Engineering in Reinform. Er hat bereits viele Menschen getäuscht, darunter Geschäftsführer namhafter Unternehmen und renommierter Universitäten.

Wie erklärt man sich sonst, dass der Geschäftsführer von Bitpay durch eine einfache E-Mail um 5.000 Bitcoins (damals 1,8 Millionen US-Dollar) betrogen wurde?

Der Hacker handelte geschickt, indem er sich Zugang zu den E-Mail-Anmeldeinformationen eines Bitpay-Managers verschaffte. Anschließend schickte der Betrüger eine E-Mail an den Geschäftsführer von Bitpay, in der er ihn aufforderte, eine Zahlung an seinen Geschäftskunden SecondMarket zu leisten. Der Betrug fiel erst auf, als ein Mitarbeiter von SecondMarket über die Transaktion informiert wurde.

Bitpay konnte keine Versicherungsansprüche geltend machen, da es sich nicht um einen Hack, sondern um einen klassischen Fall von Phishing handelte.

Identitätsdiebstahl kann aber auch mit Einschüchterung einhergehen.

Opfer erhalten in solchen Fällen Drohanrufe von vermeintlichen „Strafverfolgungsbeamten“, die eine sofortige Einigung verlangen oder mit rechtlichen Konsequenzen drohen.

Allein in Boston (Massachusetts, USA) verursachte Identitätsdiebstahl im Jahr 2020 Schäden in Höhe von 3.789.407 US-Dollar bei über 405 Opfern.

Identitätsdiebstahl kann jedoch auch im realen Leben stattfinden. So könnten Sie beispielsweise unerwarteten Besuch von „Technikern“ Ihres Internetanbieters erhalten, die „bestimmte Dinge reparieren“ oder eine „Routineüberprüfung“ durchführen möchten. Sie sind zu schüchtern oder zu beschäftigt, um nach Details zu fragen, und lassen sie hinein. Sie kompromittieren Ihre Systeme oder versuchen sogar einen Raubüberfall.

Ein weiterer häufiger Angriff ist der CEO-E-Mail-Betrug. Dabei erhalten Sie eine E-Mail, die angeblich von Ihrem CEO stammt, und Sie werden gebeten, eine „Aufgabe“ zu erledigen, die in der Regel eine Transaktion mit einem „Lieferanten“ beinhaltet.

Der beste Schutz vor solchen Angriffen ist, Ruhe zu bewahren und nicht übereilt zu handeln. Versuchen Sie einfach, die Details des Anrufs, der E-Mail oder des Besuchs manuell zu überprüfen, und Sie sparen wahrscheinlich viel Geld.

Kryptowährungsbetrug

Dies ist keine neue Kategorie, sondern lediglich eine neue Variante des Pretextings im Zusammenhang mit Kryptowährungen.

Da das Wissen über Kryptowährungen noch nicht weit verbreitet ist, fallen viele Menschen immer wieder auf diese Maschen herein. Das häufigste Szenario ist eine außergewöhnliche Investitionsmöglichkeit.

Krypto-Betrug kann ein oder mehrere Opfer in die Falle locken und es kann einige Zeit dauern, bis der finale Schlag ausgeführt wird. Diese Pläne können von kriminellen Organisationen inszeniert werden, die versuchen, Investoren dazu zu bringen, ihr Geld in Ponzi-Systeme zu investieren.

Schließlich stehlen die Betrüger das Vermögen der Leute, wenn der „Coin“ einen beträchtlichen Wert erreicht hat, und führen einen sogenannten Rug Pull durch. Die Investoren bleiben dann auf Millionen von wertlosen Kryptowährungen mit geringem Marktwert sitzen.

Eine weitere Form des Krypto-Betrugs ist die Verleitung von technisch unerfahrenen Menschen zur Preisgabe ihrer privaten Schlüssel. Sobald dies geschehen ist, überweist der Betrüger das Geld in eine andere Wallet. Aufgrund der Anonymität von Kryptowährungen ist es oft schwierig, gestohlenes Geld zu verfolgen, und die Wiedererlangung ist meist aussichtslos.

Der beste Schutz ist hier Recherche.

Versuchen Sie, die Seriosität des Teams hinter solchen Entwicklungen zu überprüfen. Als Faustregel gilt: Investieren Sie nicht in neue Coins, bis diese einen gewissen Ruf und Wert auf dem Markt etabliert haben. Trotz allem ist Krypto volatil und anfällig für Betrug. Investieren Sie also nicht mehr, als Sie bereit sind, zu verlieren.

Möchten Sie mehr erfahren? Schauen Sie sich diesen Leitfaden zu Krypto-Betrug von Bybit an: Leitfaden zu Krypto-Betrug von Bybit.

Wie man Pretexting bekämpft

Pretexting ist nicht einfach zu erkennen, und die Schulung, die Sie benötigen, um sich davor zu schützen, kann nicht einmalig sein. Die für diese Betrügereien Verantwortlichen entwickeln ihre Betrugsmethoden ständig weiter.

Der Kern dieser Methoden bleibt jedoch derselbe, und Sie können die folgenden Tipps nutzen, um sich einen Vorteil zu verschaffen.

#1. Lernen Sie, NEIN zu sagen!

Die meisten Menschen haben den Drang, auf seltsame E-Mails und Anrufe zu reagieren, auch wenn sie innerlich spüren, dass etwas nicht stimmt.

Vertrauen Sie Ihren Instinkten. Sie können sich mit Kollegen beraten, bevor Sie vertrauliche Dinge tun, wie z. B. Bankdaten weitergeben, Geld überweisen oder auf verdächtige Links klicken.

#2. Schulen Sie Ihre Mitarbeiter

Es liegt in der Natur des Menschen, zu vergessen. Eine einmalige Warnung bei der Einstellung wird also nicht viel bewirken.

Führen Sie stattdessen monatliche Betrugsübungen durch, um sicherzustellen, dass Ihr Team über solche Taktiken auf dem Laufenden bleibt. Auch eine wöchentliche E-Mail mit Informationen zu den neuesten Pretexting-Angriffen ist sehr hilfreich.

#3. Investieren Sie in ein gutes Antivirenprogramm

Pretexting beinhaltet oft die Verwendung von zwielichtigen Links. Daher ist es von Vorteil, ein hochwertiges Antivirenprogramm zu verwenden, um solche Angriffe zu erkennen.

Diese Programme verfügen über zentrale Datenbanken, die Informationen austauschen, und ausgeklügelte Algorithmen, die die harte Arbeit für Sie erledigen.

Öffnen Sie den Link in einer Suchmaschine, wenn er nicht vertrauenswürdig erscheint.

#4. Lehrbücher und Kurse

Das Internet ist zwar voller nützlicher (und schlechter) Ratschläge zur Vermeidung von Pretexting, aber manche ziehen das herkömmliche Lernen vor. In diesem Fall gibt es einige hilfreiche Bücher:

Solche Quellen sind besonders nützlich für eine gründliche Schulung im eigenen Tempo, die zudem Ihre Bildschirmzeit nicht erhöht.

Eine weitere Option, die sich besonders für Ihre Mitarbeiter eignet, ist der Social-Engineering-Kurs von Udemy. Der Hauptvorteil dieses Kurses ist der lebenslange Zugriff und die Verfügbarkeit auf mobilen Geräten und am Fernseher.

Dieser Kurs behandelt digitale und physische Pretexting-Methoden, einschließlich psychologischer Manipulation, Angriffstechniken, nonverbaler Kommunikation und mehr, was für Anfänger hilfreich ist.

Nutzen Sie Ihr Wissen!

Wie bereits erwähnt, finden diese Betrüger immer wieder neue Wege, um durchschnittliche Internetnutzer zu täuschen. Sie können aber auch gezielt auf erfahrene Nutzer abzielen.

Der einzige Weg, sich zu schützen, ist Aufklärung und das Teilen solcher Vorfälle mit anderen über Social-Media-Plattformen.

Es wird Sie vielleicht überraschen, dass Betrug heutzutage auch im Metaversum alltäglich ist. Informieren Sie sich, wie Sie Betrug im Metaverse vermeiden können: Betrug im Metaverse vermeiden, und werfen Sie einen Blick auf diese Anleitung zum Metaverse, wenn Sie neu in diesen digitalen Welten sind: Anleitung zum Metaverse.