Pretexting kann überall und jederzeit auftreten. Deshalb ist es wichtig zu wissen, was es ist und wie Sie Ihre Mitarbeiter davor schützen können. Sie können Ihr Unternehmen vor Pretexting schützen, indem Sie nicht auf unerwünschte Links klicken, keine persönlichen Informationen online weitergeben und Ihre Mitarbeiter über Pretexting aufklären.
Lesen Sie weiter, um mehr über Pretexting und die Techniken zu erfahren, mit denen Cyberkriminelle ihre Opfer zur Offenlegung sensibler Informationen bewegen.
Was ist Pretexting?
Pretexting ist eine Art von Social-Engineering-Angriff, bei dem ein Cyberkrimineller eine Geschichte erfindet, um das Opfer davon zu überzeugen, sensible Informationen preiszugeben. Dadurch erhalten die Cyberkriminellen unbefugten Zugriff auf Systeme.
Pretexting kann in vielen Formen auftreten, z. B. persönlich, per Telefon oder SMS. Der Cyberkriminelle versucht, eine Beziehung zwischen sich und dem Opfer aufzubauen, um überzeugender zu wirken. Oft verwenden sie die Informationen, die sie online über das Opfer finden, um es davon zu überzeugen, dass sie die Person sind, die sie vorgeben zu sein. Sie nutzen den bisherigen beruflichen Werdegang des Opfers, seine derzeitige Beschäftigung und mehr, um es davon zu überzeugen, dass es ihnen vertrauen kann.
Arten von Pretexting-Techniken
Es gibt viele Arten von Pretexting-Techniken, die Cyberkriminelle verwenden, um Opfer dazu zu bringen, sensible Informationen preiszugeben und sich unbefugten Zugriff auf Systeme zu verschaffen. Hier sind einige der vielen Pretext-Techniken, die Cyberkriminelle verwenden.
Huckepack
Piggybacking ist eine Art von Pretexting-Technik, bei der der Cyberkriminelle versucht, sich Zugriff auf ein Netzwerk, ein System oder ein physisches Gebäude zu verschaffen. Cyberkriminelle können sich Zugriff auf ein Netzwerk oder System verschaffen, wenn das verwendete WLAN ungesichert ist. Persönlich können sich Cyberkriminelle Zugang zum Gebäude verschaffen, indem sie die Freundlichkeit eines Mitarbeiters ausnutzen, um an einer offenen Tür vorbeizukommen.
Besonders gefährlich kann es sein, wenn ein Cyberkrimineller es in ein Gebäude schafft, in dem viele Angestellte oft von ihren Geräten weggehen, während sie noch angemeldet sind. Der Cyberkriminelle kann leicht eindringen und mit nur wenigen Klicks sensible Informationen stehlen.
Das Ziel eines Cyberkriminellen, der die Piggyback-Technik einsetzt, besteht darin, sich Zugriff auf ein Netzwerk oder ein physisches Gebäude zu verschaffen, um dort bösartige Aktivitäten durchzuführen.
Tailgating
Tailgating ist ähnlich wie Huckepacking, aber es gibt einen großen Unterschied zwischen beiden. Beim Tailgating versuchen Cyberkriminelle wie beim Huckepacking, sich Zugang zu einem physischen Gebäude zu verschaffen, zu dem sie keinen Zugang haben. Der Unterschied zum Tailgating besteht jedoch darin, dass sich Cyberkriminelle Zugang zu einem Gebäude verschaffen, ohne dass andere Personen davon wissen. Cyberkriminelle können durch eine offene Tür schlüpfen, gerade bevor diese sich schließt, und so den Anschein erwecken, als hätten sie sich autorisierten Zugang zum Gebäude verschafft. Durch die „Tailgating“-Technik wissen die Mitarbeiter nicht, wer gerade in das Gebäude eingedrungen ist, sodass die Gefahr besteht, dass alle Unternehmensdaten missbraucht werden.
Phishing
Phishing ist eine der beliebtesten Pretexting-Techniken, die verwendet werden. Die Anti-Phishing Working Group (APWG) meldete für das dritte Quartal 2022 insgesamt 1.270.883 Phishing-Angriffe, was laut APWG einen neuen Rekord darstellt.
Ein Phishing-Angriff zielt darauf ab, die Zielperson davon zu überzeugen, sensible Informationen wie Anmeldeinformationen, Kreditkartennummern usw. preiszugeben. Phishing-Versuche sind in der Regel als dringende E-Mail getarnt, die vorgibt, von einer vertrauenswürdigen Quelle zu stammen. Das Ziel eines Phishing-Angriffs ist es, die Zielperson zu einer sofortigen Handlung zu bewegen, indem sie einen Anhang oder einen Link ohne nachzudenken öffnet. Das Klicken auf unaufgeforderte Links und Anhänge kann Malware-Infektionen auslösen und alle Ihre Informationen gefährden.
Vishing
Vishing ist wie ein Phishing-Angriff, aber ausgeklügelter und effektiver. Vishing bedeutet, dass eine Person Sie anruft und sich als jemand ausgibt, der sie nicht ist. Das Ziel ist dasselbe wie bei einem Phishing-Angriff: Die Zielperson soll dazu gebracht werden, vertrauliche Informationen preiszugeben, die sie dann für ihre eigenen böswilligen Zwecke nutzen können.
So schützen Sie sich und Ihr Unternehmen vor Pretexting
Befolgen Sie diese Tipps, um sich und Ihr Unternehmen davor zu schützen, Opfer von Betrügereien zu werden.
Klicken Sie nicht auf unerwünschte Links oder Anhänge
Wenn Sie eine E-Mail oder SMS erhalten, die Sie nicht erwartet haben, klicken Sie nicht auf Links oder Anhänge. Wie bereits erwähnt, kann das Anklicken zu einer Malware-Infektion führen und dem Cyberkriminellen Zugriff auf alle Ihre Daten geben.
Heutzutage gibt es viele Social-Media-Plattformen, und es kann verlockend sein, sein ganzes Leben und seine Erfahrungen dort zu teilen – aber seien Sie vorsichtig. Halten Sie sich mit der Weitergabe von personenbezogenen Informationen zurück, die Cyberkriminelle persönlich oder online gegen Sie verwenden können.
Genauso wichtig wie die Vorsicht vor dem, was man online mitteilt, ist es auch, vorsichtig zu sein, wenn man zur Offenlegung persönlicher Daten aufgefordert wird. Wenn Sie jemand nach persönlichen oder sensiblen Informationen fragt, hinterfragen Sie, warum derjenige diese Informationen benötigt.
Sie sind nicht verpflichtet, sensible oder persönliche Informationen an Personen weiterzugeben, die Sie nicht kennen. Fühlen Sie sich also nie unter Druck gesetzt, dies zu tun.
Schulen Sie Mitarbeiter darin, Pretexting-Techniken zu erkennen
Pretexing-Techniken wie Huckepacking und Tailgating können in Echtzeit erfolgen. Achten Sie darauf, dass Ihre Mitarbeiter immer hinter sich schauen, wenn sie das Bürogebäude betreten, damit keine unbefugten Personen das Gebäude betreten. Sie können sogar in Erwägung ziehen, die Eingangsbereiche Ihrer Gebäude mit Personal zu besetzen, um den Zutritt von Unbefugten zu verhindern.
Abgesehen von den Pretexting-Techniken, die persönlich auftreten, ist es auch wichtig, dass die Mitarbeiter auch alle anderen Pretexting-Techniken wie Phishing und Vishing kennen. Dies kann beispielsweise durch die Durchführung von Phishing-Schulungen für Ihr Unternehmen geschehen. Phishing-Schulungen können Mitarbeitern helfen, Phishing-E-Mails zu erkennen, damit sie wissen, worauf sie achten müssen. Ein Schulungsprogramm für das Sicherheitsbewusstsein ist KnowBe4. KnowBe4 ist ein Schulungsprogramm, das Sie in Ihrem Unternehmen implementieren können. Es umfasst verschiedene Lernmodule für Mitarbeiter und versendet auch simulierte Phishing-E-Mails, damit die Mitarbeiter lernen, diese eindeutig als solche zu erkennen.
Beschaffen Sie sich einen Password Manager
Wenn es um Pretexting geht, ist eine der wichtigsten Cybersicherheitslösungen, die Sie implementieren können, um Unternehmensdaten sicher zu halten, ein Password Manager für Unternehmen. Ein Password Manager für Unternehmen ist ein Tool, mit dem Sie die Anforderungen an die Passwörter Ihrer Mitarbeiter durchsetzen und sie gleichzeitig sicher speichern können. Mit einem Password Manager können Sie vertrauliche Informationen und Anmeldedaten sicher teilen, ohne sie dem Risiko einer Kompromittierung auszusetzen.
Sollte Ihr Unternehmen jemals Opfer von Pretexting werden, können Sie mit einem Password Manager Ihre Konten ganz einfach sichern. Sie können für jedes einzelne Konto ein neues, starkes und eindeutiges Passwort generieren, sodass kein weiterer Schaden entstehen kann.
Bleiben Sie vor Pretexting geschützt
Pretexting-Techniken sind aufgrund des Social-Engineering-Aspekts einfach zu durchschauen, aber wenn sich die Mitarbeiter der Gefahren und verräterischen Anzeichen von Pretexting-Techniken bewusst sind, können sie verhindern, dass sie zum Opfer werden.
Wenn Ihre Mitarbeiter die Risiken kennen, die beim Teilen persönlicher Informationen im Internet entstehen, kann dies den entscheidenden Unterschied bei der Sicherheit Ihres gesamten Unternehmens ausmachen. Investieren Sie in eine Cybersicherheitslösung wie Keeper, damit Ihre sensiblen Daten immer geschützt sind – holen Sie sich noch heute Keeper für Ihr Unternehmen.