Pretexting und Waterholing

Beim Pretexting (Deutsch in etwa «einen Vorwand vorgeben») benötigt ein Angreifer diverse Informationen über sein Opfer – beispielsweise Geburtsdatum, Wohnort oder den Kontostand. An diese Informationen kommt ein Angreifer über Kanäle wie Social Media oder Phishing (siehe vorheriger Abschnitt). Die Informationen verwendet der Angreifer anschliessend, um bei seinem Opfer Vertrauen zu erwecken, Bild 3. Ein klassisches Beispiel für Pretexting-Angriffe ist der Enkelbetrug. Dabei geben sich die Betrüger als nahe Verwandte aus und bitten um Geld oder andere Wertsachen.

Ebenfalls beliebt sind Pretexting-Angriffe nicht auf das Opfer direkt, sondern auf ein nahestehendes Unternehmen. Beispielsweise ruft ein Betrüger bei Ihrer Bank an und gibt sich mit gesammelten Informationen für Sie aus. Erwischt der Angreifer einen unerfahrenen Bankangestellten oder stellt er sich geschickt genug an, kann er mit einer clever fabrizierten Geschichte ordentlichen Schaden an Ihrem Konto anrichten oder eventuell sogar die Kontrolle übernehmen. Glücklicherweise sind die meisten Banken gut gegen solche Angriffe gewappnet. Eine Garantie gibt es jedoch nie.

Eine Kombination aus Phishing und Pretexting nennt man Spear Phishing (Deutsch: Speerfischen). Dabei wird nicht eine Mail an Tausende Empfänger geschickt, in der Hoffnung, einer beisst an. Vielmehr wird eine stark personalisierte Nachricht mit persönlichen Informationen an einen spezifischen Empfänger versendet. Das Opfer wird durch diese personalisierte Mail getäuscht und fällt so eher auf den Phishing-Versuch herein.

Die Pretexting-Methode wird hauptsächlich gegen Unternehmen wie Banken etc. angewandt. Daher ist für Sie als Endnutzer hauptsächlich das Vertrauensverhältnis zu Ihrer Bank wichtig. Ihr Finanzinstitut sollte ausreichend gegen solche Angriffe geschützt sein. Falls Sie Ihrer Bank in diesem Punkt nicht vertrauen, sollten Sie womöglich wechseln. Bei Pretexting gegenüber Privatpersonen wird oftmals versucht, das Opfer zu überrumpeln. Das ist mitunter ein Grund, warum solche Angriffe häufiger per Telefon durchgeführt werden.

Sind Sie sich bei einem Anrufer unsicher, brechen Sie das Telefonat ab, damit Sie in Ruhe die Fakten durchgehen können. Hierbei erhalten Sie womöglich weitere Informationen über den Anrufer. Ein normaler Anrufer hat wohl kaum ein Problem damit, wenn Sie ihm mitteilen, dass Sie gerade in einer Sitzung feststecken oder dringend zum Zahnarzt müssen und später zurückrufen werden. Ein Krimineller verliert dadurch jedoch seinen psychologischen Vorteil und wird eher negativ reagieren.

Eine besonders perfide Angriffsvariante ist das Waterholing (Deutsch: Wasserloch). Dabei werden die Opfer durch eine gewohnte Umgebung in falscher Sicherheit gewiegt und anschliessend über den Tisch gezogen. Meistens wird Waterholing mit Phishing kombiniert. Beispielsweise erstellt ein Angreifer einen Beitrag in einem Forum. Dieser sieht aus wie ein regulärer Beitrag und beinhaltet wahrscheinlich sogar ein legitimes Thema. Allerdings wird der Beitrag mit einem Phishinglink versehen. Ein klassisches Beispiel wäre ein Beitrag im Stil von «Wow, seht euch diese neue Gitarre von Fender an! Sieht ja klasse aus». Darunter befindet sich ein Link zu einer Website mit einem Phishing-Betrug oder schädlicher Software.

Da sich der Anwender in diesem Forum sicher fühlt, klickt er eher auf den Link, ohne sich gross Gedanken darüber zu machen, ob eine Gefahr bestehen könnte. Waterholing ist entsprechend beliebt bei gehackten Nutzerkonten und ein Grund, wieso gekaperte Social-Media-Profile auf Facebook, Twitter & Co. oftmals Spamlinks versenden, Bild 4.

Beim Waterholing hilft nur Aufmerksamkeit. Lassen Sie sich nicht von der gewohnten Umgebung täuschen. Gewöhnen Sie sich an, Links immer und überall erst zu prüfen. Hilfreich dabei ist beispielsweise die Linkanzeige in der unteren linken Ecke des Browserfensters, Bild 5.

Wenn Sie mit dem Mauszeiger über einen Link fahren, sehen Sie hier die wirkliche Adresse des Links und nicht einen beliebigen Namen, wie er direkt auf der Website angegeben werden kann.