- Sicherheit
- Privatsphäre
- Leistung
Unter Pretexting-Betrug versteht man clevere Pläne, bei denen man Sie mithilfe erfundener Geschichten dazu verleiten will, persönliche Daten herauszugeben oder Geld zu zahlen. Hier beschreiben wir, wie Pretexting funktioniert und wie Sie Warnsignale erkennen und sich schützen können. Holen Sie sich dann eine KI-gestützte Sicherheits-App, um sich zusätzlich vor Betrug, Malware und anderen Online-Bedrohungen zu schützen.
.svg)
Pretexting ist eine Form von Social Engineering-Betrug, bei dem die Betrüger glaubwürdige Geschichten und Szenarien ("Pretexts" bzw. Vorwände) erfinden, um ihre Opfer zu manipulieren und dazu zu bringen, personenbezogene Daten preiszugeben, Zugriff auf Konten zu gewähren oder Geld zu senden. Diese Betrugsmaschen versuchen, Emotionen anzusprechen und setzen sorgfältig ausgearbeitete Lügengeschichten ein, um Vertrauen aufzubauen und die Hilfsbereitschaft der Opfer auszunutzen.
Ein Betrüger versucht sein Opfer unter dem Vorwand zu manipulieren, einem kranken und bedürftigen Freund helfen zu wollen.
Beim Pretexting versucht der Betrüger, mithilfe einer überzeugenden Hintergrundgeschichte das Vertrauen des Opfers zu gewinnen. Betrüger senden oft Nachrichten und geben sich dabei als Freunde, Familienmitglieder, Firmenvertreter oder Autoritätsperson aus, um mit ihrer Bitte glaubwürdig zu wirken. Mit diesen Täuschungen wollen sie in der Regel an vertrauliche Informationen oder Geld kommen.
Die meisten Pretexting-Scams haben ein ähnliches Muster gemeinsam:
Recherche: Die Betrüger sammeln normalerweise Informationen über ihr potenzielles Opfer, etwa zu seiner Arbeit, seiner Familie oder seinen Online-Aktivitäten. Diesen Schritt überspringen manche Betrüger allerdings und verwenden stattdessen einen allgemeinen, beliebig einsetzbaren Pretext.
Vertrauen aufbauen: Der Scammer beginnt, mit dem Opfer zu kommunizieren, wobei er sich als eine diesem bekannte Person oder Autoritätsperson ausgibt, um glaubwürdig zu wirken.
Der Pretext: Ein glaubwürdiges Szenario mit großer Dringlichkeit wird erfunden, um das Opfer dazu zu bringen, schnell gedankenlos zu handeln.
Abruf: Das Opfer fällt auf den Vorwand herein und gibt dem Betrüger die gewünschten vertraulichen Daten bzw. das Geld.
Exploit-Phase: Der Betrüger begeht mit den gestohlenen Daten weiteren Betrug oder Identitätsdiebstahl.
Vertrauen ist das Entscheidende beim Pretexting: Betrüger suchen sich daher oft gefährdete Personen, etwa ältere oder sozial isolierte Menschen, die eher geneigt sein könnten, das erfundene Szenario zu glauben. Der Unterschied zwischen Pretexting und Hacking oder Datenschutzverletzungen liegt in der psychologischen Manipulation und den detailreichen, glaubwürdigen Geschichten, mit denen versucht wird, Informationen direkt vom Opfer abzugreifen.
Es gibt mehrere warnende Anzeichen, dass jemand versucht, Ihr Vertrauen auszunutzen. Diese können Ihnen helfen, Pretexting-Betrug zu erkennen. Dazu gehören Dringlichkeit, ungewöhnliche oder verdächtige Anfragen und seltsame Kommunikationsweisen.
Achten Sie auf die folgenden Anzeichen eines potenziellen Pretexting-Angriffs:
Formulierungen der Dringlichkeit: Die Betrüger erzeugen ein Gefühl der Dringlichkeit, um Sie unter Druck zu setzen und zu schnellem Handeln zu verleiten, etwa mit Ausdrücken wie "jetzt", "sofort" oder unverzüglich". Wenn Sie versuchen, Zeit zu gewinnen, bestehen sie womöglich mit noch größerem Nachdruck auf ihre Forderung.
Allzu vertrauliche Sprache: Pretexter verhalten sich oft so, als ob sie bereits Ihr Freund oder zumindest eine Ihnen bekannte Person wären. Mit Wendungen wie "Hallo, kannst du mir einen Gefallen tun?" versuchen sie, ihre Forderung normal erscheinen zu lassen.
Verdächtige Forderungen: Vorsicht bei jeglicher Nachricht, in der Sie nach vertraulichen Informationen gefragt werden oder etwas herunterladen oder eine Finanztransaktion tätigen sollen – auch wenn der Rest der Nachricht normal erscheint!
Gefälschte Kontaktdetails: Manche Betrüger imitieren mithilfe von Spoofing-Verfahren legitime Websites, E-Mails oder Telefonnummern. Achten Sie stets auf Unstimmigkeiten in URLs, E-Mail-Adressen oder Telefonnummern.
Auffälliges Kommunikationsverhalten: Bei Nachfragen wechseln Betrüger möglicherweise das Thema, ignorieren Ihre Fragen oder geben vage, vorgefertigte Ausreden.
Auch echte Nachrichten können zuweilen solche Merkmale aufweisen. Überprüfen Sie daher stets die Identität des Absenders, bevor Sie handeln. Nehmen Sie sich im Zweifelsfall etwas Zeit und untersuchen Sie die Situation genauer.
Betrügern stehen viele Tricks für Pretexting-Angriffe zur Verfügung; unter anderem können sie sich als technischer Support ausgeben, gefälschte Geschenke anbieten oder Phishing-Links senden. Oft kombinieren sie diese Methoden; dies ist davon abhängig, wer ihre Zielperson ist und was sie stehlen wollen.
Zu den am weitesten verbreiteten Methoden im Pretexting-Arsenal gehört Identitätsbetrug: Dabei geben sich die Betrüger als Freund oder Familienmitglied oder als Mitarbeiter einer Firma aus, der Sie vertrauen. Ein Beispiel hierfür ist Tech-Support-Betrug, wobei sie sich als Mitarbeiter von Microsoft oder Apple ausgeben und behaupten, Ihr Gerät "reparieren" zu wollen. Beim USPS-Text-Betrug geben sie sich als Mitarbeiter eines Lieferservice aus und behaupten, dass es ein Problem mit Ihrem Paket gebe.
Um glaubwürdiger zu wirken, können die Betrüger möglicherweise Telefonnummern oder E-Mail-Adressen spoofen, sodass sie von der Person oder Organisation zu kommen scheinen, als die sie sich ausgeben.
Pretexting-Scammer gibt sich als Microsoft aus
Beim Tailgating in Pretexting-Betrugsversuchen folgt der Betrüger einem Opfer physisch in einen gesicherten Bereich, indem er sich unauffällig verhält und legitim erscheint, sodass niemand alarmiert wird. Dort angekommen, kann der Angreifer in der betreffenden Umgebung nach sensiblen Daten suchen oder auf nicht öffentlich zugängliche Systeme zugreifen, wobei er sich wie ein Organisationsangehöriger verhält, um nicht erkannt zu werden.
Beim Piggybacking geht der Betrug noch einen Schritt weiter: Der Angreifer schleicht sich nicht nur ein, sondern nutzt Manipulation, um sich als vertrauenswürdige Person auszugeben. Er könnte mit einer plausiblen Story vorgeben, der Fahrer eines Lieferservice, ein Gebäudetechniker oder sogar ein Kollege zu sein und das Opfer dazu bringen, ihm direkt und unter Umgehung der normalen Sicherheitsvorkehrungen Zugang zu geben.
Pretexting-Betrüger können die Hilfsbereitschaft anderer ausnutzen, um Zugang zu geschützten Bereichen zu gewinnen.
Beim Baiting verleiten Betrüger unter Vorgabe falscher Tatsachen ihre Opfer dazu, Malware herunterzuladen: Dabei kann es um einen als Produkt einer seriösen Firma getarnten "verloren gegangenen" USB-Datenträger oder eine Online-Anzeige für kostenlose Downloads von Spielen oder Filmen gehen. Dazu können auch falsche Versprechungen von Belohnungen gehören – etwa Gutscheine, Rückerstattungen oder Geldpreise –, mit denen versucht wird, den Opfern persönliche Daten zu entlocken. Stattdessen sind die Opfer Diebstahl und Betrug wehrlos ausgeliefert.
Beim Phishing versucht ein Betrüger, sein Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben oder auf einen mit Malware infizierten Link zu klicken. Bei diesen Angriffen kommt oft Pretexting zum Einsatz, um das Vertrauen des Opfers zu gewinnen und es zu manipulieren. In manchen Fällen gehört es zum Phishing mit Pretexting, vor dem eigentlichen Betrugsversuch mehrere Nachrichten auszutauschen, um eine Beziehung aufzubauen.
Pretexting gehört immer auch zum Spear-Phishing, einer besonderen Form des Phishing. Dabei wird eine Person gezielt anvisiert und die Nachrichten werden genau auf ihre Lebensverhältnisse abgestimmt, einschließlich Details zu ihr bekannten Personen. Bei diesen gezielten, personalisierten Tricks lässt sich das Opfer unter Umständen dazu bewegen, personenbezogene Daten preiszugeben oder auf einen schädlichen Link zu klicken.
So könnte ein Betrüger sich beispielsweise als Ihr Arbeitgeber ausgeben und eine scheinbar echte Konversation beginnen. Nachdem Sie einige harmlose erscheinende Nachrichten ausgetauscht haben, erhalten Sie eine Nachricht, die einen präparierten Link enthält, getarnt als ein mit Ihrer Arbeit zusammenhängendes Dokument, das Sie dringend prüfen müssen.
Beispiel: Phishing-Betrug mit dem Vorwand eines zu unterzeichnenden Arbeitsdokuments
Beim Vishing oder Voice-Phishing sollen die Opfer mithilfe von Telefonanrufen oder Voice-Nachrichten dazu gebracht werden, vertrauliche Informationen preiszugeben. So könnte ein Betrüger sein Opfer beispielsweise anrufen und vorgeben, für die Sozialversicherung zu arbeiten. Dabei könnte er eine gespoofte Nummer verwenden, um zu versuchen, es zur Preisgabe seiner Sozialversicherungsnummer zu bewegen, die ihm dann einen Identitätsdiebstahl ermöglichen könnte.
Smishing ist ein ähnlicher Trick, wobei SMS-Nachrichten zur Kommunikation verwendet werden. So könnte ein Betrüger sich beispielsweise als Mitarbeiter der Steuerbehörde ausgeben und eine SMS wegen einer angeblichen Steuerrückerstattung senden.
Scareware-Nachrichten sollen die Opfer ängstigen, um sie dazu zu bringen, Schadsoftware herunterzuladen. Der Betrüger macht sich Angst und Panik zunutze, um die Opfer zu gedankenlosem Handeln zu verleiten. Typische Scareware erscheint in Form von Popup-Warnungen, die mit katastrophalen Konsequenzen drohen, falls der Benutzer das gefälschte Antivirus- oder Sicherheitstool nicht installiert.
Scareware-Virenwarnung auf einem Computer
Es gibt auch andere Formen von Scareware: gefälschte Nachrichten von Behörden, die mit strafrechtlicher Verfolgung drohen, wenn ein "Bußgeld" oder "ausstehende Steuern" nicht bezahlt werden, oder gefälschte Ransomware-Warnungen, die Zahlungen für die Entsperrung bestimmter Dateien verlangen.
Whaling ist ein Phishing-Angriff, bei dem die Betrüger sich als wichtige Persönlichkeiten ausgeben, um ihre Opfer zu manipulieren. Bei manchen Angriffen dieser Art gibt sich der Betrüger als Prominenter oder wichtige Persönlichkeit im Geschäftsleben aus; in den meisten Fällen ist es jedoch der CEO oder ein anderer leitender Angestellter am Arbeitsplatz des Opfers.
In vielen Fällen hat der Scammer es gar nicht auf den Mitarbeiter selbst abgesehen – dieser dient dazu, Firmenressourcen in größerem Maßstab zugänglich zu machen. Allerdings nutzen manche Whaling-Angriffe wichtige Personen lediglich wegen ihres persönlichen Besitzes aus, ohne das Unternehmen weiter zu schädigen.
Betrüger nutzen viele Vorwände, von romantischen Beziehungen bis hin zu Spendenanfragen. Pretexting kann in Umfang und Kontext höchst unterschiedliche Formen annehmen, verfolgt aber immer dasselbe Ziel: dem Opfer Geld oder Informationen zu entlocken.
Hier zeigen wir einige Beispiele für unterschiedliche von Betrügern verwendete Pretexts:
Romance Scams: Die Betrüger täuschen eine romantische Beziehung mit dem Opfer vor, häufig einsame oder schutzlose Personen. Sie geben vielleicht vor, reich zu sein und jemanden zu suchen, den sie verwöhnen können. Nachdem sie das Vertrauen des Opfers gewonnen haben, fordern sie Geld oder persönliche Daten als Treuebeweis. Dies wird allgemein als Sugar Daddy-Scam bezeichnet.
Notfall-Scam: Die Betrüger versuchen, ältere Menschen auszunutzen, indem sie sich als Enkel oder anderes Familienmitglied ausgeben, das in Schwierigkeiten steckt. Mit dringlicher Ausdrucksweise und emotionaler Manipulation setzen sie das Opfer unter Druck, rasch zu handeln. Dabei versuchen sie oft, Schuldgefühle zu erzeugen, falls dieses zögert.
Gewinnspielbetrug: Diese Betrugsmaschen versprechen dem Opfer einen Preis, etwa einen Geschenkgutschein, einen Luxusartikel, einen Urlaub oder eine andere Belohnung, um seine Aufmerksamkeit zu erregen. Um den Preis zu beanspruchen, muss das Opfer persönliche Daten angeben oder eine Gebühr zahlen, was der Betrüger dann zu seinem Vorteil ausnutzt.
Betrug mit Cash App und Zahlungsplattformen: Über Plattformen wie Venmo, PayPal und Cash App verschaffen sich die Betrüger direkten Zugang zum Geld ihrer Opfer. Ein verbreiteter Trick ist die gefälschte #CashAppFriday-Sonderaktion: Den Opfern wird gesagt, dass sie gewonnen haben und eine Gebühr zahlen müssen, um ihren Preis zu erhalten.
Wohltätigkeitsbetrug: Hier geben sich die Betrüger als seriöse gemeinnützige Organisationen aus, um Spenden zu sammeln. Sie stimmen möglicherweise ihre gefälschte Organisation auf die Interessen des Opfers ab, etwa indem sie behaupten, Tierschutz- oder Umweltschutzgruppen wie Save the Whales oder Greenpeace zu repräsentieren. Der Spendenlink ist Betrug und das Geld wird direkt an den Betrüger überwiesen.
Die Pretexting-Betrugsmaschen in den folgenden Beispielen haben unter Ausnutzung aktueller Ereignisse oder menschlicher Schwächen zahlreiche Opfer anvisiert:
Hilfe für Kriegsopfer: Betrüger machen sich oft reale Katastrophen zunutze, um Menschen zu täuschen. So sind beispielsweise seit dem Beginn des Kriegs zwischen Russland und der Ukraine 2022 zahlreiche gefälschte Hilfsorganisationen aufgetaucht, die behaupten, in der Ukraine humanitäre Hilfe zu leisten. In ähnlicher Weise greifen Wohltätigkeitsbetrüger Personen an, die Hilfsmaßnahmen in Gaza unterstützen möchten: Hilfsbereite und großzügige Menschen werden verleitet, für betrügerische Zwecke zu spenden.
Entlassungen im Technologiesektor: Betrüger haben sich nach der großen Entlassungswelle in der US-amerikanischen Technologiebranche 2023, von der Mitarbeiter bei Amazon, Google und Microsoft betroffen waren, als Recruiter auf LinkedIn ausgegeben. Sie haben anhand echter Stellenausschreibungen echt wirkende gefälschte Ausschreibungen und Karriereportale erstellt und vertrauliche Informationen von hoffnungsvollen Arbeitssuchenden gesammelt.
AIDS-Trojaner: Zu einem der ersten großangelegten Pretexting-Scams kam es im Jahr 1989, als Dr. Joseph L. Popp infizierte Disketten an Teilnehmer einer internationalen Konferenz zum Thema AIDS verschickte. Die mit "AIDS Information Introductory Diskette" beschrifteten Disketten enthielten Malware, die die Daten der Opfer sperrte und die Zahlung eines Lösegelds verlangte.
Promi-Romance Scam: Manche Romance Scammer gestalten inzwischen mithilfe von Deepfake-Technologie ihre vorgetäuschten Identitäten noch raffinierter und überzeugender. Ein besonders auffallendes Beispiel betraf eine Frau in Frankreich, die von einem Betrüger, der sich als Brad Pitt ausgab, um 800.000 USD betrogen wurde.
Sie können zu Ihrem Schutz vor Pretexting-Betrug beitragen, indem Sie sich über die Bedrohung informieren, wachsam bleiben, Absender überprüfen und verdächtige Vorkommnisse den zuständigen Behörden melden.
Zusätzlich können Sie sich wie folgt vor Pretexting-Betrug schützen:
Achten Sie auf Warnsignale: Vorsicht bei Nachrichten, die dringend klingen, unerwartet bei Ihnen ankommen oder Warnsignale enthalten, etwa ungewöhnliche Antworten oder verdächtige Forderungen.
Geben Sie keine vertraulichen Informationen weiter: Klicken Sie nicht auf Links und geben Sie keine persönlichen Daten an, es sei denn, Sie sind sicher, dass Sie es mit einer seriösen Quelle zu tun haben.
Überprüfen Sie den Absender: Wenn Sie den Verdacht haben, dass Sie mit einem Betrüger kommunizieren, der sich als eine andere Person ausgibt, nehmen Sie auf einem bekannten und vertrauenswürdigen Weg Kontakt mit dem angeblichen Absender bzw. der Organisation auf, um zu prüfen, ob die Anfrage echt war.
Melden Sie verdächtiges Verhalten: Wenn Sie glauben, von einem Pretexting-Betrugsversuch betroffen zu sein, melden Sie dies unverzüglich dem Management und der IT-Abteilung Ihres Arbeitsplatzes. Nehmen Sie außerdem Kontakt zu den örtlichen Behörden und, falls Sie sich in den USA befinden, mit der FTC auf.
Beobachten Sie Ihre Umgebung: Um Tailgating zu vermeiden, seien Sie stets wachsam, wenn Sie gesicherte Bereiche, etwa Bürogebäude oder Wohnkomplexe, betreten. Halten Sie stets die Sicherheitrichtlinien und -abläufe Ihres Arbeitsplatzes ein.
Pretexting-Betrug lebt von Täuschung. Aber Sie sind nicht allein in seiner Bekämpfung. Avast Free Antivirus erkennt mithilfe modernster KI-gestützter Technologie Betrugsversuche und schädliche Links in Echtzeit. Hinzu kommt hochwirksamer Malware-Schutz, der schädliche Downloads blockiert und Ihnen hilft, Hacker fernzuhalten. Überlassen Sie nicht Betrügern das letzte Wort – holen Sie sich noch heute preisgekrönten Schutz.
