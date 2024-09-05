Un acteur malveillant crée souvent une fausse situation pour la victime et se fait passer pour une personne fiable qui peut la résoudre. Dans le livre Social Engineering Penetration Testing, les auteurs observent que la plupart des prétextes sont composés de deux éléments principaux : un personnage et une situation.

Le personnage est le rôle que joue l’escroc dans l’histoire. Pour renforcer sa crédibilité auprès de la victime potentielle, l’escroc se fait souvent passer pour une personne qui a de l’autorité sur la victime, comme un patron, un cadre ou une personne en qui la victime a normalement confiance. Cette (fausse) personne peut être un collègue de travail, un informaticien ou un prestataire de services. Certains cybercriminels peuvent même tenter de se faire passer pour un ami ou un proche de la victime.

La situation est le scénario de l’histoire inventée par l’escroc, c’est-à-dire la raison pour laquelle la personne (l’escroc) demande à la victime d’agir. Les situations peuvent être génériques, telles que : « Vous devez mettre à jour les informations de votre compte. » Ou l’histoire peut être précise, surtout si l’escroc cible une victime en particulier : « J’ai besoin de ton aide mamie. »

Pour rendre crédibles leurs personnages et leurs situations, les acteurs de la menace font souvent des recherches en ligne sur leur personnage et leur cible. Et cette recherche n’est pas difficile. Selon certaines estimations, les pirates informatiques sont capables de préparer une histoire convaincante, sur la base d’informations provenant des réseaux sociaux et d’autres ressources publiques telles que Google ou LinkedIn, après seulement 100 minutes de recherche en ligne.

L’usurpation d’identité (la falsification d’adresses électroniques et de numéros de téléphone pour faire croire qu’un message provient d’une autre source) peut rendre les scénarios de pretexting plus crédibles. Les acteurs malveillants peuvent même aller plus loin et détourner le compte de messagerie ou le numéro de téléphone d’une personne réelle pour envoyer le message de pretexting. Il existe même des histoires de criminels qui utilisent l’intelligence artificielle pour cloner la voix des gens.