Dans Social Engineering Penetration Testing (lien externe à ibm.com), les experts en sécurité Gavin Watson, Andrew Mason et Richard Ackroyd écrivent que la plupart des prétextes sont composés de deux éléments principaux : un personnage et une situation. 

Le personnage est le rôle que joue l’escroc dans l’histoire. Pour gagner en crédibilité auprès de la victime potentielle, l'escroc se fait généralement passer pour une personne en position d'autorité par rapport à la victime, comme un patron ou un cadre, ou pour quelqu'un en qui la victime a confiance, comme un collègue, un informaticien ou un prestataire de services. Il arrive également que des pirates tentent de se faire passer pour des amis ou des proches de la victime qu'ils ciblent.

La situation est le scénario mis en avant par l'escroc, c'est-à-dire la raison pour laquelle le personnage demande à la victime de faire quelque chose pour lui. Les situations peuvent être génériques (par exemple, « vous devez mettre à jour les informations de votre compte ») ou très spécifiques, surtout si les escrocs ciblent une victime en particulier.

Pour rendre crédibles leurs personnages et leurs situations, les acteurs de la menace font généralement des recherches en ligne sur leur personnage et leur cible. Ce n'est pas si difficile à faire. Selon un rapport d'Omdia, les pirates informatiques sont capables de préparer une histoire convaincante, sur la base d'informations provenant des réseaux sociaux et d'autres sources publiques, après seulement 100 minutes de recherche sur Google.

Parmi les autres techniques permettant de rendre les personnages plus crédibles, citons l'usurpation de l'adresse e-mail ou du numéro de téléphone du personnage, ou l'accès non autorisé au compte de messagerie électronique ou au numéro de téléphone réel du personnage et son utilisation pour envoyer le message. En 2019, une escroquerie a donné un aperçu de ce que pourrait être l’avenir du pretexting. À cette époque, des escrocs ont réussi à soutirer 243 000 USD à une entreprise d'énergie britannique en utilisant l'intelligence artificielle (IA) pour imiter la voix du PDG de la société mère et passer des appels téléphoniques frauduleux demandant des paiements aux fournisseurs de l'entreprise. 

Escroqueries par compromission des e-mails professionnels (BEC)

La compromission des e-mails professionnels (BEC) est une forme particulièrement perfide d'ingénierie sociale ciblée qui repose largement sur le pretexting. Dans ce type d'escroquerie, le personnage est un cadre d'entreprise réel ou un associé de haut niveau ayant de l'autorité ou de l'influence sur la cible. La situation est un besoin d'aide urgent de la part du personnage, par exemple, « je suis coincé dans un aéroport et j'ai oublié mon mot de passe. Pouvez-vous m'envoyer mon mot de passe pour le système de paiement  (ou pouvez-vous virer XXX XXX,XX dollars sur le compte bancaire #YYYYYY pour régler la facture ci-jointe) ?

Année après année, les fraudes BEC se classent parmi les cybercrimes les plus coûteux. Selon le rapport 2022 d'IBM sur le coût des violations de données, les violations de données résultant d'une attaque BEC coûtent en moyenne 4,89 millions de dollars aux victimes. Et selon les données de l'Internet Crime Complaint Center du FBI (lien externe à ibm.com), les fraudes BEC ont entraîné des pertes totales de près de 2,4 milliards de dollars pour les victimes en 2021.

Escroqueries liées à la mise à jour des comptes

Ici, l'escroc se fait passer pour un représentant d'une entreprise alertant la victime d'un problème avec son compte, comme des informations de facturation expirées ou un achat suspect. L'escroc inclut un lien qui conduit la victime vers un faux site Web qui dérobe ses identifiants de connexion, ses informations de carte de crédit, son numéro de compte bancaire ou son numéro de sécurité sociale.

Escroqueries aux grands-parents

Comme de nombreuses escroqueries par ingénierie sociale, celle-ci s'attaque aux personnes âgées. Le cybercriminel se fait passer pour le petit-fils ou la petite-fille de la victime et prétend être en difficulté (par exemple, il/elle a eu un accident de voiture ou a été arrêté[e]) et a besoin que ses grands-parents lui envoient de l'argent pour payer les frais d’hospitalisation ou la caution.

Escroqueries sentimentales

Dans le cas d'une escroquerie sentimentale par pretexting, l’escroc prétend vouloir une relation amoureuse avec la victime. Après avoir conquis le cœur de la victime, l'escroc lui demande généralement de l'argent qui supprimera un dernier obstacle à leur (ré)union, par exemple une dette paralysante, une obligation légale ou même le coût d'un billet d'avion pour rendre visite à la victime.

Escroqueries aux cryptomonnaies

L'escroc se fait passer pour un investisseur prospère ayant une opportunité infaillible en matière de cryptomonnaies et dirige la victime vers une fausse bourse de cryptomonnaies, où les informations financières ou l'argent de la victime sont dérobés. Selon la Federal Trade Commission (FTC) (lien externe à ibm.com), les consommateurs américains ont perdu plus d'un milliard de dollars à cause d'escroqueries liées aux cryptomonnaies entre janvier 2021 et mars 2022.

Escroqueries fiscales/gouvernementales

Se faisant passer pour un représentant du fisc, un agent des forces de l'ordre ou un autre représentant du gouvernement, l'escroc prétend que la personne visée a des ennuis – par exemple, elle n'a pas payé ses impôts ou fait l'objet d'un mandat d'arrêt – et lui demande d'effectuer un paiement pour éviter un privilège hypothécaire, une saisie de salaire ou une peine de prison. Le paiement, bien sûr, est versé sur le compte de l'escroc. 

Le pretexting est un élément clé de nombreuses escroqueries par ingénierie sociale, notamment :

Hameçonnage. Comme indiqué précédemment, le pretexting est particulièrement courant dans les attaques de phishing ciblées, notamment le harponnage qui vise une personne en particulier, et le whaling, une forme de harponnage ciblant un dirigeant ou un employé ayant un accès privilégié à des informations ou des systèmes sensibles.

Mais le pretexting joue également un rôle dans les escroqueries par hameçonnage non ciblé, c’est-à-dire envoyé au plus grand nombre de personnes possible, que ce soit par e-mail, SMS ou appel vocal. Par exemple, un escroc pourrait envoyer un SMS tel que « [NOM DE LA BANQUE MONDIALE ICI] : votre compte est à découvert » à des millions de personnes, en espérant qu'un certain pourcentage des destinataires soient clients de la banque, et qu'un certain pourcentage de ces clients répondront au message.

Tailgating. Le tailgating (ou « talonnage ») (voir aussi la variante appelée « piggybacking ») désigne le fait qu’une personne non autorisée suive de près une personne autorisée dans un lieu nécessitant une autorisation, comme un immeuble de bureaux sécurisé. Les escrocs utilisent le pretexting pour améliorer la réussite de leurs tentatives de tailgating, par exemple en se faisant passer pour un livreur et en demandant à un employé peu méfiant de lui ouvrir une porte fermée à clé. 

Baiting. Dans le cas du baiting, aussi appelé « appâtage », un criminel incite les victimes à télécharger des logiciels malveillants en les attirant avec un appât alléchant mais compromis. L’appât peut être physique (par exemple, des clés USB contenant un code malveillant et laissées bien en vue dans des lieux publics) ou numérique (par exemple, des téléchargements gratuits de films qui s’avèrent être des logiciels malveillants). Les escrocs utilisent souvent des techniques de pretexting pour rendre l’appât plus attrayant. Par exemple, un escroc pourrait apposer des étiquettes sur une clé USB compromise pour suggérer qu'elle appartient à une entreprise particulière et contient des fichiers importants. 

Plusieurs lois sectorielles visent explicitement le pretexting. La Loi Gramm-Leach-Bliley de 1999 criminalise le pretexting dans le cadre des institutions financières, rendant criminel le fait d'obtenir les informations financières d'un client sous de faux prétextes. Elle exige également que les institutions financières forment leurs employés à détecter et à prévenir le pretexting. La loi américaine de 2006 sur les enregistrements téléphoniques et la protection de la vie privée interdit explicitement l'utilisation du pretexting pour accéder aux informations clients détenues par un fournisseur de télécommunications.

En décembre 2021, la FTC a proposé une nouvelle règle (lien résidant en dehors d'ibm.com) qui interdirait officiellement l'usurpation de l'identité d'un représentant de toute agence gouvernementale ou entreprise. Cette règle permettrait à la FTC d’appliquer l’interdiction des tactiques courantes de pretexting, comme l’utilisation du logo d’une entreprise sans autorisation, la création d’un faux site Web qui imite une entreprise légitime et l’usurpation d’e-mails professionnels.

Comme pour toute autre forme d'ingénierie sociale, la lutte contre le pretexting peut s'avérer difficile, car cette technique exploite la psychologie humaine plutôt que des vulnérabilités techniques qui peuvent être corrigées. Mais il existe des mesures efficaces que les organisations peuvent prendre.

• Le protocole DMARC (Domain-Based Message Authentication, Reporting) : le DMARC est un protocole d'authentification des e-mails qui permet d'empêcher l'usurpation d'identité. Il vérifie si un e-mail a été envoyé depuis le domaine dont il prétend provenir. Si un e-mail jugé usurpé, il peut être automatiquement détourné vers un dossier spam ou supprimé.
  
  
• Autres technologies de cybersécurité : en plus de DMARC, les organisations peuvent mettre en œuvre des filtres de messagerie basés sur l'IA qui détectent les phrases et les lignes d'objet utilisées dans les attaques de pretexting connues. Une passerelle web sécurisée peut empêcher les utilisateurs de cliquer sur des liens d'hameçonnage vers des sites Web suspects. Si un pirate informatique accède au réseau par le biais du pretexting, des technologies de cybersécurité telles que les plateformes de détection et réponse des terminaux (EDR), de détection et réponse du réseau (NDR) et de détection et réponse étendues (XDR) peuvent intercepter les activités malveillantes.
   
• Formation de sensibilisation à la sécurité: dans la mesure où le pretexting manipule les gens pour qu'ils compromettent leur propre sécurité, la formation des employés à la détection et à la réponse adéquate aux escroqueries par pretexting peut contribuer à protéger une organisation. Les experts recommandent de réaliser des simulations basées sur des exemples concrets de pretexting pour aider les employés à faire la différence entre le pretexting et les demandes légitimes de leurs collègues. La formation peut également inclure des protocoles clairs pour la manipulation d'informations sensibles, l'autorisation de paiements et la vérification des demandes auprès de leurs sources supposées avant de s'y conformer.