Data di aggiornamento: 6 settembre 2024
Autori: Jim Holdsworth, Matthew Kosinski
Il pretexting è l'uso di una storia, o pretesto, inventata per conquistare la fiducia di una vittima e indurla o manipolarla a condividere informazioni sensibili, scaricare malware, inviare denaro ai criminali o danneggiare in altro modo se stessa o l'organizzazione per cui lavorano.
La fiducia è la prima arma dei truffatori. La storia usata come pretesto è il modo in cui la vittima si guadagna fiducia delle vittime negli attacchi mirati di social engineering come lo spear phishing, il whale phishing e la compromissione delle e-mail aziendali (BEC). Ma i criminali informatici, così come i criminali normali, possono anche usare il pretexting da solo per rubare informazioni o risorse preziose da individui o organizzazioni.
Un aggressore spesso crea una situazione falsa per la vittima e si spaccia per una persona affidabile in grado di risolverla. Nel libro Social Engineering Penetration Testing, gli autori osservano che la maggior parte dei pretesti è composta da due elementi principali: un personaggio e una situazione.1
Il personaggio è il ruolo che il truffatore interpreta nella storia. Per creare credibilità agli occhi della potenziale vittima, spesso si spaccia per qualcuno di autorevole, come un capo, un dirigente o qualcuno di cui la vittima è incline a fidarsi. Questo personaggio (fittizio) potrebbe essere un collega, un dipendente IT o un provider di servizi. Alcuni aggressori potrebbero persino tentare di impersonare un amico o una persona cara della vittima designata.
La situazione è la trama della falsa storia del truffatore, il motivo per cui il personaggio (truffatore) chiede alla vittima di intraprendere un'azione. Possono essere situazioni generiche, ad esempio: "Devi aggiornare le informazioni del tuo account", oppure di storie più specifiche, soprattutto se il truffatore sta prendendo di mira una vittima in particolare: "Nonna, ho bisogno di aiuto".
Per rendere credibili le imitazioni e le situazioni dei loro personaggi, gli attori delle minacce spesso ricercano il loro personaggio e il loro obiettivo online, una ricerca che è più facile di quanto si pensi. Secondo alcune stime, gli hacker possono creare una storia convincente basata su informazioni provenienti dai feed social e da altre risorse pubbliche online, come Google o LinkedIn, in appena 100 minuti di ricerca.
Lo spoofing, ovvero la falsificazione di indirizzi e-mail e numeri di telefono per far sembrare che un messaggio provenga da un'altra fonte, può rendere più credibili gli scenari di pretexting. Ma gli autori delle minacce potrebbero andare ancora oltre e dirottare l'account e-mail o il numero di telefono di una persona reale per inviare il messaggio di pretexting. Ci sono persino storie di criminali che usano l'AI per clonare le voci delle persone.
Il pretexting è una componente chiave di numerose tattiche di social engineering, tra cui:
Il pretexting è frequente negli attacchi di phishing mirati, come lo spear phishing, che prende di mira una persona specifica, e il whaling, che prende di mira un dirigente o un utente con accesso privilegiato a informazioni o sistemi sensibili.
Ad esempio, un truffatore potrebbe inviare un SMS, "[Nome di banca globale]: Il suo conto è in rosso" a milioni di persone, sperando che una percentuale dei destinatari siano clienti della banca e una percentuale di questi risponda al messaggio. Anche un numero ridotto di vittime può fruttare un grosso bottino per i truffatori.
In questi tipi di attacchi, un criminale induce la vittima a scaricare malware attirandola con un'esca attraente ma compromessa che può essere un oggetto fisico, come una chiavetta USB caricata con codice dannoso e lasciata ben visibile in un luogo pubblico, oppure digitale, come la pubblicità per il download gratuito di film che in realtà si rivelano essere malware.
I truffatori spesso usano pretesti per rendere l'esca più allettante. Ad esempio, un truffatore potrebbe apporre etichette su un'unità USB compromessa per fingere che appartenga a una particolare azienda e contenga file importanti.
I pretesti possono essere utilizzati anche per truffe di persona, come il tailgating. Il tailgating, detto anche "piggybacking", è quando una persona non autorizzata segue una persona autorizzata in un luogo che richiede l'autorizzazione, come un edificio di uffici. I truffatori usano pretesti per rendere più efficaci i loro tentativi di tailgating, ad esempio fingendosi un corriere e chiedendo a un ignaro dipendente di aprire loro una porta chiusa a chiave.
Le truffe create dagli impostori, come il pretexting, sono il tipo di frode più comune secondo la Federal Trade Commission, con perdite che ammontano a 2,7 miliardi di dollari solo l'anno scorso.2 Alcuni dei tipi di truffe di pretexting più comuni includono:
In questo attacco informatico, il truffatore finge di essere il rappresentante di un'azienda che avvisa la vittima di un problema con il suo account, come dati di fatturazione scaduti o acquisti sospetti.Il truffatore include un link che reindirizza la vittima a un sito web falso, dove gli vengono rubate le credenziali di autenticazione, i dati della carta di credito, il numero di conto corrente o il numero di previdenza sociale.
La compromissione dell'e-mail aziendale (BEC) è un tipo di attacco di social engineering mirato che si basa pesantemente sul pretexting. Il 25% di tutti gli attacchi BEC (link esterno a ibm.com) ora inizia con un pretesto.
Nella BEC, il personaggio è un dirigente aziendale reale o un socio in affari di alto livello con autorità o influenza sulla vittima. Poiché il truffatore finge di essere qualcuno in una posizione di potere, molti bersagli semplicemente gli obbediscono.
La situazione creata è una richiesta di aiuto da parte del personaggio per un'attività (quasi sempre) urgente. Ad esempio, "Sono bloccato in un aeroporto e ho dimenticato la password del sistema di pagamento. Puoi ricordarmela, per favore?" Oppure "Puoi effettuare un bonifico di XXX.XXX USD sul conto bancario #YYYYY per pagare la fattura allegata? Sbrigati o mi annullano il servizio."
Impersonando un capo attraverso testi, e-mail, telefonate e persino video generati dall'AI, i truffatori riescono spesso ingannare i dipendenti e indurli a rivelare informazioni sensibili o addirittura a commettere reati.
In un caso famoso, una conferenza web preregistrata (e generata dall'AI) si è conclusa con una richiesta da parte del falso dirigente senior che ha convinto un dipendente a trasferire 200 milioni di HKD agli aggressori.4
Anno dopo anno, la BEC si colloca tra i crimini informatici e le tecniche di social engineering in cui vengono persi più soldi. Secondo il report IBM Cost of a Data Breach, le violazioni dei dati causate dalla BEC costano alle organizzazioni vittime in media 4,88 milioni di dollari.
Secondo i dati dell'Internet Crime Complaint Center dell'FBI, la BEC ha provocato un totale di quasi 2,9 miliardi di dollari di perdite per le vittime nel 2023.3
Fingendosi un investitore di successo con un'opportunità "infallibile" riguardo alle criptovalute, il truffatore indirizza la vittima verso un falso exchange di criptovalute, dove gli vengono rubati soldi o le informazioni finanziarie.
In una variante a lungo termine di questa truffa, chiamata "pig butchering", il truffatore coltiva un rapporto con la vittima e acquisisce la sua fiducia attraverso i social. Quindi, il truffatore presenta un'"opportunità di business" alla vittima, che viene indirizzata su un sito di criptovalute per effettuare depositi. Il sito potrebbe persino riportare aumenti falsi del valore dell'investimento, ma i soldi depositati non possono più essere ritirati.5
Come molte altre truffe di social engineering, anche questa prende di mira gli anziani. Il criminale informatico si spaccia per il nipote della vittima e finge di trovarsi in qualche guaio, ad esempio, che abbia avuto un incidente d'auto o sia stato arrestato, e di avere bisogno che i nonni gli inviino del denaro per poter pagare le spese ospedaliere o la cauzione.
La vittima designata riceve una fattura per un servizio o prodotto che non ha ordinato o utilizzato. Il truffatore spesso vuole che la vittima faccia clic su un link contenuto in un'e-mail per richiedere maggiori informazioni o effettuare un reclamo relativo all'addebito. Alla vittima viene quindi chiesto di fornire informazioni di identificazione personale (PII) per verificare il proprio account, e proprio quelle informazioni private sono ciò che il truffatore cercava fin dall'inizio.
Fingendosi funzionari dell'Internal Revenue Service (IRS), agenti delle forze dell'ordine o altri rappresentanti del governo, il truffatore afferma che l'obiettivo è in qualche guaio relativo al mancato pagamento delle tasse o a un mandato di arresto. Solitamente, il truffatore indirizza la vittima a effettuare un pagamento per evitare l'arresto, pegni ipotecari o pignoramenti dello stipendio. Naturalmente, il pagamento va a finire sul conto del truffatore.
Una persona in cerca di lavoro potrebbe essere disposta a divulgare informazioni normalmente sensibili a un potenziale datore di lavoro. Ma se l'offerta di lavoro è falsa e pubblicata da un truffatore, potrebbe diventare vittima di un furto di identità.
Il truffatore finge di cercare una relazione romantica con la vittima. Dopo aver conquistato il suo cuore, il truffatore in genere richiede denaro per rimuovere qualche ultimo ostacolo al loro stare insieme, ad esempio un debito paralizzante, un obbligo legale o persino il costo di un biglietto aereo per andare a trovare la vittima.
Lo scareware è una truffa di ingegneria sociale che utilizza la paura per indurre le persone a scaricare malware, perdere denaro o fornire dati personali.
Il pretesto di spavento può essere un falso avviso di virus, una falsa offerta di supporto tecnico o una truffa delle forze dell'ordine. Una finestra pop-up avvisa la vittima che è stato rilevato "materiale illegale" sul suo dispositivo digitale, oppure un "test diagnostico" online potrebbe comunicare che il dispositivo è compromesso e che è necessario scaricare un software antivirus (falso) per risolverlo.
Come con qualsiasi altra forma di social engineering, i tentativi di pretexting possono essere difficili da fermare perché sfruttano la psicologia umana piuttosto che le vulnerabilità tecniche che possono essere risolte. Ma ci sono comunque delle azioni che le organizzazioni possono intraprendere.
DMARC è un protocollo di autenticazione e-mail che aiuta a prevenire lo spoofing. Analizzando sia il testo che i metadati dei messaggi alla ricerca di indicatori comuni di compromissione, il protocollo DMARC verifica se un'e-mail è stata inviata dal dominio da cui dichiara di provenire. Se un'e-mail viene rilevata come spoofing, può essere automaticamente deviata a una cartella spam o eliminata.
Poiché i pretesti manipolano le persone inducendole a compromettere la propria sicurezza, formare i dipendenti a rilevare e rispondere adeguatamente alle truffe basate sui pretesti aiuta a proteggere un'organizzazione. Gli esperti raccomandano di eseguire simulazioni basate su esempi di pretexting nella vita reale per aiutare i dipendenti a distinguere tra pretexting e richieste legittime da parte dei colleghi.
La formazione può includere protocolli chiari per predisporre misure di autenticazione più rigide, come l'autenticazione a più fattori (MFA), la gestione di informazioni preziose, l'autorizzazione dei pagamenti e la verifica delle richieste con le presunte fonti prima di procedere.
La verifica può consistere in un semplice messaggio al presunto mittente: "Me l'hai inviato tu?" oppure un messaggio al servizio clienti: "Questo è un hacker?" Le procedure per le transazioni finanziarie possono includere requisiti per la convalida delle richieste di persona o con un contatto personale diretto.
Diverse leggi specifiche del settore prendono di mira esplicitamente il pretexting.La legge Gramm-Leach-Bliley del 1999 criminalizza il pretexting nei confronti degli istituti finanziari, rendendo illegale ottenere informazioni finanziarie di un cliente con falsi pretesti. La legge richiede inoltre agli istituti finanziari di formare i dipendenti nell'individuazione e nella prevenzione del pretexting.
Il Telephone Records and Privacy Protection Act del 2006 vieta esplicitamente l'uso del pretexting per accedere alle informazioni sui clienti detenute da un fornitore di telecomunicazioni.
La Federal Trade Commission (FTC) ha recentemente adottato una norma che vieta formalmente l'impersonificazione di qualsiasi agenzia o azienda governativa.5 La norma autorizza la FTC ad applicare un divieto sulle tattiche comuni di pretexting, come l'utilizzo del logo di un'azienda senza autorizzazione, la creazione di un sito web falso che imita un sito legittimo e lo spoofing di e-mail aziendali.
Gestisci in modo proattivo i rischi per la cybersecurity quasi in tempo reale e riduci al minimo l'impatto degli attacchi ransomware con un software di protezione antiransomware.
Tutti i link sono esterni a ibm.com.
1 Social Engineering Penetration Testing (link esterno a ibm.com), Syngress, 2014.
2 Think you know what the top scam of 2023 was? Take a guess (link esterno a ibm.com), Federal Trade Commission, 9 febbraio 2024.
3 Internet Crime Report 2023 (link esterno a ibm.com), Federal Bureau of Investigation, 2024.
4 Hong Kong sees three deepfake video scams since last year, says security chief (link esterno a ibm.com), The Standard, 26 giugno 2024.
5 FTC Announces Impersonation Rule Goes into Effect Today (link esterno a ibm.com), Federal Trade Commission, 1 aprile 2024.