Il pretexting è l'uso di una storia inventata, o pretesto, che ha l'obiettivo di ottenere la fiducia della vittima e ingannarla o manipolarla affinché condivida informazioni sensibili, scarichi malware, invii denaro ai criminali o danneggi in altro modo sé stessa o l'organizzazione per cui lavora.
Il pretexting è una tattica fondamentale degli attacchi mirati di ingegneria sociale come lo spear phishing, il whaling e la BEC (Business Email Compromise) (vedi di seguito). Ma i criminali informatici - e i semplici criminali in carne e ossa - possono anche usare il pretexting da solo per rubare informazioni o beni preziosi a persone o organizzazioni.
Nella pubblicazione Social Engineering Penetration Testing (link esterno a ibm.com), gli esperti di sicurezza Gavin Watson, Andrew Mason e Richard Ackroyd scrivono che la maggior parte dei pretesti è composta da due elementi principali: un personaggio e una situazione.
Il personaggio è il ruolo che il truffatore svolge nella storia. Per creare credibilità nei confronti della potenziale vittima, il truffatore di solito impersona qualcuno che ha autorità sulla vittima, come un capo o un dirigente, o qualcuno di cui la vittima è propensa a fidarsi, come un collega, un membro del team IT o un fornitore di servizi. Alcuni aggressori possono tentare di impersonare amici o persone care della vittima.
La situazione è la trama della finta storia del truffatore, il motivo per cui il personaggio chiede alla vittima di fare qualcosa per lui. Le situazioni possono essere generiche - ad esempio, "devi aggiornare i dati del tuo account" - o molto specifiche, soprattutto se i truffatori si rivolgono a una vittima in particolare.
Per rendere credibili le impersonificazioni dei personaggi e le situazioni, gli attori delle minacce di solito fanno ricerche online sul loro personaggio e sul loro obiettivo. Non è un'operazione così difficile. Secondo un report di Omdia (link esterno a ibm.com), gli hacker sono in grado di creare una storia convincente, basandosi su informazioni provenienti dai feed dei social media e da altre fonti pubbliche, dopo soli 100 minuti di ricerche generiche su Google.
Altre tecniche per rendere i personaggi più credibili includono lo spoofing dell'indirizzo e-mail o del numero di telefono del personaggio, oppure l'accesso non autorizzato all'effettivo account e-mail o numero di telefono del personaggio e il suo utilizzo per inviare il messaggio. In quello che potrebbe essere uno sguardo al futuro del pretexting, nel 2019 i truffatori hanno sottratto 243.000 dollari a un'azienda energetica del Regno Unito utilizzando l'AI per riprodurre la voce del CEO della società madre dell'azienda ed effettuare telefonate fraudolente per richiedere pagamenti ai fornitori dell'azienda.
Truffe Business Email Compromise
La BEC (Business Email Compromise) è un tipo particolarmente elaborato di ingegneria sociale mirato che si basa molto sul pretexting. Nella BEC, il personaggio è un dirigente aziendale reale o un socio d'affari di alto livello con autorità o influenza sull'obiettivo. La situazione è la richiesta di aiuto da parte del personaggio per un compito urgente - ad esempio: sono bloccato in aeroporto e ho dimenticato la password - puoi inviarmi la password per il sistema di pagamento (o puoi inviare un bonifico di USDXXX.XXX,XX al conto bancario #YYYYYY per pagare la fattura allegata)?
Anno dopo anno, la BEC si colloca tra i crimini informatici più costosi. Secondo il report IBM Cost of a Data Breach 2022 , le violazioni di dati derivanti da BEC costano alle vittime una media di 4,89 milioni di dollari. E, secondo i dati dell' Internet Crime Complaint Center dell'FBI (PDF, 1,3 MB; link esterno a ibm.com), nel 2021 gli attacchi BEC hanno causato alle vittime perdite complessive per quasi 2,4 miliardi di dollari.
Truffe di aggiornamento dell'account
In questo caso, il truffatore finge di essere un rappresentante di un'azienda che avvisa la vittima di un problema con il suo account, come informazioni di fatturazione scadute o un acquisto sospetto. Il truffatore include un link che porta la vittima a un sito web falso che ruba le sue credenziali di autenticazione, i dati della carta di credito, il numero di conto bancario o il numero di previdenza sociale.
Truffe dei nonni
Come molte truffe di ingegneria sociale, anche questa prende di mira gli anziani. Il criminale informatico si spaccia per il nipote della vittima e finge di trovarsi nei guai (ad esempio, ha avuto un incidente stradale o è stato arrestato) e ha bisogno che i nonni gli inviino del denaro per poter pagare le spese ospedaliere o pagare la cauzione.
Truffe romantiche
Nelle truffe pretexting basate sugli incontri, il truffatore finge di voler instaurare una relazione sentimentale con la vittima. Una volta conquistato il cuore della vittima, generalmente il truffatore chiede del denaro per rimuovere un ultimo ostacolo alla loro relazione - ad esempio un debito ingente, un obbligo legale o persino il costo di un biglietto aereo per andare a trovare la vittima.
Truffe di criptovaluta
Fingendosi un investitore di successo con un'opportunità sicura per le criptovalute, il truffatore indirizza la vittima verso una falsa piattaforma di scambio di criptovalute, dove vengono rubate le informazioni finanziarie o il denaro della vittima. Secondo la Federal Trade Commission (FTC) (link esterno a ibm.com), i consumatori statunitensi hanno perso più di un miliardo di dollari a causa di truffe di criptovalute tra gennaio 2021 e marzo 2022.
Truffe Agenzia delle Entrate/governo
Fingendosi funzionario dell'Agenzia delle Entrate, ufficiale delle forze dell'ordine o altro rappresentante del governo, il truffatore afferma che la vittima ha un problema (ad esempio, non ha pagato le tasse o è destinatario di un mandato di arresto) e gli chiede di effettuare un pagamento per evitare un'ipoteca, un pignoramento dello stipendio o la prigione. Il pagamento, ovviamente, viene effettuato sul conto del truffatore.
Il pretexting è un componente chiave di molte truffe di ingegneria sociale, tra cui:
Phishing. Come già osservato in precedenza, il pretexting è particolarmente comune negli attacchi di phishing mirati, tra cui lo spear phishing, che è un attacco di phishing rivolto a un individuo specifico, e il whaling, che è uno spear phishing rivolto a un dirigente o a un dipendente con accesso privilegiato a informazioni o sistemi sensibili.
Ma il pretexting svolge un ruolo anche nelle truffe non mirate di phishing via e-mail di tipo "spray-and-pray" (ossia generalizzate e su larga scala), di phishing vocale (vishing) o di phishing via SMS (smishing). Ad esempio, un truffatore potrebbe inviare un messaggio di testo del tipo "[NOME BANCA GLOBALE]: Il suo conto è scoperto" a milioni di persone, aspettandosi che una certa percentuale dei destinatari sia cliente della banca e che una certa percentuale di questi clienti risponda al messaggio.
Tailgating. A volte chiamato "piggybacking ", il tailgating avviene quando una persona non autorizzata segue una persona autorizzata in un luogo che richiede un'autorizzazione, come un edificio sicuro. I truffatori usano la tecnica di pretexting per rendere più efficaci i loro tentativi di pedinamento, - ad esempio fingendosi un fattorino e chiedendo a un impiegato ignaro di aprire una porta chiusa a chiave.
Baiting. In questo tipo di attacchi, un criminale inganna le vittime e le spinge a scaricare un malware allettandole con un'esca attraente ma compromessa. L'esca può essere fisica (ad esempio, chiavette USB caricate con codice dannoso e lasciate in bella vista in luoghi pubblici) o digitale (ad esempio, pubblicità di download gratuiti di film che si rivelano essere malware). I truffatori spesso utilizzano il pretexting per rendere l'esca più allettante. Ad esempio, un truffatore potrebbe apporre delle etichette su una chiavetta USB compromessa per far credere che appartenga a una determinata azienda e che contenga file importanti.
Diverse leggi specifiche del settore sono rivolte esplicitamente al pretexting. Il Gramm-Leach-Bliley Act del 1999 criminalizza il pretexting per quanto riguarda le istituzioni finanziarie, rendendo reato l'acquisizione di informazioni finanziarie di un cliente con un falso pretesto; richiede inoltre alle istituzioni finanziarie di formare i dipendenti per individuare e prevenire il pretexting. Il Telephone Records and Privacy Protection Act del 2006 vieta esplicitamente l'uso del pretexting per accedere alle informazioni sui clienti detenute da un fornitore di telecomunicazioni.
Nel dicembre 2021, la FTC ha proposto una nuova norma (link esterno a ibm.com) che proibirebbe formalmente l'impersonificazione di qualsiasi agenzia governativa o azienda. La norma autorizzerebbe la FTC a vietare tattiche comuni di pretexting come l'utilizzo del logo di un'azienda senza autorizzazione, la creazione di un sito web falso che imita il sito di un'azienda legittima e lo spoofing di e-mail aziendali.
Come qualsiasi altra forma di social engineering, combattere il pretexting può essere difficile perché sfrutta la psicologia umana piuttosto che vulnerabilità tecniche che possono essere corrette. Tuttavia, le organizzazioni possono adottare misure efficaci.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): il DMARC è un protocollo di autenticazione delle e-mail che può prevenire lo spoofing. Il DMARC verifica se un'e-mail è stata inviata dal dominio da cui dichiara di provenire. Se un'e-mail risulta essere falsificata, può essere automaticamente deviata in una cartella di posta indesiderata o eliminata.
- Altre tecnologie di sicurezza informatica : oltre a DMARC, le organizzazioni possono implementare filtri e-mail basati sull'AI in grado di rilevare le frasi e gli oggetti utilizzati negli attacchi di pretexting noti. Un gateway web sicuro può impedire agli utenti di seguire i link delle e-mail di phishing verso siti web sospetti. Se un aggressore ottiene l'accesso alla rete attraverso il pretexting, le tecnologie di sicurezza informatica, come le piattaforme EDR (endpoint detection and response), NDR (network detection and response) e XDR (extended detection and response) possono intercettare l'attività dannosa.
- Formazione di sensibilizzazione alla sicurezza: poiché il pretexting manipola le persone inducendole a compromettere la propria sicurezza, la formazione dei dipendenti per individuare e rispondere correttamente alle truffe pretexting può aiutare a proteggere l'organizzazione. Gli esperti consigliano di effettuare simulazioni basate su esempi reali di pretexting per aiutare i dipendenti a distinguere tra pretexting e richieste legittime dei colleghi. La formazione può anche includere protocolli chiari per la gestione di informazioni preziose, l'autorizzazione dei pagamenti e la verifica delle richieste con le loro presunte fonti prima di dare seguito alle richieste stesse.
Metti alla prova il tuo personale con esercizi di phishing, vishing e ingegneria sociale fisica con i servizi di ingegneria sociale di X-Force Red.
Proteggi la tua azienda con un approccio intelligente e integrato di gestione unificata delle minacce in grado di aiutarti a individuare le minacce avanzate, rispondere in modo rapido e accurato e riprenderti dalle interruzioni.
Integra l'AI, l'analytics e il deep learning per una protezione proattiva, il machine learning per un rilevamento più accurato e l'automazione e l'analisi per una risposta più rapida.
Le truffe di phishing inducono le vittime a divulgare dati sensibili, scaricare malware ed esporre sé stesse o le loro organizzazioni alla criminalità informatica.
Gli attacchi di ingegneria sociale si affidano alla natura umana piuttosto che all'hacking tecnico per indurre con l'inganno le persone a compromettere la loro sicurezza personale o la sicurezza di una rete aziendale.
Scopri cos'è la sicurezza dei dispositivi mobili, perché è importante e come funziona.