Un aggressore spesso crea una situazione falsa per la vittima e si spaccia per una persona affidabile in grado di risolverla. Nel libro Social Engineering Penetration Testing, gli autori osservano che la maggior parte dei pretesti è composta da due elementi principali: un personaggio e una situazione.1
Il personaggio è il ruolo che il truffatore interpreta nella storia. Per creare credibilità agli occhi della potenziale vittima, spesso si spaccia per qualcuno di autorevole, come un capo, un dirigente o qualcuno di cui la vittima è incline a fidarsi. Questo personaggio (fittizio) potrebbe essere un collega, un dipendente IT o un provider di servizi. Alcuni aggressori potrebbero persino tentare di impersonare un amico o una persona cara della vittima designata.
La situazione è la trama della falsa storia del truffatore, il motivo per cui il personaggio (truffatore) chiede alla vittima di intraprendere un'azione. Possono essere situazioni generiche, ad esempio: "Devi aggiornare le informazioni del tuo account", oppure di storie più specifiche, soprattutto se il truffatore sta prendendo di mira una vittima in particolare: "Nonna, ho bisogno di aiuto".
Per rendere credibili le imitazioni e le situazioni dei loro personaggi, gli attori delle minacce spesso ricercano il loro personaggio e il loro obiettivo online, una ricerca che è più facile di quanto si pensi. Secondo alcune stime, gli hacker possono creare una storia convincente basata su informazioni provenienti dai feed social e da altre risorse pubbliche online, come Google o LinkedIn, in appena 100 minuti di ricerca.
Lo spoofing, ovvero la falsificazione di indirizzi e-mail e numeri di telefono per far sembrare che un messaggio provenga da un'altra fonte, può rendere più credibili gli scenari di pretexting. Ma gli autori delle minacce potrebbero andare ancora oltre e dirottare l'account e-mail o il numero di telefono di una persona reale per inviare il messaggio di pretexting. Ci sono persino storie di criminali che usano l'AI per clonare le voci delle persone.