Nei Social Engineering Penetration Testing (link esterno a ibm.com), Andrew Mason e Richard Ackroyd, esperti di sicurezza Gavin Watson, scrivono che la maggior parte dei pretesti è composta da due elementi principali: un personaggio e una situazione. 

Il personaggio è il ruolo che il truffatore svolge nella storia. Per creare credibilità agli occhi della potenziale vittima, il truffatore in genere impersona qualcuno di autorevole, come un capo o un dirigente, o qualcuno di cui la vittima è incline a fidarsi, come un collega, un membro del personale IT o un fornitore di servizi. Alcuni aggressori potrebbero tentare di impersonare amici o persone care.

La situazione è la trama della falsa storia del truffatore, il motivo per cui il personaggio chiede alla vittima di fare qualcosa per lei. Le situazioni possono essere generiche, ad esempio "devi aggiornare le informazioni del tuo account", o possono essere molto specifiche, soprattutto se i truffatori prendono di mira una particolare vittima.

Per rendere credibili le imitazioni e le situazioni dei loro personaggi, gli attori delle minacce in genere ricercano il loro personaggio e il loro obiettivo online. Non è difficile. Secondo un rapporto di Omdia, gli hacker possono creare una storia convincente basata su informazioni provenienti dai feed dei social media e da altre fonti pubbliche, in appena 100 minuti di ricerca Google generica.

Altre tecniche per rendere i personaggi più credibili includono falsificare l'indirizzo e-mail o il numero di telefono del personaggio o ottenere direttamente l'accesso non autorizzato all'account e-mail o al numero di telefono effettivo del personaggio e utilizzarlo per inviare il messaggio. In quello che potrebbe essere un assaggio del futuro del pretexting, nel 2019 i truffatori hanno ingannato un'azienda energetica del Regno Unito sottraendole 243.000 $, utilizzando l'intelligenza artificiale (AI) per impersonare la voce dell'amministratore delegato della società madre ed effettuando telefonate fraudolente per richiedere pagamenti ai fornitori. 

Truffe di compromissione dell'e-mail aziendale

La compromissione dell'e-mail aziendale (BEC) è un tipo particolarmente diabolico di social engineering mirato che fa molto affidamento sui pretesti. Nella BEC, il personaggio è un dirigente aziendale reale o un socio in affari di alto livello con autorità o influenza sulla vittima. Questo personaggio fittizio ha bisogno per un compito urgente, ad esempio: sono bloccato in aeroporto e ho dimenticato le mie credenziali, puoi inviarmi la password del sistema di pagamento (o puoi trasferire XXX.XXX,XX $ al conto bancario #YYYYYY per pagare la fattura allegata)?

Anno dopo anno, la BEC si colloca tra i crimini informatici più costosi. Secondo il rapporto IBM Cost of a Data Breach 2022, le violazioni dei dati derivanti dalla BEC sono costate alle vittime in media 4,89 milioni di dollari. E, secondo i dati dell'Internet Crime Complaint Center dell'FBI, (link esterno a ibm.com) Nel 2021 la BEC ha provocato perdite totali per le vittime pari a quasi 2,4 miliardi di dollari.

Truffe di aggiornamento dell'account

Qui il truffatore finge di essere il rappresentante di un'azienda che avvisa la vittima di un problema con il suo account, come dati di fatturazione scaduti o acquisti sospetti. Il truffatore include un link che reindirizza la vittima a un sito web falso, dove gli vengono rubate le credenziali di autenticazione, i dati della carta di credito, il numero di conto corrente o il numero di previdenza sociale.

Truffe agli anziani

Come molte altre truffe di ingegneria sociale, anche questa si rivolge agli anziani. Il criminale informatico si spaccia per il nipote della vittima e finge di trovarsi in qualche guaio, ad esempio, che abbia avuto un incidente d'auto o sia stato arrestato, e di avere bisogno che i nonni gli inviino del denaro per poter pagare le spese ospedaliere o la cauzione.

Truffe d'amore

Nelle truffe con scam di appuntamenti, il truffatore finge di cercare una relazione romantica con la vittima. Dopo aver conquistato il cuore della vittima, il truffatore in genere richiede denaro per rimuovere qualche ultimo ostacolo al loro stare insieme, ad esempio un debito paralizzante, un obbligo legale o persino il costo di un biglietto aereo per andare a trovare la vittima.

Truffe di criptovalute

Fingendosi un investitore di successo con un'opportunità infallibile riguardo alle criptovalute, il truffatore indirizza la vittima verso un falso exchange di criptovalute, dove gli vengono rubati soldi o le informazioni finanziarie. Secondo la Federal Trade Commission (FTC) (link esterno a ibm.com), i consumatori statunitensi hanno perso più di 1 miliardo di dollari a causa di truffe crypto tra gennaio 2021 e marzo 2022.

Truffe fiscali o governative

Fingendosi funzionari dell'Agenzia delle Entrate, ufficiali delle forze dell'ordine o altri rappresentanti del governo, il truffatore sostiene che la vittima si trova in qualche tipo di problema, ad esempio, non ha pagato le tasse o ha un mandato di arresto, e gli chiede di effettuare un pagamento per evitare un pegno ipotecario, il pignoramento dello stipendio o il carcere. Il pagamento, ovviamente, finisce sul conto del truffatore. 

Il pretexting, o pretesto, è una componente chiave di molte truffe di social engineering, tra cui:

Phishing. Come notato in precedenza, il pretesto è particolarmente comune negli attacchi di phishing mirati, tra cui lo spear phishing, che è un attacco di phishing che prende di mira un individuo specifico, e il whaling, ovvero lo spear phishing che prende di mira un dirigente o un dipendente con accesso privilegiato a informazioni o sistemi sensibili.

Ma il pretexting gioca anche un ruolo nelle truffe non mirate, come "spray-and-pray", phishing vocali (vishing) o SMS text phishing (smishing). Ad esempio, un truffatore potrebbe inviare un messaggio di testo come "[NOME DI BANCA]: Il suo conto presenta uno scoperto" a milioni di persone, sapendo che una certa percentuale dei destinatari sono clienti della banca e una certa percentuale di questi risponderà al messaggio.

Tailgating. A volte chiamato "piggybacking", il tailgating è quando una persona non autorizzata segue una persona autorizzata in un luogo che richiede l'autorizzazione, come un edificio di uffici. I truffatori usano pretesti per rendere più efficaci i loro tentativi di tailgating, ad esempio fingendosi un corriere e chiedendo a un ignaro dipendente di aprire loro una porta chiusa a chiave. 

Adescamento. In questi tipi di attacchi, un criminale induce le vittime a scaricare malware attirandole con un'esca attraente ma compromessa. L'esca può essere fisica (ad esempio, chiavette USB caricate con codice dannoso e lasciate ben visibili in luoghi pubblici) o digitale (ad esempio, download gratuiti di film che si rivelano essere malware). I truffatori spesso usano pretesti per rendere l'esca più allettante. Ad esempio, un truffatore potrebbe apporre etichette su un'unità USB compromessa per suggerire che appartenga a una particolare azienda e contenga file importanti. 

Diverse leggi specifiche del settore prendono di mira esplicitamente il pretexting. La legge Gramm-Leach-Bliley del 1999 criminalizza il pretexting nei confronti degli istituti finanziari, rendendo un crimine ottenere informazioni finanziarie di un cliente con falsi pretesti, e richiede inoltre che le istituzioni finanziarie formino i dipendenti a individuare e prevenire il pretexting. Il Telephone Records and Privacy Protection Act del 2006 vieta esplicitamente l'uso del pretexting per accedere alle informazioni sui clienti detenute da un fornitore di telecomunicazioni.

Nel dicembre 2021, la FTC ha proposto una nuova regola (link esterno a ibm.com) volta a proibire formalmente l'impersonificazione di qualsiasi agenzia governativa o azienda. La norma autorizza la FTC ad applicare un divieto sulle tattiche comuni di pretexting, come l'utilizzo del logo di un'azienda senza autorizzazione, la creazione di un sito web falso che imita un'azienda legittima e lo spoofing di e-mail aziendali.

Come con qualsiasi altra forma di social engineering, combattere il pretexting può essere difficile perché sfrutta la psicologia umana piuttosto che le vulnerabilità tecniche che possono essere risolte. Ma ci sono comunque dei passaggi efficaci che le organizzazioni possono intraprendere.

• Domain-based Message Authentication Reporting and Conformance (DMARC): il DMARC è un protocollo di autenticazione e-mail che può prevenire lo spoofing verificando se un'e-mail è stata inviata dal dominio da cui dichiara di provenire. Se un'e-mail viene identificata come spoofing, può essere automaticamente deviata in una cartella spam o eliminata.
  
  
• Altre tecnologie di cybersecurity : oltre a DMARC, le organizzazioni possono implementare filtri di e-mail basati sull'AI che rilevano frasi e linee di oggetto utilizzate in attacchi di pretexting noti. Un gateway web sicuro può impedire agli utenti di seguire i link delle e-mail di phishing verso siti web sospetti. Se un utente malintenzionato ottiene l'accesso alla rete tramite pretexting, le tecnologie di sicurezza informatica come le piattaforme di rilevamento e risposta degli endpoint (EDR), rilevamento e risposta della rete (NDR) e rilevamento e risposta estesi (XDR) possono intercettare attività dannose.
   
• Formazione sulla consapevolezza della sicurezza: poiché i pretesti manipolano le persone inducendole a compromettere la propria sicurezza, formare i dipendenti a rilevare e rispondere adeguatamente alle truffe basate sui pretesti aiuta a proteggere un'organizzazione. Gli esperti raccomandano di eseguire simulazioni basate su esempi di pretexting nella vita reale per aiutare i dipendenti a distinguere tra pretexting e richieste legittime da parte dei colleghi. La formazione può anche includere protocolli chiari per la gestione di informazioni preziose, per autorizzare i pagamenti e verificare le richieste con le presunte fonti prima di conformarsi.