Il pretexting (in italiano sarebbe `pretesto`) è una forma di ingegneria sociale in cui un utente malintenzionato, cerca di convincere una vittima a rilasciare informazioni preziose o ad accedere a un servizio o sistema.
La caratteristica distintiva di questo tipo di attacco è che gli artisti della truffa escogitano una storia – o un pretesto appunto – per ingannare la vittima.
Il pretexting generalmente vede l’attaccante nel ruolo di qualcuno in una posizione di autorità, che ha il diritto di accedere alle informazioni ricercate, o che può usare le informazioni per aiutare la vittima.
Il pretexting non é cosa nuova ovviamente, anzi, ha una storia abbastanza lunga; nel Regno Unito, ad esempio, è anche noto come blagging, ed è uno strumento che i giornalisti di tabloid hanno usato per anni per avere accesso a succose informazioni su celebrità e politici.
Oggi viene comunemente utilizzato dagli artisti della truffa, che puntano sia a privati che ad aziende, per cercare di accedere ai loro conti finanziari e dati riservati.
I pretexters possono utilizzare qualsiasi forma di comunicazione, inclusi e-mail, messaggi di testo e chiamate vocali, per svolgere il proprio mestiere.
Le tecniche di Pretexting
In un test di penetrazione di ingegneria sociale, l’ingegnere della sicurezza Gavin Watson ha esposto le tecniche che sono alla base di ogni atto di pretexting: “La parte fondamentale … [è] la creazione di uno scenario, che è il pretesto usato per coinvolgere la vittima. Il pretesto imposta la scena dell’attacco insieme ai personaggi e alla trama. È la base su cui vengono eseguite molte altre tecniche per raggiungere gli obiettivi generali. “
Watson afferma che ci sono due elementi principali in un pretexting: un personaggio interpretato dall’artista della truffa e una situazione plausibile in cui quel personaggio potrebbe aver bisogno o avere diritto alle informazioni che stanno cercando.
Ad esempio, sappiamo tutti che a volte si verificano errori con i sistemi di pagamento automatici; pertanto, è plausibile che alcune fatture ricorrenti che abbiamo impostato da addebitare sulla nostra carta di credito o sul nostro conto bancario possano fallire e di conseguenza la società che intendevamo pagare potrebbe contattarci.
Un utente malintenzionato potrebbe assumere il ruolo di un personaggio che ci aspetteremmo di incontrare in quello scenario: un rappresentante del servizio clienti cordiale e disponibile, ad esempio, che ci contatta per aiutare a correggere l’errore e assicurarsi che il pagamento venga eseguito prima che il nostro account venga bloccato.
Man mano che lo scenario si esaurisce, l’aggressore chiede informazioni sulla banca o sulla carta di credito per facilitare il processo, e queste sono le informazioni di cui ha bisogno per rubare denaro direttamente dai nostri conti.
Pretexting and phishing
Lo spoofing di un indirizzo e-mail è una parte fondamentale del phishing e molti tentativi di phishing si basano su scenari di pretexting.
Lo spear phishing, mira a ingannare una specifica vittima di alto valore: usando un attacco di pretexting, in cui un dirigente di alto livello viene indotto a credere di comunicare con qualcun altro all’interno dell’azienda o di un’azienda partner, con l’obiettivo finale di convincere la vittima a effettuare un grande trasferimento di denaro.
L’attacco Tailgating
C’è un’altra tecnica che è spesso inserita nella categoria del pretexting, il tailgating.
Tailgating è una tecnica comune per varcare una porta chiusa semplicemente seguendo qualcuno che può aprirla prima che si chiuda.
Può essere considerato una sorta di pretexting perché il tailgater spesso impersona qualcuno che cerca di convincere la persona con la chiave a farlo entrare nell’edificio – per esempio, potrebbero essere vestiti con una tuta e affermare che sono lì per riparare l’impianto idraulico o elettrico, o avere una scatola per pizza e dire che stanno consegnando il pranzo a un altro piano.
Come molte tecniche di ingegneria sociale, questa si basa sull’innato desiderio delle persone di essere utili o amichevoli; fintanto che c’è qualche ragione apparentemente buona per far entrare qualcuno, le persone tendono a farlo piuttosto che confrontarsi con il tailgater.
Come prevenire il pretexting
Uno dei modi migliori per prevenire il pretexting è semplicemente essere consapevoli del fatto che esiste e che tecniche come lo spoofing via e-mail o telefono possono rendere poco chiaro chi sta cercando di contattarti.
Qualsiasi formazione sulla consapevolezza della sicurezza a livello aziendale dovrebbe includere informazioni sulle truffe con pretexting.
A livello personale, è importante essere particolarmente cauti; in particolare ogni volta che, chiunque abbia avviato un contatto con te, inizia a chiedere informazioni personali.
Ricorda, la tua banca sa già tutto ciò che deve sapere su di te, non dovrebbe aver bisogno che tu dica loro il tuo numero di conto per email o al telefono.
Se sospetti di una conversazione, riattacca e chiama il numero di telefono disponibile pubblicamente o scrivi a un indirizzo e-mail dal loro sito Web.
Infine, se qualcuno che deve consegnare una piazza, cerca di seguirti all’interno del tuo ufficio, digli di chiamare la persona che gli ha ordinato di farli entrare.
Non preoccuparti: se sono veramente chi dicono di essere, hanno una scatola speciale che manterrà calda la pizza per i pochi minuti in più necessari per consegnarlo.