Che cos'è il pretexting?
Il pretexting è una strategia di social engineering con cui i truffatori creano ad arte delle storie plausibili (o pretesti) per indurre le vittime a fornire le proprie informazioni personali o le credenziali di accesso a un account. Queste tecniche fanno leva su scenari falsi ma credibili allo scopo di guadagnare la fiducia della vittima e fare in modo che riveli determinate informazioni.
Ciò che distingue il pretexting da altre forme di social engineering è la storia inventata dal truffatore, altamente dettagliata e specifica (il pretesto). Questo consente di manipolare la vittima inducendola a credere alla storia inventata dal truffatore e a condividere dati sensibili come password di account, numeri di previdenza sociale e persino dati delle carte di credito.
Attacco di pretexting: tecniche di social engineering
A differenza di altre minacce informatiche, gli attacchi di pretexting non fanno ricorso all'hacking informatico o ad altri metodi tecnici per violare un sistema. Gli autori di questo tipo di attacchi cercano di conquistare la fiducia delle persone e le inducono a compromettere la propria sicurezza divulgando informazioni private.
Solitamente, negli attacchi di pretexting, il truffatore costruisce un personaggio credibile e lo usa per sviluppare una storia, completamente inventata ma plausibile, nella quale la vittima possa identificarsi. Queste storie fanno leva sulle emozioni della vittima, creando un senso di fiducia.
Nel pretexting, i truffatori possono usare tattiche di social engineering per fare leva sulle emozioni della vittima.
Poiché il successo di questi attacchi di social engineering dipende dal fatto che la vittima creda o meno alla storia inventata (pretesto) e sia o meno disposta a soddisfare le richieste del truffatore, nel pianificare un attacco di pretexting i truffatori prendono di mira le persone più:
I truffatori possono fare ricorso a una vasta gamma di tattiche di pretexting, a seconda della vittima e del tipo di dati che desiderano raccogliere. Vediamo alcune delle tecniche specifiche che possono essere utilizzate nell'ambito di una truffa di pretexting
Phishing
La maggior parte delle truffe di pretexting coinvolge attacchi di phishing volti a indurre la vittima a rivelare informazioni personali o fare clic su un link che potrebbe scaricare malware. Ma a differenza delle tecniche di phishing tradizionali, spesso il pretexting si basa su un attacco di spear phishing più mirato per instaurare e mantenere un rapporto più duraturo con la vittima.
Gli attacchi di phishing sono volti a indurre le persone a fare clic su link dannosi.
Ad esempio, un attacco di pretexting potrebbe iniziare con un'email di phishing che invita la vittima a una festa a sorpresa in onore di qualcuno che a malapena conosce, come un collega di un altro reparto. A questa prima email potrebbe seguirne un'altra in cui si chiede di contribuire al regalo. Dopodiché, la vittima riceve un SMS con un link di pagamento apparentemente legittimo, tramite il quale il truffatore cerca di rubare i suoi soldi.
Vishing e smishing
Il phishing costituisce ormai un problema talmente grande a livello di sicurezza informatica che il vishing (phishing vocale) è stato classificato come un suo sottogruppo. Allo stesso modo, si parla di smishing, o phishing tramite SMS, quando un truffatore si serve degli SMS per attirare la vittima in una trappola.
Nell'ambito di una truffa di pretexting, gli SMS possono rappresentare uno strumento semplice e apparentemente innocuo con cui porre le basi per un attacco più strutturato. Gli attacchi di pretexting si basano spesso su storie elaborate, quindi il ricorso allo smishing nell'ambito di un attacco di questo tipo è una pratica comune.
Tailgating e piggybacking
Gli attacchi di pretexting che prevedono l'accesso fisico a un edificio o a una struttura si servono spesso del
tailgating o del piggybacking
. Mentre il tailgating consiste nell'accedere senza autorizzazione a un edificio seguendo da vicino una persona autorizzata, il piggybacking si basa più sul social engineering che sull'accesso furtivo.
Nel piggybacking, il truffatore racconta una storia credibile a una persona autorizzata per convincerla a consentirgli di accedere alla struttura. Ad esempio, finge di avere dimenticato il badge di accesso o di essere il corriere.
Whaling
Mentre il phishing dà la caccia ai pesci piccoli, il whaling si concentra su quelli più grossi. Il whaling è un tipo di tattica di pretexting che prende di mira dipendenti di alto profilo come parte di un attacco più ampio ai danni dell'intera azienda. Trattandosi di attacchi basati sul social engineering, che fa leva sulle debolezze e sulle vulnerabilità umane, anche i dirigenti sono esposti agli attacchi di spear phishing e whaling.
Gli attacchi di whaling prendono di mira persone di alto profilo.
Impersonation (spacciarsi per un'altra persona)
Spesso negli attacchi di pretexting il truffatore finge di essere un'altra persona, ad esempio un funzionario, un addetto di un'azienda di pubblica utilità o qualcuno che si presume abbia il diritto o la necessità di accedere a informazioni di natura riservata. Il trucco non deve necessariamente essere particolarmente sofisticato perché le persone, per loro natura, tendono a essere deferenti e a fidarsi delle persone che ricoprono una posizione di autorità o agiscono in veste ufficiale.
Un esempio fin troppo comune di questo tipo di attacchi di pretexting è rappresentato dalla truffa del supporto tecnico in cui il truffatore finge di lavorare per una grande e rinomata azienda con l'intento di accedere da remoto al tuo dispositivo, spingerti a fare clic su link dannosi o indurti con l'inganno a effettuare un pagamento.
Controlla che le comunicazioni che ricevi dalle aziende siano legittime.
Adescamento
L'adescamento è pensato per indurre le vittime a intraprendere un'azione con la finta promessa di una ricompensa, come un rimborso o un premio in denaro. Se utilizzato nell'ambito di un attacco di pretexting, l'adescamento consente al truffatore di creare le condizioni giuste per conquistare la fiducia della vittima. Questa tecnica può includere anche lo spoofing con cui si fa credere che le comunicazioni provengono da un contatto o da un'azienda affidabile.
Scareware
Lo scareware è un tipo di malware che bombarda l'utente con messaggi allarmanti contenenti minacce e allusioni alle terribili conseguenze che potrebbero verificarsi se quest'ultimo non intraprende subito una determinata azione, come scaricare un software antivirus falso. Alimentando il senso di panico, lo scareware può indurre le vittime ad agire in modo irrazionale e a prendere decisioni sbagliate che normalmente non prenderebbero.
La scareware cerca di convincerti che sul tuo dispositivo è presente un malware.
Esempi più comuni di attacchi di pretexting
Esempi reali di pretexting includono i numerosi attacchi di hacker ai danni di aziende note e personalità di alto livello, oltre che delle centinaia di migliaia di persone comuni che vengono presi di mira ogni anno. Tra le truffe di pretexting più comuni troviamo:
-
Truffe relative alle carte regalo
Le truffe relative alle carte regalo iniziano in genere con l'invio alla vittima di un SMS o un'email che la invita a fare clic su un link o a fornire i propri dati di contatto per riscattare un premio.
-
Stratagemma del provider di servizi Internet
In questo caso, i truffatori fingono di essere il provider di Internet dell'utente per convincere quest'ultimo a rivelare informazioni riservate.
-
Richieste nell'oggetto dell'email
Gli attacchi di pretexting sono perpetrati attraverso email con oggetto accattivante che vengono spacciate per email provenienti da una fonte attendibile.
-
Truffa del nonno
Questi attacchi di pretexting consistono nella richiesta di inviare urgentemente denaro a un famigliare apparentemente in condizioni di estremo bisogno.
-
Truffa romantica
In questo caso, il truffatore inganna la vittima facendole credere che la loro relazione online può diventare una vera storia d'amore. Spesso il truffatore chiede un sostegno finanziario (questo fenomeno è noto anche come catfishing).
-
Truffe su Venmo
Le truffe relative ai pagamenti online, come le truffe su Venmo, si verificano quando il truffatore convince la vittima a inviargli denaro attraverso la nota app di pagamento.
Considerata l'ampia gamma di approcci, personaggi e scenari che i truffatori architettano per ingannare le loro vittime, esistono praticamente infinite varianti per ciascun tipo di attacco di pretexting, motivo per cui spesso è molto difficile per le vittime individuare ed evitare questo tipo di frode.
Gli attacchi di pretexting possono anche essere incredibilmente sofisticati e possono passare diversi anni prima che il responsabile venga scoperto, come nel caso del truffatore che ha sottratto 100 milioni di dollari a Google e Facebook inviando una serie di fatture false tra il 2013 e il 2015.
Qual è la differenza tra phishing e pretexting?
Benché possano sembrare molto simili, phishing e pretexting sono in realtà due cose diverse: il primo è uno strumento di attacco, il secondo un metodo di attacco. Talvolta possono sovrapporsi, come nel caso di un'email di spear-phishing altamente mirata in cui il truffatore impersona un amico, un parente o il datore di lavoro della vittima. Tuttavia, sebbene molti attacchi di pretexting includano l'uso di comunicazioni di phishing, non tutte le truffe di pretexting ricorrono al phishing.
Come si fa a riconoscere un attacco di pretexting?
Gli attacchi di pretexting sono, per loro stessa natura, difficili da riconoscere, ma ci sono dei segnali rivelatori che indicano che qualcosa non è quello che sembra. Ecco alcuni campanelli di allarme a cui fare attenzione per riuscire a individuare questo tipo di truffa:
-
Linguaggio che trasmette un senso di urgenza: per portare a termine rapidamente i loro attacchi, i truffatori potrebbero cercare di creare un senso di urgenza usando espressioni come "il prima possibile", "immediatamente" o "subito".
-
Richieste strane: diffida dei messaggi che ti chiedono di condividere informazioni sensibili, trasferire denaro o eseguire download insoliti, anche se ti vengono inviati attraverso i canali di comunicazione tradizionali e hanno l'aspetto di una normale conversazione.
-
Falsa confidenzialità: diffida dei messaggi inaspettati che iniziano con frasi informali come "Sei libero adesso?" o "Puoi farmi un favore?", anche se sembrano provenire da una persona che conosci.
-
Tentativo di sottrarsi a una comunicazione continua: i truffatori trovano spesso delle scuse per sottrarsi a una comunicazione continua e rendono la vittima riluttante a mettere in discussione o a verificare le loro richieste.
-
Domini fittizi: i truffatori che imitano un sito Web legittimo possono utilizzare domini email o URL simili, includendo nell'email del mittente o nell'URL collegato errori di ortografia o discrepanze che è facile non notare.
Spesso, quando la persona si rende conto di essere vittima di una truffa di pretexting, l'attacco di phishing o di hacking è già andato troppo oltre e la violazione dei dati è già avvenuta. Tuttavia, è sempre opportuno segnalare le truffe su Internet e adottare le misure necessarie per proteggere gli account e i dispositivi compromessi, in modo da prevenire il furto di identità.
Tra i segnali rivelatori di un'email di spoofing rientrano indirizzi email fittizi, link sospetti e informazioni di contatto mancanti o false.
Come prevenire un attacco di pretexting
La cosa più importante che un'azienda o un individuo può fare per prevenire il pretexting è documentarsi bene sulla sicurezza email e sulle tattiche di pretexting più comuni. Sapere come funziona il pretexting e quali sono gli aspetti a cui prestare attenzione aiuta a evitare di diventarne vittima.
Per non diventare vittima delle truffe di pretexting e proteggere i tuoi dati:
-
Presta attenzione ai segnali di allarme, quali l'invito ad agire con urgenza, l'uso di indirizzi email fittizi o le richieste sospette.
-
Non fare clic su link non verificati e non scaricare gli allegati sospetti.
-
Non condividere con nessuno i tuoi dati riservati prima di avere verificato l'identità del richiedente.
-
Contatta il mittente attraverso un canale verificato per autenticare la richiesta.
-
Segnala i messaggi sospetti ai tuoi supervisori e ai professionisti IT.
-
Denuncia la frode alle autorità locali (se ti trovi negli Stati Uniti, presenta una denuncia alla FTC).
Norme in materia di pretexting negli Stati Uniti
Qualsiasi forma di pretexting perpetrata a scopo fraudolento è considerata illegale negli Stati Uniti. Oltre al divieto di impersonare le autorità, come le forze dell'ordine, il Telephone Records and Privacy Protection Act del 2006, che protegge i registri conservati dalle società di telecomunicazioni, stabilisce che smishing, vishing e qualsiasi altro attacco di pretexting sono da considerarsi come reati.
Inoltre, il Gramm-Leach-Bliley Act definisce come reato ottenere o tentare di ottenere e divulgare o tentare di divulgare informazioni sui clienti di un istituto finanziario se acquisite con la frode o con l'inganno. Di conseguenza, il pretexting finalizzato all'accesso ai dati bancari personali è da considerarsi, nella quasi totalità dei casi, illegale.
Come prevenire gli attacchi di pretexting con AVG
Per quanto competente e perspicace tu possa essere, le sofisticate tecniche di social engineering possono essere molto persuasive. AVG AntiVirus FREE ti aiuta a identificare le truffe prima che si verifichino, grazie al rilevamento automatico delle minacce che blocca i link di phishing, ti avvisa se un sito Web è contraffatto, previene gli scareware e mette in quarantena i malware in tempo reale. Impedisci agli autori di attacchi di pretexting di accedere ai tuoi dati. Installa subito AVG, gratuitamente.