Il pretexting è una tecnica di social engineering utilizzata nella cybersecurity per ingannare le persone e indurle a divulgare informazioni sensibili o a eseguire azioni che normalmente non farebbero. L'aggressore crea un falso pretesto, o una storia inventata, per ottenere la fiducia della vittima e convincerla a compiere l'azione desiderata.
Gli attacchi pretestuosi possono assumere diverse forme, ad esempio spacciandosi per un'autorità fidata (come un rappresentante di una banca), un agente dell'assistenza tecnica o un venditore che necessita di informazioni sensibili per completare un ordine. L'aggressore può utilizzare varie tattiche per persuadere la vittima, come fingere urgenza, creare un senso di importanza o impersonare qualcuno che la vittima conosce o di cui si fida.
Una volta persuasa, la vittima può rivelare informazioni sensibili, come password o numeri di conto, o compiere azioni come scaricare e installare malware sul proprio computer, aprire un allegato e-mail dannoso o visitare un sito web di phishing.
Ogni anno oltre 71 milioni di persone sono vittime della criminalità informatica.~Comparitech.
Gli attacchi pretestuosi possono essere difficili da individuare perché spesso sfruttano vulnerabilità umane, come la fiducia e le norme sociali, piuttosto che vulnerabilità tecniche di software o hardware. Per questo è importante che individui e organizzazioni siano vigili e cauti quando condividono informazioni sensibili o eseguono azioni in risposta a richieste inaspettate o a circostanze insolite.
Pretestuosità nella sicurezza informatica - Definizioni e panoramica
Il pretexting è un tipo di frode che prevede l'utilizzo di pretesti per ottenere l'accesso alle informazioni personali di qualcun altro. Il pretesto può essere chiamato anche impersonificazione, furto d'identità o frode d'identità.
Gli aggressori utilizzeranno il pretexting, ingegneria socialeper ottenere ciò che vogliono dall'utente convincendolo di avere un motivo legittimo per credergli.
I criminali che si dedicano al pretexting a volte combinano varie forme di social engineering, come l'impersonificazione o il phishing, con la loro tattica tipica, un pretesto plausibile o una storia inventata.
Il pretesto è una tattica utilizzata dagli aggressori per ottenere l'accesso a informazioni sensibili o per farsi dare del denaro. Qualsiasi comunicazione elettronica o verbale, compresi, ma non solo, messaggi di testo, e-mail, telefonate e incontri di persona, può essere utilizzata come pretesto.
L'aggressore deve creare una storia convincente che faccia pensare che il messaggio provenga da qualcuno di cui ci si può fidare.
Tecniche di attacco pretestuose
Il pretexting è comunemente utilizzato dagli hacker per ottenere informazioni finanziarie o personali. Utilizzano i seguenti trucchi:
Attacchi di phishing
Il phishing è un metodo di frode che utilizza le e-mail per indurre le vittime a rivelare informazioni personali, come password e dati della carta di credito. Le e-mail sono progettate in modo da sembrare inviate da un'azienda legittima, come una banca o un negozio online. L'obiettivo è far sì che la vittima clicchi sui link contenuti nell'e-mail, che la porteranno poi su un sito web falso creato dal truffatore.
Leggi correlate Phishing vs. Spam
Tailgating
Tailgating è un attacco di ingegneria sociale in cui l'aggressore utilizza le credenziali di qualcun altro per ottenere un accesso non autorizzato a un edificio o a una struttura. A tal fine, l'aggressore segue da vicino una persona con accesso legittimo e poi utilizza il suo badge identificativo per entrare dalla stessa porta.
Piggybacking
Piggybacking è un attacco di ingegneria sociale in cui una persona non autorizzata ottiene l'accesso a una struttura sicura salendo sopra un'altra persona (o un veicolo) autorizzata. Il piggybacking può essere effettuato con o senza il consenso dell'individuo. Ad esempio, un aggressore potrebbe salire sopra l'auto di un'altra persona ed entrare in una struttura sicura come se fosse autorizzato ad entrarvi.
Spaventapasseri
Lo scareware è un software dannoso (malware) che visualizza falsi messaggi e avvisi per convincere gli utenti che i loro computer sono stati infettati da virus o spyware. Questi messaggi spesso richiedono agli utenti l'acquisto di software antivirus o il pagamento di servizi di assistenza prima di poter accedere nuovamente ai loro sistemi.
Impersonificazione
L'impersonificazione è quando qualcuno finge di essere qualcun altro per ottenere l'accesso a informazioni riservate o la fiducia di altri. Gli impersonatori possono utilizzare tattiche di social engineering come la creazione di profili falsi sui siti di social media o lo spoofing delle e-mail per ottenere l'accesso a informazioni sensibili.
Adescamento
Questa tecnica consiste nell'utilizzare informazioni su persone o organizzazioni per ottenere dati sensibili da queste ultime tramite e-mail o telefonate; ad esempio, fingendosi un dirigente dell'azienda si richiedono informazioni personali ai dipendenti che pensano di aiutare il loro capo in qualcosa di importante, senza rendersi conto di esporre i propri dati.
Vishing e Smishing
Il vishing (phishing vocale) e lo smishing (phishing via SMS) sono altre forme di pretesto che prevedono l'effettuazione di telefonate o l'invio di messaggi di testo all'obiettivo. Il vishing utilizza la tecnologia VOIP (voice-over-Internet protocols) per far credere che il chiamante stia chiamando da un'azienda legittima quando invece si trova in un'altra parte del mondo.
Nello smishing, il contenuto testuale viene spammato attraverso messaggi SMS (Short Message Service) inviati ai telefoni cellulari. Questi messaggi spesso contengono link a siti web dannosi o allegati che possono essere utilizzati per installare malware sui computer delle vittime.
Leggi correlate: Tipi di ingegneria sociale
Proteggete la vostra organizzazione da un attacco pre-testuale
Se sospettate che la vostra organizzazione sia stata bersaglio di un attacco pretestuoso, ecco alcune misure che potete adottare per proteggervi:
Utilizzare DMARC
Il pretexting spesso implica l'impersonificazione. Per questo motivo è essenziale un'e-mail falsa che sembri legittima. Lo spoofing è quindi uno strumento essenziale per comunicare attraverso la posta elettronica. Il metodo di difesa più utilizzato contro lo spoofing delle e-mail, Domain-based Message Authentication, Reporting, and Conformance (DMARC), è limitato perché richiede una manutenzione costante e complessa.
Inoltre, il DMARC impedisce lo spoofing di domini precisi, ma non lo spoofing di nomi o domini cugini, che sono molto più comuni negli attacchi di spear-phishing. Poiché il DMARC funziona così bene, gli aggressori hanno iniziato a utilizzare metodi più avanzati.
Educare se stessi
Poiché molte persone devono capire come funziona il pretexting, potrebbero rendersi conto che la loro organizzazione è stata presa di mira solo quando è troppo tardi. Istruite voi stessi e i vostri dipendenti, in modo che sappiano come si presenta il prompting e come reagire se sospettano che si stia verificando.
Vedere sempre l'identificazione
Quando qualcuno entra nel vostro ufficio chiedendo informazioni su un dipendente, chiedete sempre di vedere un documento di identità prima di fornire qualsiasi informazione. Chiedete a qualcun altro di verificare l'identità della persona che richiede le informazioni.
Esaminare attentamente il pretesto
Prima di dare seguito a qualsiasi richiesta o istruzione, valutate se ha senso. Ad esempio, se qualcuno vi chiede di inviare dati sensibili via e-mail o SMS, diffidate: potrebbe trattarsi di uno stratagemma per rubare le vostre informazioni. Non fidatevi automaticamente che ciò che vi viene chiesto di fare sia legittimo o sicuro solo perché sembra qualcosa che farebbe il vostro capo. Invece, verificate direttamente con loro prima di completare qualsiasi compito che coinvolga dati sensibili o denaro.
Monitorare l'ambiente alla ricerca di attività dannose
Utilizzate un software di sicurezza che monitorizzi tutte le attività sulla rete e vi avvisi quando si verificano attività sospette. Monitorate l'attività in tempo reale, in modo da avere il tempo di reagire in caso di attacco.
Parole finali
Il pretesto è un'ottima strategia da avere nella manica in caso di necessità, ma può anche ritorcersi contro se non si sta attenti. Assicuratevi di avere intenzione di portare a termine ciò che avete iniziato e di dare agli altri il beneficio del dubbio fino a quando non dimostrano il contrario.
