Cos’è il pretexting?

Il pretexting rappresenta una criticità significativa nella sicurezza informatica, in quanto gli aggressori creano scenari ingannevoli per indurre le persone a divulgare informazioni sensibili. Questa tattica sofisticata di social engineering costituisce una sfida rilevante per la sicurezza delle organizzazioni, rendendo indispensabile l’adozione di strategie mirate per difendersi da questi tentativi deliberati di frode.

Il pretexting è un attacco di social engineering in cui l’aggressore costruisce un’identità o uno scenario fittizio per persuadere la vittima a rivelare informazioni riservate, fornire accesso a sistemi protetti o compiere azioni che normalmente non intraprenderebbe.

A differenza del phishing, che spesso sfrutta il panico o l’urgenza, il pretexting si basa sulla creazione di un rapporto di fiducia con la vittima, utilizzando storie e contesti costruiti con attenzione. Il successo di questi attacchi dipende dall’abilità dell’aggressore di sembrare credibile e affidabile, inducendo la vittima ad abbassare le proprie difese.

Gli aggressori impegnati in pretexting investono tempo nella raccolta di informazioni di base che supportino la loro narrazione. Questa fase preparatoria può includere la ricerca sulla struttura organizzativa, sui ruoli e sulle responsabilità dei dipendenti, oltre a informazioni personali pubblicamente accessibili sui potenziali obiettivi. Con queste conoscenze, gli aggressori elaborano storie plausibili, come fingere di essere un membro del team IT interno impegnato in controlli di sicurezza di routine, inducendo così le vittime a condividere password, dettagli finanziari o altri dati sensibili.

Il significato di pretexting

Un attacco di pretexting può variare notevolmente in complessità: da semplici telefonate in cui l’aggressore, fingendosi un membro del supporto tecnico, richiede la reimpostazione di una password, fino a schemi sofisticati in cui viene impersonato un dirigente aziendale che richiede con urgenza l’accesso a documenti specifici mentre è lontano dalle risorse aziendali. Indipendentemente dal grado di elaborazione, ogni pretesto mira a sfruttare la psicologia umana, stabilendo un rapporto di fiducia e una percezione di autorità. Per questo motivo, è essenziale che organizzazioni e individui rimangano costantemente vigili contro queste tattiche ingannevoli.

Il pretexting e il phishing sono entrambi metodi di ingegneria sociale ideati per ingannare le persone e ottenere informazioni sensibili, ma si basano su tattiche psicologiche e operative diverse.

Phishing

Gli attacchi di phishing adottano un approccio ampio, inviando comunicazioni di massa a un vasto numero di potenziali vittime. Questi messaggi cercano spesso di creare un senso di urgenza o paura, spingendo i destinatari ad agire in fretta, ad esempio cliccando su un link dannoso o fornendo informazioni sensibili senza verificarle adeguatamente.

Generalmente, i tentativi di phishing non sono personalizzati, poiché gli aggressori si affidano alla legge dei grandi numeri, confidando che anche una minima percentuale di risposte possa comunque fornire dati o accessi di valore.

Pretexting

Il pretexting adotta un approccio più mirato, in cui gli aggressori investono tempo nella creazione di contesti dettagliati e scenari personalizzati per le vittime designate. A differenza del phishing, che si affida a risposte emotive immediate attraverso messaggi con richieste urgenti di azione, il pretexting si basa sulla costruzione graduale di un rapporto di fiducia con la vittima, utilizzando storie elaborate che giustificano la richiesta di informazioni sensibili.

L’aggressore assume un’identità o un ruolo apparentemente legittimo nel contesto fornito, un processo che richiede una ricerca approfondita sulla vittima per rafforzare la credibilità.

Sebbene pretexting e phishing condividano l’obiettivo di ingannare le persone e compromettere la sicurezza personale o aziendale, differiscono notevolmente nel modo in cui vengono eseguiti. Il phishing lancia reti ampie, puntando su reazioni impulsive dettate da fretta o paura, mentre il pretexting costruisce narrazioni convincenti intorno a obiettivi attentamente studiati, sfruttando la percezione di legittimità e affidabilità per attirare le vittime in modo più graduale.

Gli attacchi di pretexting si sviluppano attraverso una serie di fasi pianificate con precisione, ciascuna progettata per rafforzare la credibilità dell’aggressore e persuadere la vittima a divulgare informazioni riservate o eseguire azioni specifiche.

• Ricerca e raccolta di informazioni: la fase iniziale consiste in una ricerca approfondita sull’individuo o sull’organizzazione bersaglio. Gli aggressori possono analizzare database pubblici, piattaforme di social media, siti web aziendali e altre fonti disponibili per raccogliere dettagli utili a rendere il loro pretesto più credibile. Questa fase preparatoria è cruciale per creare una storia convincente che possa colpire la potenziale vittima.
• Creazione dello scenario: con una base di informazioni sufficientemente solida, gli aggressori costruiscono uno scenario plausibile e su misura per il loro obiettivo. La narrazione potrebbe includere l’impersonificazione di figure interne o esterne all’organizzazione, come un membro del personale IT che effettua controlli di routine, un revisore finanziario che richiede dettagli sensibili su un conto, o persino un funzionario delle forze dell’ordine che richiede collaborazione urgente. Il successo di questa fase dipende dalla capacità di presentare una giustificazione credibile per la richiesta delle informazioni.
• Costruire la fiducia e stabilire l’autorità: dopo aver contattato l’obiettivo, attraverso una telefonata, un’e-mail o un incontro diretto, l’aggressore utilizza tattiche psicologiche per creare un rapporto di fiducia e consolidare la propria autorità nel ruolo assunto. Richiami a dettagli specifici raccolti durante la fase di ricerca vengono spesso usati per rafforzare la legittimità del pretesto e ridurre i sospetti della vittima.
• Esecuzione della richiesta: una volta instaurata una fiducia ingannevole, l’aggressore passa alla fase di richiesta diretta di dati sensibili, come password, permessi di accesso a sistemi riservati, numeri di identificazione personale (PIN) o informazioni finanziarie. In alcuni casi, può convincere le vittime a compiere azioni che compromettono ulteriormente le misure di sicurezza, ad esempio attivando protocolli di desktop remoto.
• Raccolta dei dati e strategia di uscita: dopo aver ottenuto le informazioni sensibili, l’aggressore le raccoglie e le mette al sicuro per utilizzarle secondo i propri scopi, che possono includere l’accesso a conti finanziari, la compromissione di sistemi sicuri o la vendita dei dati ad altri malintenzionati. La strategia di fuga è pianificata con attenzione per ridurre al minimo le tracce, assicurando che eventuali attività sospette vengano rilevate solo quando l’aggressore ha già coperto le sue tracce e si è messo al sicuro.

Gli attacchi di pretexting combinano una pianificazione dettagliata con manipolazioni psicologiche, sfruttando ricerche approfondite e narrazioni su misura per costruire fiducia e autorità nei confronti delle vittime.

I pretexting attacks si caratterizzano per la loro dinamicità e spesso includono una combinazione di tecniche di social engineering. Tra i casi più significativi di attacchi di pretexting si annoverano:

• Scandalo Hewlett-Packard (2006): HP ha assunto investigatori privati che si sono finti membri del consiglio di amministrazione e giornalisti per ottenere tabulati telefonici attraverso tecniche di pretexting. Questo scandalo ha messo in evidenza le implicazioni legali ed etiche di tali tattiche, portando a modifiche nella legislazione statunitense sull’uso del social engineering per accedere ai dati personali.
• Frode alle reti Ubiquiti (2015): Alcuni pretexters, impersonando dirigenti di alto livello di Ubiquiti Networks, hanno inviato ai dipendenti messaggi fraudolenti in cui richiedevano il trasferimento di fondi a conti bancari controllati dagli attori della minaccia. Questo attacco di social engineering ha causato perdite per 46,7 milioni di dollari.
• Acquisizione dell’account Twitter (2020): combinando hacking, pretexting e spear phishing, gli aggressori hanno ingannato i dipendenti di Twitter per ottenere credenziali di accesso. Ciò ha permesso loro di prendere il controllo di account di alto profilo come quelli di Barack Obama e Kanye West. Questo caso è stato analizzato nel Journal of Cybersecurity Education, Research and Practice.

Gli esempi di pretexting coinvolgono anche profili e vettori di attacco specifici. Di seguito sono riportati scenari e truffe comuni che sfruttano queste tecniche:

• Truffe per l’aggiornamento del conto corrente: le vittime ricevono messaggi falsi apparentemente inviati dalla loro banca, che richiedono dati personali e le indirizzano a siti web fraudolenti progettati per sottrarre credenziali di accesso.
• Truffe con compromissione delle e-mail aziendali (BEC): gli attori delle minacce si fingono dirigenti di alto livello per richiedere trasferimenti urgenti di denaro o l’accesso a informazioni sensibili, sfruttando la fiducia interna alle organizzazioni.
• Truffe dei nonni: i truffatori approfittano della vulnerabilità emotiva delle persone anziane, fingendosi parenti in difficoltà che necessitano urgentemente di aiuto finanziario.
• Truffe romantiche: i truffatori creano profili di appuntamenti falsi e storie convincenti per instaurare relazioni online, chiedendo poi denaro per presunte emergenze. Questo tipo di truffa spesso comporta perdite significative e coinvolge transazioni attraverso confini internazionali.
• Truffe del fisco/governo: i cybercriminali fingono di rappresentare enti fiscali o governativi, sostenendo che le vittime debbano pagare tasse arretrate immediatamente per evitare azioni legali. Queste truffe utilizzano la paura per estorcere denaro o rubare dati sensibili.
• Truffe di criptovalute: fingendosi esperti di investimenti, i truffatori offrono opportunità fasulle promettendo alti rendimenti sugli investimenti in criptovalute. Dopo il trasferimento delle somme, il recupero è quasi impossibile a causa dell’anonimato e della natura decentralizzata delle criptovalute.
• Truffe di assistenza tecnica: gli aggressori si fingono tecnici di supporto di aziende note, sostenendo che il computer della vittima sia infetto da malware. Inducono l’utente a concedere l’accesso remoto o a pagare per servizi o software inutili.
• Truffe di offerte di lavoro: i truffatori pubblicano annunci di lavoro falsi o contattano direttamente le vittime, promettendo posizioni lucrative. Alle vittime viene richiesto di pagare in anticipo per la formazione o il controllo dei precedenti, solo per scoprire che il lavoro non esiste.

Le diverse tattiche impiegate nelle truffe basate sul pretesto evidenziano l’importanza di mantenere vigilanza e scetticismo, soprattutto di fronte a richieste inaspettate di informazioni o denaro. La consapevolezza della sicurezza e la verifica dell’autenticità di tali comunicazioni possono prevenire danni finanziari e di reputazione significativi.

Il pretexting, ovvero l’acquisizione di informazioni tramite mezzi ingannevoli, non solo è eticamente discutibile, ma viola anche le normative legali in molte giurisdizioni. Questa pratica spesso mira a ottenere dati sensibili, come tabulati telefonici o informazioni finanziarie, ambiti in cui le leggi proibiscono esplicitamente tali richieste fraudolente.

Ad esempio, il Telephone Records and Privacy Protection Act del 2006 definisce come reato federale l’utilizzo di pretexting per ottenere tabulati telefonici senza autorizzazione. Questa legge è stata introdotta per affrontare le crescenti preoccupazioni legate alle violazioni della privacy e all’accesso non autorizzato ai dati personali.

Analogamente, il Gramm-Leach-Bliley Act (GLBA) del 1999 affronta la privacy finanziaria dei consumatori, rendendo illegale l’uso di pretesti ingannevoli per raccogliere i dati finanziari delle persone. La legge amplia ulteriormente il suo ambito, vietando anche la sollecitazione di terzi ad acquisire tali informazioni in modo fraudolento.

Questi atti evidenziano la serietà con cui la legge statunitense affronta queste pratiche ingannevoli, stabilendo chiari limiti per proteggere la privacy e la sicurezza dei consumatori.

La protezione dagli attacchi di pretexting richiede un approccio articolato, che combini formazione dei dipendenti, solidi processi di verifica e rigorosi controlli sull’accesso ai dati.

Formazione e consapevolezza dei dipendenti

Una delle difese più efficaci contro il pretexting è una forza lavoro consapevole e attenta. Le organizzazioni dovrebbero organizzare sessioni formative regolari per educare i dipendenti sulla natura delle truffe pretestuose, sugli indicatori comuni di richieste fraudolente e sull’importanza di adottare un approccio scettico nelle interazioni che riguardano informazioni sensibili.

Implementare processi di verifica rigorosi

Le aziende devono adottare protocolli rigorosi per la verifica dell’identità in caso di telefonate o e-mail, specialmente quando tali comunicazioni richiedono l’accesso a dati personali o aziendali. Questi protocolli potrebbero includere l’uso di domande segrete condivise solo tra le parti o l’obbligo di effettuare una richiamata tramite numeri ufficiali.

Limitare l’accesso alle informazioni sensibili

Applica il Principle of Least Privilege (principio del minimo privilegio - PoLP) a tutti i livelli dell’organizzazione, assicurandoti che ciascun individuo abbia accesso solo alle informazioni strettamente necessarie per svolgere le proprie mansioni. Un controllo rigoroso su chi accede a cosa riduce significativamente i potenziali danni, anche nel caso in cui un aggressore riesca a ingannare qualcuno all’interno dell’azienda.

Esercitazioni di simulazione avanzate

Oltre alla formazione di base, integra esercizi di simulazione che riproducono tentativi reali di pretexting per affinare la capacità dei dipendenti di riconoscere e gestire gli attacchi. L’uso di banner di login che ricordano al personale i protocolli di sicurezza durante l’accesso ai sistemi, insieme alla diffusione regolare di e-mail sulle ultime tendenze delle truffe, mantiene alta l’attenzione sulla sicurezza informatica.

Autenticazione a più fattori (MFA)

L’implementazione dell’autenticazione multifattoriale su tutti i sistemi rafforza notevolmente le difese, aggiungendo un ulteriore livello di verifica che riduce il rischio associato alle password compromesse. L’MFA garantisce un livello superiore di sicurezza per l’accesso a informazioni sensibili o infrastrutture critiche.

Attenzione ai segnali di allarme

Istruisci i dipendenti a riconoscere i segnali di potenziali pretexting, come richieste urgenti, incongruenze negli indirizzi e-mail rispetto ai contatti noti, o comunicazioni che appaiono fuori dai normali processi aziendali. Identificare tempestivamente questi segnali di allarme può prevenire l’escalation di violazioni dei dati più gravi.

Stabilisci politiche chiare

Collabora con i team delle risorse umane (HR) e legali per sviluppare politiche dettagliate che descrivano le misure preventive contro le truffe pretestuose, oltre a fornire linee guida chiare su come i dipendenti devono segnalare incidenti sospetti. Tali politiche aiutano a gestire le conseguenze di un eventuale coinvolgimento involontario di un dipendente in una truffa, consentendo interventi tempestivi per mitigare i danni.

Usa soluzioni di Insider Threat Management

Adotta strumenti avanzati di insider threat management delle minacce interne in grado di monitorare costantemente i comportamenti degli utenti all’interno della rete aziendale. Queste soluzioni rilevano attività anomale, come trasferimenti di dati o richieste di accesso insolite, e permettono di avviare indagini e interventi rapidi prima che eventuali vulnerabilità interne, sfruttate tramite tentativi di pretexting riusciti, possano causare danni significativi.

Proofpoint è leader nelle soluzioni di cybersecurity e offre una suite completa di servizi progettati per proteggere le aziende dalle minacce informatiche. Tra le soluzioni di Proofpoint per difendersi da attacchi di pretexting e social engineering troviamo:

• Targeted Attack Protection (TAP): Proofpoint TAP supporta le organizzazioni nella prevenzione delle minacce avanzate rilevandole, analizzandole e bloccandole prima che raggiungano le caselle di posta elettronica. La soluzione offre funzionalità quali sandboxing, analisi di vari tipi di file e protezione contro ransomware, phishing e altre minacce via e-mail.
• Advanced BEC Defense: questa soluzione, basata su NexusAI, è progettata per bloccare un’ampia gamma di frodi via e-mail, tra cui il reindirizzamento dei pagamenti e le frodi di fatturazione dei fornitori attraverso account compromessi. Utilizza l’intelligenza artificiale e l’apprendimento automatico per rilevare gli attacchi BEC analizzando attributi come i dati dell’intestazione del messaggio, l’indirizzo IP del mittente e il contenuto del messaggio.
• Insider Threat Management Solutions: Gli strumenti ITM di Proofpoint aiutano le aziende a individuare in tempo reale attività rischiose degli utenti, a condurre indagini rapide sugli incidenti e a prevenire la perdita di dati. Queste soluzioni consentono ai team di sicurezza di gestire efficacemente i rischi associati alle minacce interne, incluse le truffe pretexting e phishing.

Sfruttando queste soluzioni di Proofpoint, le aziende possono rafforzare la propria posizione di sicurezza contro gli attacchi di pretexting e altre minacce avanzate che sfruttano tattiche sofisticate di social engineering. Per ulteriori informazioni, contatta Proofpoint.