Cos'è il pretexting nella cyber security?
Significato di Pretexting
Il pretexting è un tipo di ingegneria sociale in cui gli aggressori creano uno scenario inventato, o "pretesto", per manipolare le persone e indurre a divulgare informazioni sensibili. A differenza dei metodi di hacking tradizionali che sfruttano le vulnerabilità del sistema, il pretesto prende di mira le vulnerabilità umane, sfruttando l'inganno per estrarre informazioni sensibili.
Comprensione del pretesto: Una tattica di ingegneria sociale
Hai mai ricevuto una chiamata non sollecitata da qualcuno in "supporto tecnico" su un problema che richiede la tua immediata attenzione? Forse il chiamante inizia a chiedere informazioni personali o dettagli dell'account per occuparsi immediatamente del problema. Questo scenario riassume un metodo di ingegneria sociale noto come pretesto.
Per lo più al telefono, il pretesto prevede la creazione di una situazione che convinca l'obiettivo a rivelare informazioni personali o preziose. Il truffatore finge di essere una persona legittima o familiare per far sentire a proprio agio l'obiettivo: un agente del servizio clienti del proprio ISP, un collega di una filiale o di un ufficio diverso o un membro del supporto tecnico dell'azienda. A volte i criminali scavano in anticipo informazioni sull'obiettivo per far sembrare la truffa più credibile.
Il problema è come distinguere un truffatore da un chiamante legittimo. In generale, se si riceve una chiamata non richiesta e il chiamante inizia a chiedere informazioni personali (numero di Social Security, domande di sicurezza dell'account), è necessario verificare se il chiamante è legittimo. Riaggancia e chiama l'azienda stessa per confermare se c'è davvero un problema.
Come funziona il pretesto: Un approfondimento passo passo
- Ricerca dell'obiettivo: gli aggressori conducono ricerche approfondite utilizzando risorse come l'intelligence open source (OSINT), i social media o le precedenti violazioni dei dati per raccogliere informazioni personali o aziendali.
- Impersonazione: gli aggressori assumono l'identità di un'entità affidabile, come il personale IT, un CEO o un funzionario delle forze dell'ordine. Sfruttando l'autorità, creano un senso di legittimità, rendendo le vittime più propense a conformarsi.
- Spoofing: per migliorare la credibilità, gli aggressori utilizzano lo spoofing delle email, lo spoofing degli ID dei chiamanti o i profili online falsi. La tecnologia Deepfake e le voci generate dall'intelligenza artificiale complicano ulteriormente il rilevamento.
- Ottenere la fiducia del bersaglio: attraverso la manipolazione psicologica, gli aggressori stabiliscono la credibilità e riducono il sospetto.
- Estrazione di informazioni sensibili: la vittima fornisce inconsapevolmente dettagli riservati, credendo di essere coinvolta in un'entità legittima.
- Sfruttamento dei dati ottenuti: le informazioni rubate vengono utilizzate per furto di identità, frode finanziaria, spionaggio aziendale o ulteriori attacchi informatici.
Esempi comuni di attacchi pretexting
Vishing
Voice Vishing, noto anche come Vishing, è un tipo di attacco di ingegneria sociale in cui gli aggressori utilizzano telefonate o comunicazioni vocali per indurre qualcuno a divulgare informazioni sensibili, come i dettagli del conto bancario, le credenziali di accesso o le informazioni di identificazione personale (PII).
Phishing
Il phishing è un tipo di attacco informatico in cui i cyber criminali utilizzano email o messaggi fraudolenti per indurre le persone a divulgare informazioni sensibili. Queste email o messaggi contengono collegamenti dannosi che possono sottrarre informazioni private dell'utente. Gli attacchi di phishing sono più efficaci quando gli utenti non sono consapevoli che ciò stia accadendo.
Figura 1. Catena di infezione dell’attacco di phishing di Heatstroke; notare che la catena di infezione potrebbe cambiare a seconda delle proprietà dell’utente/del comportamento
Tailgating
Un attacco di tailgating nella cyber security è una violazione della sicurezza fisica in cui una persona non autorizzata ottiene l'accesso fisico a un'area limitata seguendo attentamente una persona autorizzata. Gli aggressori possono ingannare i dipendenti autorizzati come nuovi dipendenti, fattori di consegna o addetti alla manutenzione.
Escavazione
Per "baiting" si intende l'atto dei cyber criminali che invogliano le vittime a interagire con dispositivi fisici o risorse digitali compromessi. Gli aggressori utilizzeranno il pretesto per rendere l'esca più attraente per la vittima etichettando un'unità USB con un nome fuorviante, come "Riservato" o "Stipendi dei dipendenti" negli ambienti aziendali, per incoraggiare le vittime a collegarla.
Truffe romantiche
Una truffa romantica è una tattica di ingegneria sociale in cui un aggressore utilizzerà i social media falsi o i profili degli appuntamenti per cercare vittime ignare e costruire un rapporto romantico con loro. L'aggressore potrebbe impiegare settimane o mesi per acquisire la fiducia della vittima, ma, una volta raggiunto questo obiettivo, chiederà grandi somme di denaro per una falsa emergenza o regali.
Truffe Scareware
Scareware è un tipo di truffa di ingegneria sociale che comporta l'intimidazione delle vittime con falsi allarmi e minacce. Gli utenti potrebbero essere indotti a pensare che il loro sistema sia infettato da malware. Saranno quindi incoraggiati a visitare siti web dannosi per scaricare una correzione, ma finiranno invece per scaricare malware o divulgare informazioni sensibili come i dettagli della carta.
Pretexting vs. phishing: Qual è la differenza?
Anche se entrambe sono tattiche di ingegneria sociale, il pretesto implica interazione e inganno diretti e personalizzati, mentre il phishing in genere utilizza email di massa con link dannosi. Tuttavia, i cyber criminali spesso combinano entrambi i metodi in attacchi multilivello.
Come prevenire gli attacchi con pretesto
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC è un protocollo di autenticazione email che aiuta a prevenire lo spoofing email verificando l'autenticità dei mittenti email. DMARC lavora insieme a SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per garantire l'autenticazione e l'integrità delle email.
- SPF (Sender Policy Framework): Garantisce che solo i server di posta elettronica autorizzati possano inviare messaggi per conto del dominio di un'organizzazione.
- DKIM (DomainKeys Identified Mail): Utilizza le firme crittografiche per verificare che i messaggi email non siano stati alterati durante il trasporto.
- Applicazione della politica DMARC: Le organizzazioni possono impostare criteri (nessuno, quarantena o rifiuto) per stabilire come gestire le email che non superano l'autenticazione. Una rigorosa politica DMARC può ridurre significativamente la probabilità che gli aggressori utilizzino lo spoofing di dominio per gli attacchi pre-testuali.
Formazione e pratiche di verifica sulla consapevolezza della sicurezza
Una formazione regolare sulla cybersecurity per educare i dipendenti a identificare e rispondere di conseguenza alle truffe pretestuali può aiutare a proteggere la tua azienda. Le organizzazioni dovrebbero enfatizzare:
- Identificare le richieste sospette e verificarne la legittimità.
- Contattare il richiedente attraverso i canali ufficiali prima di condividere dati sensibili o autorizzare transazioni finanziarie.
- Riconoscere le tecniche di manipolazione psicologica utilizzate negli attacchi di pretesto.
Autenticazione a più fattori (MFA)
La MFA aggiunge un ulteriore livello di sicurezza richiedendo molteplici fattori di autenticazione, come un codice di accesso una tantum o una verifica biometrica, per accedere agli account. Ciò riduce significativamente il rischio che gli aggressori utilizzino in modo improprio le credenziali rubate.
Segnalazione di attività sospette
Le organizzazioni dovrebbero incoraggiare i dipendenti a segnalare eventuali chiamate, email o messaggi sospetti al team di sicurezza IT per ulteriori indagini. Disporre di un meccanismo di reporting proattivo aiuta le organizzazioni a rilevare e rispondere alle potenziali minacce prima che si aggravino.