Il pretexting è un tipo di ingegneria sociale in cui gli aggressori creano uno scenario inventato, o "pretesto", per manipolare le persone e indurre a divulgare informazioni sensibili. A differenza dei metodi di hacking tradizionali che sfruttano le vulnerabilità del sistema, il pretesto prende di mira le vulnerabilità umane, sfruttando l'inganno per estrarre informazioni sensibili.
Hai mai ricevuto una chiamata non sollecitata da qualcuno in "supporto tecnico" su un problema che richiede la tua immediata attenzione? Forse il chiamante inizia a chiedere informazioni personali o dettagli dell'account per occuparsi immediatamente del problema. Questo scenario riassume un metodo di ingegneria sociale noto come pretesto.
Per lo più al telefono, il pretesto prevede la creazione di una situazione che convinca l'obiettivo a rivelare informazioni personali o preziose. Il truffatore finge di essere una persona legittima o familiare per far sentire a proprio agio l'obiettivo: un agente del servizio clienti del proprio ISP, un collega di una filiale o di un ufficio diverso o un membro del supporto tecnico dell'azienda. A volte i criminali scavano in anticipo informazioni sull'obiettivo per far sembrare la truffa più credibile.
Il problema è come distinguere un truffatore da un chiamante legittimo. In generale, se si riceve una chiamata non richiesta e il chiamante inizia a chiedere informazioni personali (numero di Social Security, domande di sicurezza dell'account), è necessario verificare se il chiamante è legittimo. Riaggancia e chiama l'azienda stessa per confermare se c'è davvero un problema.
Voice Vishing, noto anche come Vishing, è un tipo di attacco di ingegneria sociale in cui gli aggressori utilizzano telefonate o comunicazioni vocali per indurre qualcuno a divulgare informazioni sensibili, come i dettagli del conto bancario, le credenziali di accesso o le informazioni di identificazione personale (PII).
Il phishing è un tipo di attacco informatico in cui i cyber criminali utilizzano email o messaggi fraudolenti per indurre le persone a divulgare informazioni sensibili. Queste email o messaggi contengono collegamenti dannosi che possono sottrarre informazioni private dell'utente. Gli attacchi di phishing sono più efficaci quando gli utenti non sono consapevoli che ciò stia accadendo.
Figura 1. Catena di infezione dell’attacco di phishing di Heatstroke; notare che la catena di infezione potrebbe cambiare a seconda delle proprietà dell’utente/del comportamento
Un attacco di tailgating nella cyber security è una violazione della sicurezza fisica in cui una persona non autorizzata ottiene l'accesso fisico a un'area limitata seguendo attentamente una persona autorizzata. Gli aggressori possono ingannare i dipendenti autorizzati come nuovi dipendenti, fattori di consegna o addetti alla manutenzione.
Per "baiting" si intende l'atto dei cyber criminali che invogliano le vittime a interagire con dispositivi fisici o risorse digitali compromessi. Gli aggressori utilizzeranno il pretesto per rendere l'esca più attraente per la vittima etichettando un'unità USB con un nome fuorviante, come "Riservato" o "Stipendi dei dipendenti" negli ambienti aziendali, per incoraggiare le vittime a collegarla.
Una truffa romantica è una tattica di ingegneria sociale in cui un aggressore utilizzerà i social media falsi o i profili degli appuntamenti per cercare vittime ignare e costruire un rapporto romantico con loro. L'aggressore potrebbe impiegare settimane o mesi per acquisire la fiducia della vittima, ma, una volta raggiunto questo obiettivo, chiederà grandi somme di denaro per una falsa emergenza o regali.
Scareware è un tipo di truffa di ingegneria sociale che comporta l'intimidazione delle vittime con falsi allarmi e minacce. Gli utenti potrebbero essere indotti a pensare che il loro sistema sia infettato da malware. Saranno quindi incoraggiati a visitare siti web dannosi per scaricare una correzione, ma finiranno invece per scaricare malware o divulgare informazioni sensibili come i dettagli della carta.
Anche se entrambe sono tattiche di ingegneria sociale, il pretesto implica interazione e inganno diretti e personalizzati, mentre il phishing in genere utilizza email di massa con link dannosi. Tuttavia, i cyber criminali spesso combinano entrambi i metodi in attacchi multilivello.
DMARC è un protocollo di autenticazione email che aiuta a prevenire lo spoofing email verificando l'autenticità dei mittenti email. DMARC lavora insieme a SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) per garantire l'autenticazione e l'integrità delle email.
Una formazione regolare sulla cybersecurity per educare i dipendenti a identificare e rispondere di conseguenza alle truffe pretestuali può aiutare a proteggere la tua azienda. Le organizzazioni dovrebbero enfatizzare:
La MFA aggiunge un ulteriore livello di sicurezza richiedendo molteplici fattori di autenticazione, come un codice di accesso una tantum o una verifica biometrica, per accedere agli account. Ciò riduce significativamente il rischio che gli aggressori utilizzino in modo improprio le credenziali rubate.
Le organizzazioni dovrebbero incoraggiare i dipendenti a segnalare eventuali chiamate, email o messaggi sospetti al team di sicurezza IT per ulteriori indagini. Disporre di un meccanismo di reporting proattivo aiuta le organizzazioni a rilevare e rispondere alle potenziali minacce prima che si aggravino.