Pretexting, ecco come un attaccante ottiene dati sensibili

Il pretexting è un attacco informatico che rientra nella categorie di tecniche dell’ingegneria sociale.
Tramite questa tecnica l’aggressore si avvale della persuasione per ottenere informazioni riservate o indurre la vittima a compiere azioni dannose.
Questo avviene attraverso la creazione di una narrazione falsa o “pretesto,” che può manifestarsi attraverso:

• chiamate telefoniche;
• messaggi di testo;
• e-mail;
• persino tramite incontri di persona.

Prima di eseguire un pretexting attack, il criminale informatico conduce un’attenta fase di ricognizione sulla sua vittima, raccogliendo informazioni cruciali. Questo approccio consente al malintenzionato di plasmare una falsa identità in grado di ingannare abilmente la vittima, spingendola a credere che l’aggressore sia una figura degna di fiducia.

Quest’articolo si propone di esaminare più da vicino questa forma sofisticata di attacco, offrendo anche consigli pratici per riconoscere e prevenire questa minaccia.

1. Cos’è il Pretexting?
2. Come funziona?
3. Perché è così pericoloso?
4. Differenze pretexting e social engineering
5. Come difendersi?

Cos’è il Pretexting?

Il pretexting è una forma di inganno in cui un attaccante crea una storia fittizia (pretesto) per ottenere informazioni personali, finanziarie o di altro tipo da un utente vittima. A differenza del phishing, che si basa spesso sull’invio di messaggi generici, il pretexting viene utilizzato per condurre attacchi informatici altamente personalizzati e mirati.

Come funziona?

Un attacco di pretexting classico si basa su una combinazione di ricerca della vittima ideale, impiego di tecniche di ingegneria sociale e menzogne ben orchestrate. Ecco come funziona passo dopo passo:

1. Ricerca della vittima: l’attaccante inizia raccogliendo informazioni sulla vittima.
   Queste informazioni possono provenire da fonti pubbliche come i social media, i siti web aziendali o qualsiasi altro luogo dove le informazioni personali o aziendali potrebbero essere divulgate. Questa fase aiuta l’attaccante a creare una storia credibile e a individuare il punto debole della vittima.
2. Creazione del pretesto: una volta raccolte le informazioni, l’attaccante crea un pretesto (una storia fittizia) che userà come scusa per interagire con la vittima. Il pretesto deve essere abbastanza convincente da indurre la vittima a rivelare informazioni o a compiere determinate azioni. In seguito, l’attaccante contatta la vittima e di solito, questo può avvenire tramite chiamata telefonica, email, messaggio o di persona. L’attaccante si presenta secondo il ruolo scelto: potrebbe fingere di essere un dipendente IT, un funzionario bancario, un collega di un altro dipartimento, ecc.
3. Durante la conversazione, l’attaccante induce la vittima a compiere l’azione desiderata, che potrebbe essere quella di rivelare informazioni, fornire accesso a determinate risorse o effettuare operazioni. L’attaccante potrebbe fare domande specifiche, invocare l’urgenza o sfruttare altri trucchi psicologici per persuadere la vittima.
4. Una volta ottenute le informazioni desiderate o indotta la vittima all’azione voluta, l’attaccante conclude la conversazione e si ritira.
   L’obiettivo in questa fase è di ridurre al minimo la possibilità che la vittima si renda conto dell’inganno.

Un aspetto chiave del pretexting è che si basa fortemente sulla capacità dell’attaccante di guadagnare la fiducia della vittima. La combinazione di tutte queste fasi rende il pretexting una delle forme più insidiose di ingegneria sociale.

Perché è così pericoloso?

Come detto poco fa, ii pretexting sfrutta la tendenza umana a affidarsi a soggetti altri.
In particolare, quando la persona dall’altro capo sembra avere autorità o rilevanza.

Differenze pretexting e social engineering

Il social engineering è una metodologia ampia e complessa utilizzata per manipolare individui al fine di ottenere accesso a informazioni riservate o sistemi, sfruttando le debolezze umane come la fiducia, la paura o la curiosità.

Il pretexting, d’altro canto, è una specifica tecnica all’interno del repertorio del social engineering. Nel pretexting, l’attaccante crea una storia fittizia o un pretesto per ingannare la vittima e ottenere informazioni o accesso. Mentre il social engineering può utilizzare una varietà di tattiche e scenari, il pretexting si concentra sull’uso di scenari inventati per raggiungere i suoi obiettivi.

Come difendersi?

Il pretexting è considerato una delle tecniche di ingegneria sociale più subdole, poiché appunto sfrutta la naturale propensione umana a fidarsi ell’autorità piuttosto che ipotizzare che le tecnologie possano essere soggette a vulnerabilità . La difesa efficace contro tali attacchi richiede una combinazione di consapevolezza, formazione e protocolli ben definiti.

Di seguito, delineiamo misure essenziali per mitigare i rischi associati al pretexting e garantire la sicurezza delle informazioni:

1. Autenticazione a più fattori: implementa l’autenticazione a più fattori per tutte le piattaforme e i servizi critici.
   In questo modo, anche se un attaccante dovesse ottenere credenziali attraverso il pretexting, l’accesso richiederebbe un secondo fattore di autenticazione (come un token temporaneo o una notifica su un dispositivo affidabile), rendendo l’attacco inefficace.
2. Sistemi di rilevazione e risposta alle minacce (TDR): utilizza soluzioni avanzate di rilevazione e risposta alle minacce che monitorano comportamenti anomali all’interno della rete.
3. Controllo rigoroso degli accessi: Implementa un modello di sicurezza basato sul principio del minimo privilegio (PoLP).
   Ciò significa che gli utenti dovrebbero avere solo i permessi strettamente necessari per eseguire le loro funzioni. Se un attaccante tenta di accedere a dati o risorse utilizzando le credenziali ottenute attraverso pretexting, le sue azioni sarebbero limitate dalla stretta segmentazione dei privilegi.

Implementando queste soluzioni tecniche, le organizzazioni possono aumentare significativamente la loro resistenza agli attacchi di pretexting e migliorare la loro postura di sicurezza complessiva.