Pretexting: come difendersi dall’attacco informatico
3 min di lettura
Immagina di ricevere una chiamata dalla tua banca. La persona al telefono sembra competente e affidabile. Ti consiglia di aggiornare l’app che usi per completare le normali operazioni bancarie. Un aggiornamento di routine, per aumentare lo standard di sicurezza e risolvere qualche problemino tecnico.
Per installarlo, l’operatore del call center deve accedere al tuo profilo. Gli fornisci le credenziali di accesso, l’aggiornamento viene installato e tutti sembrano felici e contenti. Ma poi ti accorgi che l’app non è cambiata di una virgola. Solo in quel momento ti rendi conto di aver dato le chiavi del tuo profilo a un cybercriminale.
Il pretexting fa proprio leva sull’aspetto emotivo, facendo percepire alla vittima un senso di urgenza, ammantato dall’apparente affidabilità o autorevolezza della persona che la contatta. Elementi già visti in fortunate campagne di phishing, baiting e smishing. Scopriamo cos’è il pretexting in informatica e come possiamo difenderci.
Cos’è il pretexting? Definizione e spiegazione
Definizione di pretexting
Il pretexting, talvolta tradotto in italiano come “pretesto”, è una tattica di social engineering utilizzata da hacker o organizzazioni criminali per ottenere informazioni personali, al fine di far compiere una determinata azione o per impiantare un malware in un sistema informatico.
Per raggiungere l’obiettivo finale, i malintenzionati possono vestire i panni di persone di fiducia come colleghi, operatori di call center, rappresentanti di aziende o istituti bancari ma anche pubblici dipendenti.
Tipologie ed esempi di pretexting
Scopriamo insieme i principali tipi di attacchi informatici che ricadono nella categoria del pretexting. Vedendo le tecniche di social engineering maggiormente usate, dovresti avere meno problemi a riconoscere il pericolo qualora dovessi incontrarlo.
Finta assistenza clienti
Ricevi una chiamata da un operatore telefonico che finge di far parte dell’assistenza tecnica di un servizio cui sei iscritto o del tuo istituto bancario di fiducia. L’oggetto della chiamata può variare ma spesso ruota intorno ad argomenti legati al denaro, come ad esempio verificare se una transazione è andata in porto o meno.
Le persone meno scettiche tendono a fidarsi di ciò che viene rappresentato da chi le contatta, soprattutto se l’interlocutore si presenta in modo cordiale, professionale e affidabile. Accettando le sue richieste, gli permettiamo di raggiungere il suo obiettivo: ottenere un vantaggio economico ingiusto.
Infatti, con le credenziali appena ottenute, può sottrarci denaro senza grossi problemi.
Tailgating
Questo termine inglese, che può essere tradotto letteralmente con “seguire come un’ombra”, viene utilizzato in contesti specifici. Ad esempio, nel caso di un dipendente che entra in ufficio utilizzando un badge di sicurezza e viene seguito come un’ombra da un fattorino, sprovvisto delle credenziali di accesso.
Il fattorino chiede di entrare accampando la scusa di dover consegnare un pacco. Solo in seguito si scoprirà che si trattava di un hacker interessato a ottenere accesso ai sistemi informatici aziendali tramite porta USB.
Pretexting via e-mail
Questo approccio trova applicazione anche nelle comunicazioni via e-mail. Ad esempio, si potrebbe ricevere un messaggio da un mittente che finge di essere una figura dirigenziale della tua azienda o di una sua nota partner.
L’oggetto del messaggio potrebbe essere una richiesta urgente di pagamento, magari allegando una finta fattura. Il destinatario, messo sotto pressione, potrebbe erroneamente cedere e autorizzare il pagamento indebito.
Come difendersi dal pretexting
Ora che sai cosa significa pretexting, ti starai chiedendo come procedere dal lato pratico. Per difendersi in maniera efficace serve un approccio sfaccettato, basato su buone pratiche e sull’uso di alleati tecnologici, come una VPN online.
Per cominciare, raccomandiamo di seguire questi consigli:
- Se qualcuno ti contatta e sospetti che possa trattarsi di un attacco pretexting, interrompi subito la chiamata. Prova quindi a contattare direttamente la persona o l’azienda interessata. Cerca un riferimento telefonico dal sito ufficiale per essere sicuro.
- Tieni le antenne ben dritte: quando controlli la posta elettronica, non abbassare mai la guardia. Anche se si tratta di un’azione che molte persone compiono ripetutamente ogni giorno, non bisogna mai aprire allegati o rispondere senza aver pensato con attenzione alle possibili conseguenze.
- Prova a fare domande al presunto truffatore. Non rivelare mai dati sensibili o personali a una persona di cui non ti fidi ciecamente.
- Attiva i filtri protettivi nella tua casella e-mail per contribuire a togliere di mezzo potenziali messaggi dannosi.
- Ricorda che le aziende serie non richiedono pagamenti o la chiusura urgente di contratti con un singolo messaggio o una sola chiamata. Queste azioni sono sempre inserite in una procedura più lunga e complessa.
- Se vedi una faccia sconosciuta in ufficio, chiedi gentilmente chi sia e prova a parlarne con il responsabile della sicurezza.
- Non cedere mai a emozioni come panico, paura o urgenza.
- Utilizza sistemi protettivi come Threat Protection, per rilevare in tempo utile eventuali file dannosi o potenziali malware.
La sicurezza online inizia con un semplice clic.
Resta al sicuro con la VPN leader a livello mondiale
