Indice dei contenuti
- Cos’è il pretexting: significato e caratteristiche
- Come funziona un attacco di pretexting
- Pretexting e danni economici: milioni di dollari rubati
- Differenze tra pretexting e phishing
- I canali più usati per il pretexting
- Le truffe romantiche: un caso di pretexting emotivo
- Perché il pretexting è così efficace
- Come difendersi da un attacco di pretexting
- Esempi reali e casi studio
Il pretexting è uno degli strumenti più subdoli utilizzati dai criminali informatici per ingannare le potenziali vittime.
A differenza degli attacchi che si basano su exploit tecnici, il pretexting si fonda sull’ingegneria sociale, ovvero sull’arte di manipolare psicologicamente le persone per ottenere l’accesso a informazioni sensibili.
Questo articolo esplora a fondo cos’è il pretexting, come funziona, quali sono gli scenari tipici e le contromisure da adottare per difendersi.
Cos’è il pretexting: significato e caratteristiche
Il pretexting, o pretesto, è una tecnica di ingegneria sociale in cui un attaccante crea un falso scenario (pretesto) per indurre una persona a divulgare informazioni personali, spesso dati sensibili come numeri di carte di credito, conti bancari, o credenziali di accesso a siti web.
Nel contesto della sicurezza informatica, il pretexting è classificato come un tipo di truffa particolarmente efficace perché fa leva sulla fiducia, sull’urgenza o sull’autorità.
A differenza di un comune attacco di phishing, il pretexting è spesso personalizzato e può includere anche elementi di spear phishing, cioè attacchi mirati a singoli individui.
Esempio pratico: un malintenzionato potrebbe fingere di essere un dipendente del supporto tecnico di un’azienda per convincere una segretaria a fornire l’accesso al server aziendale. Il pretesto può essere una manutenzione urgente o un rischio di violazioni dei dati.
Come funziona un attacco di pretexting
Un attacco di pretexting si sviluppa in più fasi:
1. Raccolta preliminare di informazioni
L’attaccante inizia con il reperimento di informazioni sulla vittima, spesso utilizzando social media, forum pubblici o anche vecchi data breach. L’obiettivo è costruire un profilo dettagliato per rendere il pretesto più credibile.
2. Costruzione del pretesto
L’attaccante crea un’identità fittizia: può fingere di essere un collega, un tecnico, un rappresentante bancario o persino un ufficiale di polizia. Ogni dettaglio serve a dare legittimità alla richiesta.
3. Contatto e manipolazione
A questo punto, l’attaccante contatta la potenziale vittima via email, telefono o addirittura di persona, e chiede di divulgare informazioni o di eseguire azioni specifiche, come cliccare su un link o accedere a un account.
4. Obiettivo raggiunto
Se la vittima cade nella trappola, l’attaccante può ottenere accesso a dati sensibili, entrare in un sistema informatico, svuotare conti bancari o utilizzare le informazioni per ulteriori attacchi di phishing o truffe romantiche.
Pretexting e danni economici: milioni di dollari rubati
Uno degli aspetti più preoccupanti del pretexting è il suo impatto finanziario. Secondo report di aziende di sicurezza come Verizon e Proofpoint, il pretexting rappresenta una fetta crescente degli attacchi di tipo BEC (Business Email Compromise), che ogni anno causano milioni di dollari in perdite aziendali.
Nel 2023, ad esempio, una multinazionale è stata vittima di un attacco in cui un cybercriminale ha finto di essere il CEO, ordinando un trasferimento bancario di 2,6 milioni di dollari. L’email sembrava autentica, grazie a un attento studio dello stile comunicativo del dirigente.
Differenze tra pretexting e phishing
Anche se phishing e pretexting sono spesso confusi, presentano differenze chiave:
- Il phishing è spesso generico e punta alla quantità: email di massa, link dannosi e allegati compromessi.
- Il pretexting è mirato e basato su interazioni uno a uno, spesso con uno studio approfondito della vittima.
Entrambe le tecniche possono coesistere. Un attacco può iniziare con un’email di phishing e proseguire con una telefonata costruita secondo la tecnica del pretexting.
I canali più usati per il pretexting
Gli attacchi di pretexting si distinguono per la loro capacità di adattarsi a diversi mezzi di comunicazione. L’efficacia di questi attacchi dipende in larga parte dalla credibilità del contatto, non dal mezzo in sé.
Tuttavia, alcuni canali risultano più vulnerabili perché consentono una simulazione più convincente dell’identità. Di seguito analizziamo i principali canali di attacco attraverso cui si sviluppano le campagne di pretexting.
Email (business e personali)
Le email rappresentano uno dei vettori più usati per il pretexting, soprattutto in ambienti aziendali. Attraverso tecniche di spoofing o BEC (Business Email Compromise), l’attaccante finge di essere un collega, un dirigente o un fornitore. Spesso, il messaggio è curato nei dettagli: firma, tono, logo aziendale e struttura dell’email possono sembrare legittimi.
Esempio tipico
Oggetto: URGENTE – Autorizzazione pagamento fornitore
Messaggio: “Ciao, come sai sono in viaggio per una conferenza a Hong Kong. Mi serve che tu autorizzi un pagamento di 42.800 euro al nuovo fornitore. È fondamentale per non interrompere la produzione. Fammi sapere appena fatto.”
Queste email sono progettate per spingere la vittima a effettuare pagamenti o a divulgare informazioni sensibili, senza verificarne la fonte.
Difese efficaci:
- Autenticazione a due fattori per accessi email
- Policy di conferma verbale per operazioni finanziarie
- Uso di DMARC, DKIM e SPF per protezione da spoofing
- Formazione interna sulla sicurezza informatica
Telefonate (vishing)
Il pretexting telefonico, detto anche vishing (voice phishing), è un metodo diretto e persuasivo. Un criminale può fingere di essere un tecnico IT, un rappresentante bancario, o persino un investigatore della polizia giudiziaria.
Usando un tono autoritario o amichevole, induce la vittima a divulgare dati sensibili o a eseguire azioni come resettare password o fornire codici OTP.
Tecniche frequenti:
- Uso di caller ID falsificati (spoofing)
- Impostazione di call center falsi per aumentare la credibilità
- Creazione di un senso di urgenza o pericolo imminente
Esempio
“Salve, chiamo dalla banca X. Abbiamo rilevato una transazione sospetta sul suo conto. Per verificare che non sia un furto, ci servirebbe il suo codice OTP.”
Difese efficaci:
- Mai fornire dati via telefono su richiesta
- Richiamare il numero ufficiale dell’ente
- Diffidare dalle urgenze e verificare le fonti
SMS e messaggistica istantanea (smishing)
Anche SMS e app di messaggistica come WhatsApp, Telegram o Messenger sono canali sempre più sfruttati.
Questo approccio è noto come smishing e può essere usato per veicolare link malevoli verso siti web falsificati o per avviare una conversazione truffaldina.
Esempio
“Il tuo pacco è stato bloccato in dogana. Segui questo link per completare la procedura: pacco-tracciato.xyz”
Oppure:
“Ciao, sono il supporto di Apple. Abbiamo rilevato un accesso non autorizzato al tuo account. Rispondici subito per evitare il blocco.”
Questi messaggi prendono di mira la fretta e la disattenzione, sfruttando contenuti verosimili e layout grafici simili agli originali.
Difese efficaci:
- Non cliccare su link ricevuti via SMS
- Controllare URL sospetti in modo indipendente
- Usare app che filtrano spam e smishing
Social media
I social media sono diventati strumenti potenti per il pretexting. Gli attaccanti possono creare falsi profili oppure sfruttare informazioni pubblicamente disponibili per creare pretesti credibili.
LinkedIn è spesso il bersaglio preferito in ambito business, mentre Facebook e Instagram vengono usati per truffe personali o truffe romantiche.
Tecniche tipiche:
- Invio di messaggi privati fingendo di essere un datore di lavoro, un cliente, o un ex compagno di scuola
- Uso di foto e nomi rubati per imitare persone reali
- Inviti a cliccare link o condividere informazioni private
Esempio
“Ciao Donato, abbiamo una posizione aperta perfetta per te in azienda X. Inviaci il tuo CV aggiornato e copia del tuo documento per la verifica dell’identità.”
Difese efficaci:
- Impostazioni di privacy strette sui profili
- Evitare di pubblicare dettagli personali (email, numero di telefono, viaggio imminente)
- Verifica incrociata delle identità (es. contattare l’azienda ufficialmente)
Incontri fisici o accesso diretto (tailgating)
Anche se meno comuni, ci sono attacchi di pretexting che avvengono di persona. In contesti aziendali, l’attaccante può presentarsi come tecnico esterno, ispettore, fornitore o candidato a un colloquio, con l’obiettivo di accedere fisicamente ai locali o ai sistemi.
Esempio
Un uomo in divisa con un tesserino falsificato entra in ufficio dicendo: “Sono il tecnico incaricato di aggiornare il software dei badge. Ho bisogno di accedere alla sala server per 10 minuti.”
Difese efficaci:
- Badge identificativi obbligatori
- Protocollo di accoglienza per i visitatori
- Videosorveglianza e personale di vigilanza formato
- Nessun accesso ai sistemi senza autorizzazione esplicita
Falsi siti web e moduli di login (pharming)
Alcuni attacchi di pretexting utilizzano siti web falsi che imitano perfettamente quelli reali di banche, aziende o servizi cloud come Office 365. Questi siti vengono raggiunti attraverso link inviati via email, SMS o social. L’utente, convinto della legittimità del sito, inserisce le proprie credenziali.
Tecnica avanzata:
Il dominio può essere quasi identico a quello originale (es. gòogle.com invece di google.com) oppure usare certificati SSL per apparire affidabile.
Difese efficaci:
- Verificare l’URL in ogni accesso
- Utilizzare password manager (che non riconoscono siti falsi)
- Abilitare l’autenticazione a due fattori
- Usare strumenti di email security gateway per bloccare email di phishing
Le truffe romantiche: un caso di pretexting emotivo
Un altro esempio comune è quello delle truffe romantiche, dove il truffatore finge di essere un militare, un medico o un imprenditore bloccato all’estero. Dopo aver instaurato un rapporto sentimentale online, chiede alla vittima di inviare denaro o di condividere informazioni personali.
Questi attacchi sono estremamente pericolosi perché sfruttano la solitudine e la vulnerabilità emotiva. Secondo l’FBI, le truffe romantiche basate su pretexting sono tra le più redditizie per i cybercriminali.
Perché il pretexting è così efficace
Il successo del pretexting risiede in diversi fattori:
- Assenza di barriere tecniche
L’attacco avviene a livello umano. - Flessibilità
Può essere adattato a contesti aziendali, personali, sanitari, bancari. - Facilità di esecuzione
Bastano uno script convincente e un minimo di dati iniziali. - Difficile da rilevare
Spesso la vittima non si accorge subito di aver subito una truffa.
Proprio per questo il pretexting può essere devastante, soprattutto quando viene usato in combinazione con altre tecniche come phishing, malware, o spear phishing.
Come difendersi da un attacco di pretexting
La sicurezza informatica contro il pretexting non può basarsi solo su antivirus o firewall. Serve un approccio umano-centrico. Ecco alcune misure efficaci:
- Formazione e security awareness
Insegnare ai dipendenti a riconoscere un tipo di truffa basata sull’inganno psicologico. - Verifica delle identità
Non fidarsi mai di richieste urgenti o inusuali, anche se sembrano provenire da colleghi o superiori. - Procedure di validazione interna
Ogni richiesta di accesso o trasferimento fondi dovrebbe essere sottoposta a un secondo livello di controllo. - Limitazione dell’esposizione sui social media
Molte informazioni usate per i pretesti provengono da profili LinkedIn o Facebook. - Uso di software anti-frode
Alcuni strumenti analizzano pattern comportamentali e possono bloccare accessi anomali.
Esempi reali e casi studio
Tra i casi più eclatanti:
- Caso Snapchat (2016)
Un dipendente fu indotto a condividere informazioni fiscali dell’intero staff con un attaccante che fingeva di essere il CEO. - Caso Ubiquiti Networks (2015)
Azienda truffata per 46 milioni di dollari tramite email spear phishing e telefonate di pretexting.
Questi esempi dimostrano come anche le aziende tecnologicamente avanzate possano essere vulnerabili se trascurano la formazione del personale.
Per concludere
Il pretexting è una delle forme di ingegneria sociale più insidiose e in crescita nel panorama della sicurezza informatica. Non si tratta solo di una minaccia tecnica, ma di una sfida umana e culturale. Le potenziali vittime non sono solo i responsabili IT, ma ogni persona che accede a dati, sistemi o fondi.
Investire in consapevolezza, formazione e procedure di verifica è oggi più importante che mai per evitare che una falsa identità apra le porte a danni milionari, violazioni dei dati e compromissioni profonde.
Domande e risposte
- Cos’è il pretexting in ambito informatico?
Il pretexting è una tecnica di ingegneria sociale in cui un attaccante finge di essere qualcun altro per ottenere informazioni riservate. - Qual è la differenza tra pretexting e phishing?
Il phishing è generico e massivo, mentre il pretexting è mirato e basato su interazioni individuali. - Il pretexting può colpire anche i privati?
Sì, con truffe come quelle romantiche o legate a falsi impiegati bancari. - Come si riconosce un attacco di pretexting?
Richieste sospette, urgenza ingiustificata, eccesso di familiarità o autorità fittizia sono segnali tipici. - Il pretexting può avvenire via social media?
Sì, spesso gli attaccanti usano social media per raccogliere dati o contattare direttamente le vittime. - Quali danni può causare il pretexting?
Furto di dati, accesso a conti, perdite economiche anche di milioni di dollari. - Come difendersi in azienda dal pretexting?
Formazione, verifiche multiple e policy interne per la convalida delle richieste. - I software possono bloccare il pretexting?
Non del tutto: serve un’integrazione tra tecnologia e cultura della sicurezza. - È legale fingere di essere qualcun altro online?
No, in molti Paesi è un reato, soprattutto se usato per truffare o ingannare. - Quali settori sono più colpiti dal pretexting?
Finanza, sanità, tech e pubblica amministrazione sono tra i più bersagliati.
