Come prevenire gli attacchi di pretesto
Table of Contents
Che cos'è il pretesto?
Il pretesto è un'altra forma di ingegneria sociale in cui gli hacker tentano di creare un buon pretesto, o uno scenario fittizio, che possono utilizzare per tentare di derubare i propri obiettivi dei propri dati privati. Il pretesto di solito assume la forma di un truffatore che assume una falsa identità per acquisire informazioni specifiche dalle loro vittime. Di solito si comportano come se avessero bisogno che le loro vittime confermassero la loro identità fornendo loro i dati desiderati dagli aggressori.
Come succede?
I pretestuosi di solito impersonano collaboratori, autorità, banche, clero, investigatori assicurativi o altre istituzioni o imprese ufficiali. Praticamente chiunque abbia un qualche tipo di autorità o un diritto di conoscere l'obiettivo. L'attaccante deve solo preparare le risposte alle domande che potrebbero essere poste dalla sua vittima. Di solito, tutto ciò di cui hanno bisogno è il tono giusto e alcune abilità improvvisative per ingannare la maggior parte delle persone.
Gli attacchi di pretesto sono spesso utilizzati per ottenere dati sia sensibili che non sensibili. L'anno scorso, ad esempio, un gruppo di truffatori ha fatto finta di essere rappresentanti di agenzie di modelle e servizi di scorta. Hanno fabbricato sfondi falsi e intervistato domande per convincere donne e ragazze a inviare loro foto di se stesse. Successivamente, vendettero quelle foto ad aziende pornografiche per soldi.
L'ingrediente chiave dell'ingegneria sociale è la fiducia. I truffatori devono ispirare fiducia nelle loro vittime, altrimenti molto probabilmente falliranno. Un buon pretesto è una parte fondamentale della costruzione della fiducia. Se l'alias, la storia o l'identità dell'attaccante hanno buchi spalancati o mancano di credibilità o anche solo la percezione della credibilità, molto probabilmente la vittima lo capirà.
Come difendersi dal pretesto.
Come ogni altra buona difesa, devi essere proattivo anziché reattivo. Se, ad esempio, ricevi un'e-mail da qualcuno che dice che un addetto alla manutenzione si presenterà al tuo posto, contatta l'azienda del mittente, non il mittente stesso. Chiama e assicurati che stiano davvero inviando qualcuno. Se sei a casa quando si presentano, chiedi di parlare con il loro superiore, invece di limitarti a crederci. Chiedi loro il numero aziendale e il nome del loro supervisore, in modo da poterli chiamare per confermare l'identità della persona a casa tua.
Lo stesso vale per i siti Web online, in particolare tutto ciò che richiede la tua carta di credito o pay-pal. Cerca sempre la fonte, perché è lì che il pretesto cade a pezzi più duramente.
