Pretexting to jedna z metod socjotechnicznychpolegająca na stworzeniu fałszywego, ale bardzo wiarygodnego scenariusza i narracji, które mają nakłonić określone osoby do spełnienia próśb atakującego. Sprawnie przeprowadzony pretexting umożliwia między innymi pozyskanie poufnych informacji, przekazania pieniędzy lub uzyskanie dostępu do wewnętrznych systemów firmy.

 

Charakterystyczną cechą tego typu ataku, jak sama nazwa wskazuje, jest właśnie „pretekst”. Atakujący nierzadko podszywa się pod znaną i zaufaną w danym kręgu osobę, np. pracownika IT, przełożonego, przedstawiciela urzędu czy firmy partnerskiej. Wykorzystując różne metody, takie jak spoofing nadaje swojej narracji autentyczność.

 

Kluczem sukcesu w pretextingu jest odpowiednie przygotowanie. Cyberprzestępcy stosują tzw. biały wywiad (OSINT), zbierając dane z mediów społecznościowych (zarówno firmowych, jak i prywatnych profili pracowników), lokalnej prasy, publicznych informacji gospodarczych i innych ogólnodostępnych źródeł, by stworzyć szczegółowy i przekonujący scenariusz.

 

Przykładowy atak pretextingu może wyglądać następująco:

 

• Oszust kontaktuje się z pracownikiem firmy, podszywając się pod przedstawiciela działu IT i informuje, że systemy bezpieczeństwa wykryły nietypową aktywność użytkownika, w związku z czym ten powinien podać hasło do swojego konta.


• Dla zwiększenia wiarygodności oszust korzysta z adresu e-mail lub numeru telefonu, który wygląda na autentyczny, a nawet wykorzystuje logo i język typowy dla komunikacji firmowej.


• Ofiara, przekonana o autentyczności prośby i działająca pod presją, udostępnia wymagane informacje lub kilka przesłany odnośnik.


• Haker zyskuje w ten sposób wolną rękę i może eskalować działania na kolejne obszary sieci.

   

Przedstawiony wcześniej scenariusz został wymyślony, jednak ataki zaczynające się od przedstawienia wiarygodnej historii zdarzają się w rzeczywistości.
 

 

1. W 2023 roku doszło do potężnego ataku na ośrodki należące do MGM Resorts International, czyli sieć luksusowych hoteli, kurortów i kasyn. Hakerom udało się uzyskać dostęp do wewnętrznych systemów firmy pomimo obecności technologii uwierzytelniania dwuskładnikowego. Oszuści przekonali dział wsparcia IT, że pracują dla MGM i zgubili dane dostępowe. Support zresetował hasło, a także aplikację MFA! Wystarczyła do tego znajomość imienia i nazwiska oraz daty urodzenia i numeru identyfikatora rzeczywistego pracownika firmy. Złośliwe oprogramowanie spowodowało straty na kwotę ponad 100 mln USD.

 

2. W 2024 roku brytyjska spółka Arup padła ofiarą bardzo przebiegłego ataku. Oszuści wykorzystali technologię deepfake, aby podszyć się pod CFO spółki oraz inne osoby decyzyjne i zainicjować przelew na kwotę 25 mln USD. Przelew wykonał pracownik działający pod wpływem autorytetu fałszywego przełożonego. Ten atak to jeden z przykładów obrazujących ciemną stronę AI oraz narzędzi działających w oparciu o generatywne modele sztucznej inteligencji.

 

3. Atak na Retool z 2023 roku był kolejnym zaawansowanym przypadkiem zastosowania pretextingu. Cyberprzestępcy wykorzystali inżynierię społeczną i technologię deepfake, aby uzyskać dostęp do wewnętrznych systemów firmy. Podszywając się pod dział IT, wysłali pracownikom SMS z fałszywym linkiem do logowania. Po zalogowaniu atakujący zadzwonili do ofiary, imitując głos członka zespołu IT, i nakłonili ją do przekazania dodatkowego kodu MFA. Przestępcy byli bardzo dobrze przygotowani – znali imiona współpracowników oraz wewnętrzne ustalenia firmowe, dzięki czemu prośba brzmiała bardzo wiarygodnie. Takie działanie dało im trwały dostęp do wewnętrznych systemów firmy, w tym przestrzeni firmowej Google Workspace i sieci VPN. Przestępcy zsynchronizowali z przejętym kontem własne aplikacje do generowania tokenów OTP. Efektem było przejęcie 27 kont klientów firmy Retool.

   

To dwie popularne metody oszustw opartych na inżynierii społecznej. Definicja pretextingu jest często upraszczana, przez co tego rodzaju atak określa się ogólnie mianem phishingu.

 

Phishing jest już dobrze znanym zagrożeniem nawet dla osób spoza branży IT. Natomiast termin pretexting jest mniej popularny i częściej stosowany przez specjalistów ds. cyberbezpieczeństwa.

 

Pretexting polega na stworzeniu indywidualnego, fałszywego scenariusza (pretekstu), który buduje zaufanie i sprawia, że konkretna ofiara dobrowolnie udostępnia poufne informacje lub wykonuje określone działania. Wiadomości phishingowe są tymczasem rozsyłane masowo i kierowane do szerokiej grupy potencjalnych ofiar (nierzadko oszuści podają się za bank czy ministerstwo, wiedząc o tym, że obie te instytucje zrzeszają miliony petentów/klientów).

 

Trzeba zrozumieć, że pretexting, sam w sobie nie jest sprecyzowaną technicznie metodą ataku, a raczej metodą socjotechniczną pozwalającą stworzyć wiarygodny kontekst dla dalszych działań. Pretexting może być więc jedną z metod wykorzystywanych podczas ukierunkowanych ataków phishingowych, takich jak spear phishing, BEC – Business E-mail Compromise czy phishing impersonation attack.

 

• W przypadku pretextingu kluczowym elementem jest budowanie wiarygodnej narracji, często opierającej się na znajomości wewnętrznych procedur organizacji, jak w przypadku podszywania się pod dział IT czy kierownictwo. Doskonale obrazują to przytoczone wcześniej przykłady.


• Spear phishing to ukierunkowany atak phishingowy, w którym cyberprzestępcy personalizują wiadomość, bazując na informacjach o konkretnej osobie lub firmie. Celują w wybrane, konkretne ofiary, zamiast długotrwałego budowania kontekstu dla ataku.


• BEC (ang.: Business Email Compromise) to oszustwo e-mailowe wymierzone w organizacje, często polegające na przejęciu skrzynki e-mailowej kadry kierowniczej lub podszywaniu się pod wysokich rangą managerów. W przeciwieństwie do pretextingu, gdzie narracja odgrywa kluczową rolę, BEC często koncentruje się na fałszywych prośbach o przelewy lub zmianę danych płatniczych.


• Phishing impersonation attack to atak phishingowy oparty na podszywaniu się pod zaufane osoby lub instytucje. W tym przypadku oszuści często stosują fałszywe domeny lub adresy e-mail przypominające te oryginalne. Główna różnica w porównaniu do pretextingu polega na tym, że impersonation attack bazuje na wiarygodnym wyglądzie wiadomości, strony czy formularza, a nie długim manipulowaniu ofiarą za pomocą narracji.

   

Jak pokazują przytoczone wcześniej przykłady, pretexting stanowi poważne zagrożenie dla firm, zwłaszcza ze względu na swoją zdolność do obejścia zabezpieczeń technicznych i wykorzystania mechanizmu autorytetu oraz presji do osiągnięcia celów.

 

Jednym z kluczowych ryzyk jest kradzież poufnych danych, które są dziś traktowane jako nowa waluta. Atakujący, podszywając się pod zaufane osoby, mogą uzyskać dostęp do całych baz danych zawierających hasła, dane finansowe czy krytyczne informacje korporacyjne. Uzyskanie wrażliwych danych może być tylko początkiem dalszych ataków.

 

Kolejne zagrożenie to bezpośrednia kradzież środków. Przestępcy często wykorzystują pretexting w atakach typu Business Email Compromise (BEC), gdzie podszywają się pod kluczowych pracowników firmy, nakłaniając dział księgowości lub inne osoby uprawnione do wykonania przelewów na konta oszustów.

 

Wycieki danych czy udane oszustwa mogą zaszkodzić reputacji firmy, powodując utratę zaufania klientów i partnerów biznesowych.

 

Dodatkowo omijanie zabezpieczeń technicznych jest istotną cechą pretextingu, ponieważ nie opiera się on na włamaniu do systemów, ale na manipulacji ludźmi. To sprawia, że nawet dobrze zabezpieczona firma może być narażona, jeśli jej pracownicy nie będą wystarczająco uważni.

   

Jak w przypadku każdego ataku wykorzystującego socjotechnikę, kluczowa jest świadomość pracowników. Regularne szkolenia z zakresu security awareness, które uczą rozpoznawania technik manipulacji oraz zasad bezpiecznego postępowania z wrażliwymi informacjami, to fundament każdej strategii obrony. Istotne jest, by pracownicy wiedzieli, jak weryfikować podejrzane prośby o dostęp do danych lub transakcje finansowe, a także jak reagować w sytuacjach, które budzą ich wątpliwości. Regularne przypomnienia o zasadach bezpieczeństwa i procedurach weryfikacji tożsamości pomagają utrzymać wysoki poziom czujności w firmie.

 

Oprócz szkoleń budujących świadomość niezbędne jest wprowadzenie odpowiednich zmian proceduralnych. Dobrym przykładem może być np. wdrożenie zasady, według której zaakceptowane mogą być wyłącznie faktury kosztowe wysłane z konkretnego, wskazanego w umowie adresu e-mail.

 

Warto opracować i wdrożyć polityki bezpieczeństwa, które jasno określają:

 

• jak postępować w przypadku podejrzanych sytuacji,


• jak weryfikować tożsamość osób żądających dostępu do informacji,


• jakie kroki należy podjąć w razie podejrzenia ataku.

 

Takie polityki powinny obejmować zarówno procedury codziennego zarządzania danymi, jak i szczegółowe instrukcje działania na wypadek sytuacji kryzysowych. Ważne jest również, aby w firmie istniała kultura bezpieczeństwa, w której pracownicy czują się odpowiedzialni za ochronę danych i są zmotywowani do przestrzegania polityk bezpieczeństwa.

 

Netia, jako jeden z liderów rynku rozwiązań cyberbezpieczeństwa w Polsce, oferuje wiele narzędzi i rozwiązań zwiększających odporność na cyberataki – w tym ataki socjotechniczne. Kluczowymi punktami oferty w omawianym dziś kontekście, poza szkoleniami z zakresu cybersecurity, są regularne audyty bezpieczeństwa oraz pozorowane ataki phishingowe realizowane w ramach usługi Netia Phishing-on-Demand. Symulacja prawdziwego ataku jest przeprowadzana według ustalonego wcześniej scenariusza.

 

Działania specjalistów z zespołu Netia Security Operations Center są całkowicie bezpieczne dla firmy, a ich wyniki jasno pokazują, jak pracownicy firmy zachowają się po otrzymaniu podejrzanej wiadomości e-mail czy odnośnika o niejasnym pochodzeniu. Cały proces kończy się listą rekomendacji do dalszej rozbudowy strategii cyberbezpieczeństwa w firmie.