Il pretexting è generalmente definito come l’ottenimento di informazioni sensibili o personali attraverso l’impersonificazione o altri inganni. È considerato un atto illegale nella maggior parte delle circostanze, ma le leggi contro la pratica variano da stato a stato e non sono sempre chiaramente scritte. È illegale, ai sensi del Gramm-Leach-Bliley Act, utilizzare il pretesto per accedere a conti bancari o altre informazioni finanziarie sensibili. Non è necessariamente illegale, tuttavia, utilizzarlo per ottenere tabulati telefonici o esporre un coniuge infedele. Mentire sulla tua identità non è sempre un crimine, ma beneficiarne finanziariamente è perseguibile.
Molte persone hanno familiarità con l’idea di pirateria informatica illegale e furto di identità, ma pochissime persone hanno familiarità con la pratica del pretesto. L’hacking nei server dei computer o l’utilizzo di programmi sofisticati per scoprire le password è solo un aspetto del cyberhacking. Pratiche come il pretesto e il phishing sono esempi di ingegneria sociale, l’elemento umano dietro l’hacking. Funziona meglio quando il pretesto fornisce una performance convincente, completa del gergo tecnico appropriato o di altre informazioni privilegiate.
Un tipico incidente di pretesto potrebbe coinvolgere un criminale che cerca di accedere al conto bancario personale della vittima. Il criminale chiama la vittima a casa, sostenendo di condurre un’indagine. Le domande possono sembrare relativamente innocue, ma il falso geometra sta davvero cercando di raccogliere informazioni personali, come il cognome da nubile di una madre, una data di nascita, il nome di un animale domestico di famiglia o anche una parte del numero di previdenza sociale della vittima. Una volta che l’autore ha queste informazioni, il processo continua presso la banca della vittima.
Il chiamante usa il nome della vittima per identificarsi con il rappresentante della banca. Un pretexter potrebbe creare una storia sulla perdita di un libretto degli assegni o sulla dimenticanza della sua nuova password. La banca può disporre di rigide misure di sicurezza, ma il pretesto del criminale può fornire molte delle risposte che cerca. Una volta che il criminale ha pieno accesso alle informazioni bancarie della vittima, può cancellare il conto in pochi minuti. Un altro criminale può utilizzare le informazioni personali per creare un nuovo conto con carta di credito o rilevarne uno esistente.
Nel 2006, l’amministratore delegato (CEO) del gigante informatico Hewlett-Packard è stato coinvolto in uno schema di pretesto e alla fine si è dimesso. Nel tentativo di scoprire la fonte delle fughe di informazioni interne, l’ex CEO ha assunto un investigatore esterno. Diversi dirigenti della Hewlett-Packard hanno scoperto che i loro tabulati telefonici personali e professionali erano stati raccolti senza il loro permesso. A seguito di un’indagine, è stato stabilito che gli investigatori esterni avevano usato il pretesto per ottenere quei tabulati telefonici. I rappresentanti della compagnia telefonica credevano di comunicare con i veri dipendenti Hewlett-Packard.