Ott282025

Il social engineering è una tecnica di attacco cyber che colpisce direttamente i dipendenti di un’organizzazione. 

L’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management ha pubblicato un approfondimento sull’ingegneria sociale. Questo attacco informatico non sfrutta le falle dei sistemi informatici, ma manipola le persone sfruttando leve psicologiche e l’ingenuità 

Per prima cosa il criminale studia la personalità, le relazioni e le abitudini della vittima e, se individua vulnerabilità, tenta di costruire un rapporto di fiducia sfruttando leve emotive per poi carpirne informazioni confidenziali (password, conti correnti, informazioni finanziarie) che gli consentano di estorcere denaro, o rubare l’identità. 

Per manipolare le vittime i criminali sfruttano diverse vulnerabilità comportamentali (reazioni istintive e automatiche che spesso prevalgono sulla logica): 

  • l’autorità, si fingono figure istituzionali (come forze dell’ordine, funzionari bancari, tecnici informatici) per sfruttare il naturale rispetto verso le posizioni di “potere” 
  • l’urgenza, creano un falso senso di emergenza (“il suo account verrà bloccato entro un’ora; il suo dominio verrà a breve oscurato”) che spinge la vittima ad agire impulsivamente, senza riflettere 
  • la fiducia, costruita anche nell’arco di diverse settimane attraverso conversazioni, sfruttando l’istinto umano alla collaborazione 
  • la paura, minacciano conseguenze negative specifiche 
  • la curiosità, propongono offerte esclusive, gossip aziendali o documenti “riservati” per spingere a cliccare link, o aprire allegati 
  • l’avidità, promettono vantaggi economici immediati, o opportunità imperdibili (“ha vinto un premio”) 
  • la conformità sociale, fanno credere, ad esempio, che “tutti i colleghi hanno già aggiornato i loro dati”. 

Tecniche di social engineering più usate 

I criminali informatici danneggiano le vittime attraverso diversi canali: e-mail, telefoni, app di messagistica, siti web, social media, servizi cloud. 

Per portare a termine l’attacco di social engineering si utilizzano le seguenti modalità.  

Phishing  

I criminali fingono di essere organizzazioni conosciute, come banche o servizi utilizzati effettivamente dall’utente, e tramite la posta elettronica spingono le vittime a cliccare su un link malevolo dove inserire le credenziali, o su un allegato infetto. In caso di spear phishing, l’attacco è targettizzato e l’e-mail proviene da un account o un nominativo apparentemente attendibile che contiene link che rimandano a pagine pressoché identiche a quelle originali. In crescita anche i tentativi di attacco tramite SMS, messaggistica (WhatsApp, Telegram), chiamate vocali, Social Media e persino QR code. 

Deepfake 

Una delle tecniche più innovative è rappresentata dai deepfake (video o immagini iperrealistici creati dall’intelligenza artificiale con persone che dicono o fanno cose mai realmente accadute).  

I criminali con le tecniche di face swapping sostituiscono volti e creano contenuti praticamente indistinguibili da quelli autentici per: creare campagne di Phishing estremamente sofisticate, diffondere malware, o addirittura creare contenuti compromettenti per danneggiare la reputazione aziendale. 

Creazione di un pretesto 

Il criminale contatta la vittima telefonicamente simulando una situazione particolare (pretexting) e fingendosi un dipendente bancario, o di un ufficio pubblico per cercare di instaurare una relazione di empatia con la vittima, in modo da ottenere le informazioni di cui ha bisogno. 

Quid pro quo 

Questo metodo prevede che il social engineer offra un servizio o un aiuto, in cambio di un benefit. Per esempio, il soggetto malintenzionato può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password), oppure chiedendo loro di disattivare temporaneamente l’antivirus. 

Come difendersi dal social engineering? 

Secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection, nel 2024 le organizzazioni che adottano piattaforme di e-mail security, come soluzioni antiphishing e antispam, sono il 97% del totale. 

Ma il social engineer sociale sfrutta la vulnerabilità dell’anello debole nelle aziende: la componente umana. 

Bisogna quindi promuovere una cultura alla sicurezza fra le persone. Le aziende devono quindi adottare strategie mirate a: 

  • sensibilizzare i dipendenti in materia di sicurezza informatica e privacy 
  • definire programmi di formazione e aggiornamento dato che i rischi cyber sono in costante evoluzione 
  • offrire competenze tecniche e metodi sia per prevenire gli attacchi, sia per reagire di fronte ad eventuali situazioni critiche.  

L’ingenuità del singolo individuo è sufficiente a danneggiare un’intera azienda. 

Fonte: https://www.osservatori.net/blog/cyber-security/social-engineering-come-difendersi/