CyberTotem
Tutti gli articoli
social engineeringawarenessformazionephishing

Social engineering: quando l'attacco bersaglia le persone, non le macchine

I firewall non fermano chi convince un dipendente ad aprire una porta. Cos'è il social engineering, quali tecniche usano i criminali e come difendersi.

Team CyberTotem

I sistemi informatici moderni sono difficili da attaccare frontalmente. Firewall, antivirus, sistemi di rilevamento delle intrusioni: la barriera tecnica è alta. Ma c'è sempre un punto debole che nessuna tecnologia può eliminare completamente: le persone.

Il social engineering è l'arte di manipolare le persone per indurle a compiere azioni che facilitano un attacco informatico. Non sfrutta vulnerabilità del software — sfrutta vulnerabilità della psicologia umana: fiducia, paura, autorità, urgenza, disponibilità ad aiutare.

Le tecniche più usate

Phishing (e le sue varianti)

Il phishing via email è la variante più diffusa, ma non è l'unica:

  • Vishing (voice phishing): telefonate in cui il criminale si spaccia per il supporto IT, la banca, l'INPS o un'autorità. Chiede credenziali, codici OTP, o induce a compiere azioni remote (come concedere accesso al PC).

  • Smishing (SMS phishing): messaggi SMS che simulano comunicazioni di banche, corrieri o servizi pubblici, con link a pagine false.

  • Spear phishing: versione mirata del phishing, con messaggi personalizzati basati su informazioni raccolte (LinkedIn, sito aziendale, social media). Molto più convincente del phishing di massa.

Pretexting

Il criminale costruisce uno scenario credibile (il "pretext") per giustificare la richiesta. Esempi:

  • "Sono dell'IT, stiamo facendo una verifica dei backup. Ho bisogno delle sue credenziali per accedere al server."
  • "Sono un revisore inviato dalla sede centrale, mi serve accedere al gestionale per un controllo urgente."
  • "Sono un nuovo fornitore, mi hanno detto che lei può autorizzare l'accesso temporaneo alla rete Wi-Fi."

Nessuna di queste richieste è legittima. Ma suonano plausibili, soprattutto se fatte con sicurezza e nel momento giusto.

Baiting

Si lascia un oggetto fisico o digitale che la vittima raccoglie volontariamente. L'esempio classico è la chiavetta USB lasciata nel parcheggio dell'azienda: la curiosità spinge chi la trova a inserirla nel PC per vedere cosa contiene. Il malware si attiva automaticamente.

L'equivalente digitale è un link a un "documento condiviso" o a un "premio" che richiede di inserire le credenziali per accedere.

Tailgating (o piggybacking)

Accesso fisico non autorizzato ai locali aziendali sfruttando la cortesia altrui. Una persona con le braccia cariche di scatole si avvicina a una porta con accesso controllato: chi è dentro apre, per educazione. L'attaccante è entrato.

Quid pro quo

Il criminale offre qualcosa in cambio di informazioni. "Ti aiuto a risolvere il problema del PC, nel frattempo puoi dirmi la tua password temporanea che usiamo per i reset?"

Le leve psicologiche sfruttate

Conoscere la tecnica non basta: bisogna capire perché funziona. I social engineer sfruttano principi psicologici documentati:

  • Autorità: le persone tendono a obbedire a chi percepiscono come in posizione di autorità (il CEO, l'IT, la banca).
  • Urgenza: il senso di urgenza riduce il tempo per pensare e verificare.
  • Paura: "Il tuo account è stato violato" genera reazioni impulsive.
  • Reciprocità: se qualcuno ci aiuta, ci sentiamo in obbligo di ricambiare.
  • Simpatia: è più difficile rifiutare richieste da persone che ci piacciono o che ci sembrano simili a noi.

Come difendersi: le regole d'oro

Per i dipendenti

  1. Verifica sempre l'identità prima di eseguire qualsiasi richiesta insolita, anche se il richiedente sembra legittimo. Una telefonata di conferma su un numero che conosci già è sufficiente.

  2. Nessuno ha bisogno della tua password per fornirti supporto. Mai. Nemmeno l'IT interno.

  3. Le richieste urgenti e insolite sono segnali di allarme, non motivi per agire più in fretta.

  4. Non inserire dispositivi sconosciuti (chiavette USB, cavi, adattatori) nei computer aziendali.

  5. Segnala immediatamente qualsiasi tentativo sospetto, anche se non ci sei "cascato". La segnalazione aiuta l'organizzazione a capire se è in corso un attacco mirato.

Per l'organizzazione

  • Procedure chiare per le operazioni sensibili (bonifici, accessi, modifiche di sistema) che richiedano doppia autorizzazione
  • Policy di verifica dell'identità per le richieste fuori dall'ordinario
  • Formazione periodica che includa esempi concreti di social engineering
  • Cultura della sicurezza in cui segnalare un tentativo sia incoraggiato, non fonte di imbarazzo

Social engineering e NIS2

La formazione contro il social engineering rientra negli obblighi formativi dell'Art. 21g (igiene informatica e formazione) e nell'Art. 20 per il management, che è spesso il bersaglio privilegiato degli attacchi più sofisticati (il CEO è un obiettivo prezioso per lo spear phishing e il BEC — Business Email Compromise).

Il percorso formativo CyberTotem include moduli specifici su phishing, social engineering e gestione delle richieste insolite, sia per i dipendenti che per il management.

La consapevolezza sul social engineering è una delle basi della formazione NIS2. Scopri il percorso CyberTotem per i tuoi dipendenti.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo